GlasBlog

Jan Gerrit Göbel gab heute den Release der Amun Version 0.1.1 bekannt.

Amun ist ein in Python geschriebener low-interaction Honeypot. Der Entwickler beschreibt ihn folgendermaßen:

Amun is a low-interaction honeypot designed to capture autonomous spreading malware, like for example nepenthes. The main difference is, that it is written in python and most parameters can be changed while running, thus it might be easier to add new features.

Informationen zum Erstellen von eigenen Vulnerability Modules findet man in der Dokumentation

Amun ist erhältlich über die Homepage des Projekts. Wichtige News bekommt man über das Blog von Jan. Folgende Neuerungen erwarten uns in der neuen Version: weiterlesen »

Nepenthes scheint auch auf Port 2968 Anfragen zu bekommen. Um auch diese bearbeiten zu können, könnte man einfach im Modul vuln-sav jenen Port hinzufügen. Um das Modul jedoch modular zu halten, habe ich es um eine vuln-sav.conf erweitert, die es uns später ermöglicht mit wenigen Änderungen beliebig viele Ports hinzuzufügen.
Da ich mich damit auf völliges Neuland begebe, zog ich das vuln-pnp Modul zu Rat. Hier das Ergebnis:

Erstellen einer vuln-sav.conf.dist in /src/nepenthes/modules/vuln-sav mit Inhalt:
weiterlesen »

Heute wurde die Version 0.2.2 von Nepenthes veröffentlicht. Eine Kopie bekommt man bei Sourceforge.

Hier das Changelog: weiterlesen »

Beim Durchstöbern einer Binary bin ich auf folgendes gestoßen:

Input MD5 : A026638A7F6C10A86F7ABF3367F6BEA0

*snip*

.data:00415C60 aNepenthes      db 'nepenthes',0
.data:00415C6A                 align 4
.data:00415C6C aCurrentuser    db 'currentuser',0
.data:00415C78 aVmware         db 'vmware',0
.data:00415C7F                 align 10h
.data:00415C80 aHoney          db 'honey',0
.data:00415C86                 align 4
.data:00415C88 aSandbox        db 'sandbox',0

*snip*

Wie es scheint, werden Abwehrmaßnahmen gegen Honeypots, Sandboxes und Virtuelle Maschinen implementiert. Kann man das als Kompliment sehen? Gefunden habe ich das File in einem C&C Channel.

Beim Sichten meiner Sandbox Ergebnisse bin ich des öfteren über den Themida Packer von Oreans Technologies gestolpert.

Das besondere an diesem Packer ist, dass nach dem Starten der gepackten Binary diese lediglich ein paar dlls lädt, überprüft ob sie in einer Virtuellen Maschine läuft und gegebenenfalls abbricht. Dadurch lässt sich z.B. Norman Sandbox prima umgehen.

(Signature: NO_VIRUS)
 
[ DetectionInfo ]

* Sandbox name: NO_MALWARE
 
* Signature name: NO_VIRUS
 
* Compressed: YES

Display message box (Themida) : An internal exception occured

(Address: 0x00521E57)Please, contact support@oreans.com. Thank you!.

Überraschend ist dies nicht, jedoch die Tatsache, dass CWSandbox damit absolut keine Probleme zu haben scheint.

CC Server: 69.64.*.*:6823
Server Password:
Username: xbecvnb
Nickname: USA[XP|SP2]00[L]784317
Channel: ###j# (Password: jeme)
Channeltopic: :.scan 75 3 0 -r -b -s

Wie man sieht, alle interessanten Informationen wurden gewonnen. Kein Abbruch, keine Fehlermeldung. Mich würde es wirklich interessieren, was die Jungs da besser gemacht haben.

Bevor wir eine Executable als Virus mit unserem Virenscanner identifizieren können, benötig es viele Schritte. Meist so viele, dass wir uns immer weiter in eine Sackgasse manövrieren.

 Entschieden wird anhand sogenannter Virensignaturen, dies ist eine Sammlung aller Merkmale bekannter Schadsoftware. Entspricht die gescannte Datei einem dort hinterlegten Muster, kommt es zu Warnung. Doch wie kann man dem Anspruch gerecht werden, jeden Virus schnellstmöglich zu erkennen? Wie können wir uns sicher sein in einem Gebiet, das wie kein anderes von der Mutation lebt? Metamorphe Viren die sich bei jeder Infektion neu definieren oder Packer, welche die Struktur beliebig umformen können.
Wir bekommen ein komplett neues Binary mit meist identischem Resultat. Je effektiver die Metamorphose, desto größer die Wahrscheinlichkeit auch weiterhin unerkannt zu bleiben. Oder polymorphe Viren die ihr Aussehen durch Verschlüsselung kontinuierlich verändern.

Und was halten wir dagegen? weiterlesen »

Meldung vom 05.02.08: Anubis "lebt" wieder:

Our analysis service is is up again. In order to better cope with future analysis demands we have also used the downtime to upgrade our hardware.

Auf Anfrage, was uns die neue Version bringt, bekam ich folgende Antwort:

In der derzeit aktuellen Anubis Version 1.60.0  gibt es ein paar kleinere Änderungen und Bugfixes, aber ansonsten gibt es keine sichtbaren Verbesserungen zur Vorversion.
Die hauptsächliche Neuerung besteht darin, dass wir Data Tainting eingebaut und aktiviert haben. Die dadurch gewonnene Information findet sich allerdings noch nicht in den Analyse-Reporten wieder. Das wird noch eine Zeit dauern.

Bei Data Tainting handelt es sich um die Möglichkeit Daten zu markieren und dann bestimmt Markierungen mit spezifischen Regeln zu versehen.
Wie dass dann genau umgesetzt und für uns hilfreich wird, werden wir sehen.

Bild: Wikipedia

Wie ich bereits erwähnte haben wir es täglich mit einer immens wachsenden Anzahl von neuer Schadsoftware zu tuen. Um dieser für eine Person unübersehbaren Menge Herr zu werden, benötigt es für gewisse Prozeduren einer Automation. Ansätze dafür gibt es mit Nepenthes, Amun oder honeytrap für das Sammeln von Malware und CWSandbox, Norman Sandbox und Anubis um das Gesammelte effizient auszuwerten (jeweils nur um ein paar zu nennen). In die Reihe der sogenannten Sandboxes reiht sich nun Joebox, mit der Versprechung in vielen Bereichen seinen “Konkurrenten” ein Stück voraus zu sein.
Joebox beschreibt sich folgender maßen selbst: weiterlesen »

In einem Artikel auf heise.de berichtet AV-Test.org, ein Projekt, welches Virenscanner, Firewalls und Anti-Spyware Tool für Zeitschriften testet, über den aktuellen Trend in der Malware Entdeckung. Die Zahlen sind nicht überraschend, aber doch sehr imposant:

Ich weise darauf hin, das der Graph logarithmisch skaliert wurde.

Den Wert für das Jahr 2008 habe ich grob extrapoliert. Die einzelnen Werte sind nicht addiert, zu Jahresbeginn wird der Zähler auf Null gesetzt.
Unterschieden werden die Files anhand ihres MD5-Hashs, dies führ auch dazu, dass die Wahl eines anderen Packers zu einem Eintrag führt.