Dies ist das Archiv für 20 June 2008.

Rishi v0.9.5

Abgelegt unter Honeypot am 20 June 2008
Other Languages: None

Jan Gerrit Göbel hat am 18 Juni 2008 eine neue Version von Rishi veröffentlicht.

Rishi analysiert passiv den IRC Traffic in einem Netzwerk und schlägt bei verdächtigen Nicknames, IRC Server und unüblichen Ports Alarm.

Wer Interesse an Rishi findet auf der Webseite die Source und eine Installationsanleitung.

Finally the next rishi release is available. It took a while to integrate the privacy features, another collector method is also available and the whole project moved to sourceforge.

Changelist:

Rishi v0.9.5:
  • fixed exception handling in pypcap collector
  • fixed queue handling in worker class
  • added inclusion of external cc server list
Rishi v0.9.4:
  • fixed changing to working directory before startup
  • added pypcap collector method
  • added privacy features (logging at certain points, anonymization)
  • added checking nickname against uncommon bi-grams
  • added logfile rotation
  • increased default worker number to four
  • moved update url to configuration file

submit-http for nepenthes

Abgelegt unter Honeypot, Nepenthes am 19 June 2008
Other Languages: None

Quelle: UK Honeynet Project
Tuesday, June 3rd, 2008

Auf der Seite des UK Honeynet Projects habe ich ein sehr einfaches Beispiel eines PHP “Zielscripts” für das submit-http Modul gefunden:

<?php

$ts=date('U');
$log= "timestamp=$ts";
$log.=",remotehost=".$_SERVER['REMOTE_ADDR'];

foreach ($_POST as $key => $value)
{
        switch ($key)
        {

        case “url”:
        case “trigger”:
        case “md5″:
        case “sha512″:
        case “filetype”:
        case “source_host”:
        case “target_host”:
        case “filename”:
          $$key = $value;

          $log .= “,$key=$value” ;
          break;
        }
}
$log=$log.”\n”;
$myFile = “/tmp/submit-log”;
$fh = fopen($myFile, ‘a’);
fwrite($fh, $log);
fclose($fh);

?>

Nun muss man noch die Konfiguration des Moduls anpassen: In /etc/nepenthes/submit-http.conf gibt man zum Beispiel folgende URL an: “http://myserver.example.com/submit.php”. Dann muss noch das Modul in /etc/nepenthes/nepenthes.conf aktiviert werden. Nach einem Neustart sollten im submit-log die Informationen abrufbar sein.

Vielen Dank für dieses einfache Beispiel an Jamie Riden.

FOUND!

Abgelegt unter Malware am 7 June 2008
Other Languages: None

Interessantes Ergebnis. 600 Samples die keine Malware sind. Komisches Dinge die ich da gefunden habe. Wer wohl Interesse daran hat sowas zu versenden. Viele sind auch schon etwas älter, da kann man ja nicht mehr erwarten, dass sie noch erkannt werde.

———– SCAN SUMMARY ———–

Known viruses: 305734

ClamWin Engine version: 0.93

Scanned directories: 1

Scanned files: 2474

Infected files: 1831

Data scanned: 547.93 MB

Time: 233.546 sec (3 m 53 s)

————————————–

AV Scan Result

Amun v0.1.5

Abgelegt unter Honeypot am 4 June 2008
Other Languages: None

Eine neue Version von Amun ist heute erschienen. Erhältlich ist sie hier.

Changelog für v0.1.5:

  • fixed reload config missing return value
  • fixed connectback config_dict variable not global error
  • added shellcode decoder for alpha2 zero tolerance shellcode
  • added new vulnerability modul for HP OpenView exploit
  • added submit-cwsandbox module
  • modified remove bindport from list after sending local quit
  • modified remove ftp data port from list after sending local quit

joebox analysiert nun auch linkbot

Abgelegt unter Honeypot, Nepenthes, Shellcode am 4 June 2008
Other Languages: None

Beim vergleichen der erhaltenen Sample Analysis Reports ist mir aufgefallen, dass folgende Samples von der joebox nicht analysiert wurden:

Handler link download handler will download link://XX.XX.XX.XX:XXXX/UWxoOA==

INFO 246 [servlets.SubmitServlet] – <Filename: nepenthes-9c6904db49d73e5f6a38c227d****-***v1q==.exe>

ERROR 46 [filters.SecurityFascade] – <Please specify a correct file only chars and numbers are allowed, furthermore it have to be an exe or a dll or a sys!>

Der Grund dafür war schnell gefunden: joebox ist, wie bereits berichtet, sehr streng, was die Form des Sample Namens betrifft. Bis vor ein paar Wochen hatten wir noch Probleme mit zu langen Namen, dann war die Endung nicht in Ordnung und nun haben wir Sonderzeichen.

Die maximale Zeichenlänge wurde mittlerweile auf 60 erweitert, nicht vorhandene Endungen werden generell durch ein .exe ersetzt und “==” wird nun kommentarlos angenommen. Sehr bald kamen dann auch schon die ersten Linkbot Analysen rein geschwappt.

Bei Samples der Form xyz== handelt es sich um den Linkbot und seinen Nachfahren. Der für den Download zuständigen Shellcode findet man auf der Seite von Nepenthes unter csni:shellcodes:lindau. Informationen zum download_link Modul sind zu finden unter: download_link. Da die Seite etwas knapp gehalten ist, lohnt sich ein Blick in das svn Repository: download-link.


Design von Robin Hastings - Farbanpassung von Ulysses Ronquillo