GlasBlog

Jan Gerrit Göbel hat am 18 Juni 2008 eine neue Version von Rishi veröffentlicht.

Rishi analysiert passiv den IRC Traffic in einem Netzwerk und schlägt bei verdächtigen Nicknames, IRC Server und unüblichen Ports Alarm.

Wer Interesse an Rishi findet auf der Webseite die Source und eine Installationsanleitung.

Finally the next rishi release is available. It took a while to integrate the privacy features, another collector method is also available and the whole project moved to sourceforge.

Changelist:

Rishi v0.9.5:

• fixed exception handling in pypcap collector
• fixed queue handling in worker class
• added inclusion of external cc server list

Rishi v0.9.4:

• fixed changing to working directory before startup
• added pypcap collector method
• added privacy features (logging at certain points, anonymization)
• added checking nickname against uncommon bi-grams
• added logfile rotation
• increased default worker number to four
• moved update url to configuration file

Quelle: UK Honeynet Project
Tuesday, June 3rd, 2008

Auf der Seite des UK Honeynet Projects habe ich ein sehr einfaches Beispiel eines PHP “Zielscripts” für das submit-http Modul gefunden:

<?php

$ts=date('U');
$log= "timestamp=$ts";
$log.=",remotehost=".$_SERVER['REMOTE_ADDR'];

foreach ($_POST as $key => $value)
{
        switch ($key)
        {

        case “url”:
        case “trigger”:
        case “md5″:
        case “sha512″:
        case “filetype”:
        case “source_host”:
        case “target_host”:
        case “filename”:
          $$key = $value;

          $log .= “,$key=$value” ;
          break;
        }
}
$log=$log.”\n”;
$myFile = “/tmp/submit-log”;
$fh = fopen($myFile, ‘a’);
fwrite($fh, $log);
fclose($fh);

?>

Interessantes Ergebnis. 600 Samples die keine Malware sind. Komisches Dinge die ich da gefunden habe. Wer wohl Interesse daran hat sowas zu versenden. Viele sind auch schon etwas älter, da kann man ja nicht mehr erwarten, dass sie noch erkannt werde.

———– SCAN SUMMARY ———–

Known viruses: 305734

ClamWin Engine version: 0.93

Scanned directories: 1

Scanned files: 2474

Infected files: 1831

Data scanned: 547.93 MB

Time: 233.546 sec (3 m 53 s)

————————————–

Eine neue Version von Amun ist heute erschienen. Erhältlich ist sie hier.

Changelog für v0.1.5:

• fixed reload config missing return value
• fixed connectback config_dict variable not global error
• added shellcode decoder for alpha2 zero tolerance shellcode
• added new vulnerability modul for HP OpenView exploit
• added submit-cwsandbox module
• modified remove bindport from list after sending local quit
• modified remove ftp data port from list after sending local quit

Beim vergleichen der erhaltenen Sample Analysis Reports ist mir aufgefallen, dass folgende Samples von der joebox nicht analysiert wurden:

Handler link download handler will download link://XX.XX.XX.XX:XXXX/UWxoOA==

INFO 246 [servlets.SubmitServlet] – <Filename: nepenthes-9c6904db49d73e5f6a38c227d****-***v1q==.exe>

ERROR 46 [filters.SecurityFascade] – <Please specify a correct file only chars and numbers are allowed, furthermore it have to be an exe or a dll or a sys!>

Der Grund dafür war schnell gefunden: joebox ist, wie bereits berichtet, sehr streng, was die Form des Sample Namens betrifft. Bis vor ein paar Wochen hatten wir noch Probleme mit zu langen Namen, dann war die Endung nicht in Ordnung und nun haben wir Sonderzeichen.

Die maximale Zeichenlänge wurde mittlerweile auf 60 erweitert, nicht vorhandene Endungen werden generell durch ein .exe ersetzt und “==” wird nun kommentarlos angenommen. Sehr bald kamen dann auch schon die ersten Linkbot Analysen rein geschwappt.

Bei Samples der Form xyz== handelt es sich um den Linkbot und seinen Nachfahren. Der für den Download zuständigen Shellcode findet man auf der Seite von Nepenthes unter csni:shellcodes:lindau. Informationen zum download_link Modul sind zu finden unter: download_link. Da die Seite etwas knapp gehalten ist, lohnt sich ein Blick in das svn Repository: download-link.