GlasBlog

Es gibt eine neue Sandbox für Nepenthes. Nach ein paar Testläufen, ist die joebox nun bereit über das submit-norman Modul gesendete Samples zu empfangen und auszuwerten.

Nach ein paar Testläufen war die joebox bereit die Samples zu empfangen. Ich hoffe, vom Entwickler noch ein kurzes Statement zu bekommen.

So, wie verkupple ich nun mein Nepenthes mit der joebox? Folgende URL muss in die submit-norman.conf

http://147.86.135.178/joeboxservlet/submit

Folgende Log-Einträge sollten auftauchen:

[20042008 18:20:33 debug info fixme] Submitting via http post to http://147.86.135.178/joeboxservlet/

Erfolgsmeldung 1:

[20042008 18:43:37 debug info fixme] Submitted file 5b683d1fccbd7aaea7266473d69557de to sandbox http://147.86.135.178/joeboxservlet/

Erfolgsmeldung 2:

Betreff: Joebox has analysed your binary

Mein Dank geht an den Entwickler von joebox!
Viel Spaß damit :)

Die Version 0.1.7-3 wurde am 02.10.2007 aus dem testing Zweig genommen, Grund war ein Fehler beim compilieren mit gcc 4.2. Seit dieses Problem nicht mehr besteht, war Nepenthes im experimental Zweig. Seit dem 17.04.2008 ist Nepenthes wieder im testing vertreten.

[2008-04-17] nepenthes 0.2.2-3 MIGRATED to testing (Britney)

Um auf dem Laufenden zu bleiben, empfehle ich, den betreffenden RSS Feed zu abonnieren.
Interessant ist auch der “Bug-Graph”. Zu finden unter: Link.

Emre hat nach längerer Pause eine neue Version des Nepenthes Frontend NepenthesFE veröffentlicht. Er beschreibt es mit folgenden Worten:

NepenthesFE is a web based tool that will help you catalogue malware you have collected with Nepenthes.

Verwendet wird das Modul submit-http, welches seit der Version 0.2.2 in Nepenthes integriert ist. Näheres dazu bekommt man auf der Homepage von Niklas Schiffler.

Informationen zur Installation, Funktionsweise und Handhabung findet man gut beschrieben in seinem Wiki.

Ich wurde schon vor längerer Zeit von Katsumi darauf hingewiesen und er hat das Thema auch ausführlich in einem Blog Eintrag verdeutlicht, hatte jedoch bisher keine Zeit mich darum zu kümmern. Es handelt sich um die Möglichkeit eines Angreifers eine Nepenthes Instanz zu erkennen.

Das vuln-realvnc Modul verwendet FOOBAR-MUTTER als hostname. Implementiert man nun ein von Katsumi vorgestelltes Modul in seinen Bot, wird aus dem Honeypot spielend leicht ein Blacklist-Eintrag.

Natürlich sind wir sehr daran interessiert diese Problem zu beheben. Dies erweist sich sogar als relativ einfach. Katsumi beschreibt es folgender maßen (leicht überarbeitet): weiterlesen »

Das Joebox Projekt gab vor wenigen Tagen weitere Einblicke in Statistiken, die aktuelle Entwicklung und angestrebte Ziele.

It’s now approximately 6 months ago since Joe Security regularly analysis windows binaries like drivers, exes and dlls. Totally 400 binaries have been analysed and 10 of them bugchecked.

Momentan erweitert der Entwickler, Stefan Buehlmann, den Funktionsumfang von Joebox für eine Schweizer Firma:

This includes an enlargement of the analysis spectrum (analysing thread hijacking, dll injection, complete network traffic and monitoring some kernel structure changes).

Besonders spannend hört folgende Ankündigung an:

Furthermore he is developing a new component which let you write autoit scripts to simulate user interactions.

Dies gibt dem Benutzer die Möglichkeit Joebox mittels einfacher Anweisungen komplett zu kontrollieren. Als Anwendungsbeispiel wir die Möglichkeit genannt, Joebox mit wenigen Zeilen Code in einen Honeyclient zu verwandeln. Dies wird in einem kurzen Script verdeutlicht:

Honeyclient Script (Beispiel Script)
Joebox UDF Commands (Joebox Anweisungen)

Auch auf das immer aktuellere Thema “behaviour patterns” wird eingegangen:

Joe Security is also working on a new technique to extract malicous behaviour, by using behaviour baselines. If you have a good baseline you can easliy compare it against other behaviour and drop garabage.

Joebox überzeugt mich immer wieder mit neuen Ideen. Mit Spannung erwarte ich, was davon umgesetzt wird und was wir davon im Endeffekt haben.