GlasBlog

Meine Alpha Version läuft jetzt schon fast 60 Stunden und ich dachte es wird Zeit, einen ersten Rückblick zu machen.

Aktuell sind in der Datenbank ca. 3500 Einträge bei denen die Kombination Request und Angreifer IP einmalig sind. In den letzten 24 Stunden wurde ein Angreifer bis zu 18 mal registriert. Bis auf eine kleine Anpassung der MySQL queries habe ich in dieser Zeit nichts verändert.

Momentan arbeite ich an den Error Handler, ich möchte jegliche Anfrage für den Angreifer zufriedenstellend beantworten. Weiterhin muss die Antwort noch variabler gestaltet werden, um keine Muster zu liefern.

Ich denke in ein paar Tagen ist eine Beta fertig. Das Webinterface hinkt noch etwas hinterher, vermutlich schaffe ich das meiste am Wochenende.

Georg Wichersky hat seine Präsentation über botsnoopd von dem GovCERT ’08 Symposium in Rotterdam veröffentlicht. Auf den ersten Blick scheint es keine großen Veränderungen gegeben zu haben. Leider ist botsnoopd weiterhin nicht für die unbekannte Öffentlichkeit erhältlich:

If you are a qualified institution, e.g. a well-known CERT, ISP or LEO, you can contact Georg Wicherski and request access to the tool and its source.

Weitere Informationen und die Präsentation findet man auf der bootsnoopd Project Page.

Remote File Inclusion (RFI) ist ein allgegenwärtiges Thema, ein Blick in ein Webserver Log macht dies deutlich.

Inspiriert durch eine von Katsumi geschriebene Honeyd Erweiterung, machte ich mich an das Werk, ein Webserver zu schreiben, der vor Freundlichkeit nur so übersprudelt. Seine einige Aufgabe ist, jeden Frage, mit der richtigen Antwort zu bedienen und jede Dummheit zu verzeihen. Mit dem Bonus, dass er geduldig alles nimmt, was man ihm gibt.

Prinzipiell verläuft der “Handshake” folgender maßen: Der Angreifer versucht in meine Webapplikation Code einzuschleusen, der ihm sehr simpel ein paar Informationen zurück gibt. Ein Beispiel kann so aussehen: echo “uname -a”; wobei uname -a durch den entsprechenden PHP Befehl ersetzt wird. Erhält er nun eine Vollständige Antwort, weiß der Angreifer, dass die Schwachstelle vorhanden ist und schickt seine Shell oder einen Bot nach.

Dies mache ich mir zu Nutzen. Der Code wird nach Echos durchsucht und die Anfrage entsprechend Beantwortet. Kurze Zeit später, bekomme ich die Shell oder den Bot serviert.

Weitere Vorgehensweise wäre z.B. das Analysieren des Bot Codes auf IRC Verbindungs-Daten. Dies kann entweder durch die Suche nach Mustern, oder durch die Analyse in einer Sandbox erledigt werden.

Aktueller Stand: Der Dienst läuft. Grundlegende Funktionen sind integriert. Auch die meisten Antworten können fehlerfrei ausgeliefert werden. Datenbank Anbindung besteht und das Frontend nimmt langsam Gestalt an.

Sobald ich die erste Version soweit stabel habe, werde ich sie hier veröffentlichen.

Seit Motag läuft hinter CWSandbox.org die CWSandbox 2.1.3. Thorsten Holz berichtet von hauptsächlich internen Veränderungen. Unter anderem funktioniert nun das automatische Analysieren von mit Nepenthes gesammelten Samples. Das Analysieren von Samples, die eine höhere Userinteraktion benötig, wurde verbessert. Auch kann man seit dem Update die pcap Daten runter laden. Diese ermöglichen einen tieferen Einblick in die Netzwerkkommunikation des Samples.

Bei Anubis hat sich wieder einiges getan:

• Neue Analyse Formate: Zu dem bisherigen reinen HTML Report, gibt es jetzt die Möglichkeit, den Analyse-Report auch in den Formaten MHTML, PDF, reiner Text oder XML zu erhalten.
• zusätzliche File Submission: Man kann nun zu einer Exekutablen weitere Dateien hochladen, die diese evtl. bei der Ausführung benötigt.
• Voruntersuchung: Sollte es sich bei der übermittelten Datei nicht um eine gültige Windows Exekutable handeln, bekommt man nur das Ergebnis von “file“.
• Stabilität: Es wurden ein paar Stabilitätsprobleme der Anubis Executablen behoben.
• URL Analyse: Anubis analysiert nun URLs, in dem diese mit dem Internet Explorer geöffnet werden und dessen Verhalten analysiert wird.
• User Accounts: Es ist nun möglich auf der Anubis Homepage einen Account anzulegen. Hierüber sind vergangene Analysen einfacher zu verwalten.
• Webpages: Webpage und Analysereports sind nun XHTML 1.0 konform. Auch der Zugang und das Submitten von Samples über HTTPS ist nun möglich.
• ZIP submission: Exekutable können mit weiteren Dateien in einem ZIP verpackt eingesendet werden.

Auch die Nepenthes Schnittstelle von Anubis bietet die Möglichkeit einen Benutzername und Passwort an zu geben. Die Antwort darauf beinhaltet die Prozess ID, anhand derer man auf die Ergebnisse zugreifen könnte.

Aktuell ist die Submission URL von Anubis für Nepenthes noch nicht erreichbar, der Entwickler versprach jedoch, dieses Problem in den kommenden Tagen zu beheben.

Jan veröffentlichte heute die Version 0.3 seines Botnet Monitoring Tools “Infiltrator”.

Neu ist unter anderem ein Remote Login. Zugänglich ist er per Default über localhost:5000, ändern kann man dies aktuell nur über den Eingriff in die Source. Neu ist auch die Möglichkeit, Botnetze die HTTP POST verwenden, zu beobachten.

Für die Zukunft ist ein Webinterface und die Anbindung an eine Datenbank geplant.

Erhältlich ist die neue Version über Jans Blog.

Joebox hat eine neues Fahrgestell bekommen. Bisher wurde das System durch Deep Freeze geschützt. Dies ist jedoch eine Software-Lösung. Der Haken ist die Möglichkeit Deep Freeze zu umgehen. Anleitungen gibt es bebildert im Internet. Da dies keine Lösung auf dauer ist, hat Joebox nun FOG bekommen. FOG verwendet PXE, dabei wird von einem Image aus dem Bios gebooted und diese Firmware besorgt sich dann einen Boot-Loader über TFTP. Hiermit kann dann ein beliebiges System aus dem Netzwerk gebooted werden. Dies hat den Vorteil, dass nach der Analyse das Sytem wieder auf einen Ursprungszustand zurück gesetzt werden kann. Einziger Angriffspunkt ist hierbei das Bios.

Aktuell lautet die Submission URL: http://213.144.135.43/submit
Aktuell lautet die Submission URL: http://analysis.joebox.org/submit

Martin Johns, Joachim Posegga und Björn Engelmann habe einen neuen Ansatz entwickelt um Cross-Site-Scripting Angriffe zu entdecken und in einem Fall sogar zu beheben.

Zu der Idee XSSDS gehört die Firefox Extension noXSS. Der Detektor benötig lediglich Zugang zum Verkehr zwischen Webserver und Browser. Somit ist jeglicher Einsatz denkbar, bei dem Anfragen an einen Webserver gesendet werden. Nicht ausschließlich bei einer Browser Server Kommunikation.

Unter Cross-Site-Scripting (XSS) versteht man das verändern von fremden Webseiten, so dass dem Browser Schadcode präsentiert wird. XSSDS kennt zwei Variante, Stored und Reflected XSS.

Beim Stored XSS gelingt es dem Angreifer dauerhaft Schadcode auf dem Webserer zu plazieren. Die geschieht zum Beispiel durch einen Gästebuch Eintrag (RFI). XSSDS erkennt diese Variante durch Abgleich des HTTP Verkehrs mit einer Datenbank. Diese wurde durch ein Training erstellt, bei dem das Tool eine Whitelist erstellt hat.

Bei Reflected XSS handelt es sich um das Einschleusen von Schadcode in die URL. Dabei wird die Webseite nicht verändert, lediglich die Abfrage des Browsers. Somit dient der Webserver als Reflektor für den schädlichen Codeschnipsel. Diese Methode erkennt XSSDS durch den Vergelich von Anfrage und Antwort. Beinhaltet die Anfrage bereits Code Teile der Antwort, schlägt das Tool Alarm.

We described XSSDS a server-side Cross-site Scripting
detection system. The systems uses two novel detectionapproaches
that are based on generic observations of XSS
attacks and web applications. A prototypical implementation
demonstrated our approach’s capabilities to reliably detect
XSS attacks while maintaining a tolerable false positive
rate. As our approach is completely passive and solely requires
reading access to the application’s HTTP traffic, it is
applicable to a wide range of scenarios and works together
with all existing web technologies.

Die aktuelle Version 0.1 ist erhältlich für Windows, OS X oder Linux.

Sobald der Entwickler der Extension Jeremias Reith seine Masterarbeit abgeschlossen hat, wird auch der Sourcecode erhältlich sein.

In der neuen Version 0.1.6 wurde ein kleiner Fehler gefunden, im svn liegt die neuster Version:

I found a small bug today. I missed to set the download identifier for two linkbot shellcodes. There is already a fixed version in the SVN.

If you want to fix it yourself change the following two lines in shellcode_mgr_core.py:
(they start with dlident = instead of what is mentioned below)

line 1047 should read:
self.resultSet['dlident'] = …

line 1070 sould also start this way:
self.resultSet['dlident'] = …

Joebox hat im Zuge des letzten Updates eine neue Submit URL bekommen. Zu erreichen ist sie nun unter:

http://analysis.joebox.org/submit

Je früher man die neue URL einpflegt, desto schneller gibt es JoeReports!