GlasBlog

Ein kurzer Nachtrag zum Release von libemu 0.2.0

Changelog der zum Versionsschritt führte:
weiterlesen »

Vor knapp 2 Stunden gab es ein Update für DShields Webhoneypot. Unter anderem wurde die Struktur überarbeitet. Die einzelnen Templates teilen sich nun eine Konfiguration. Die vielen kleinen, aber wichtigen Änderungen findet man im Changelog:
weiterlesen »

Das Weblog von Matasano Security ist wieder online.

www.matasano.com technical difficulties
Jeremy Rauch | October 24th, 2008
We’re still working on recovering content. Please be patient.

Nachdem sie lange Zeit mit Daten-Rettung verbracht haben, scheint nun alles wieder zu gehen.

Die Arbeit an meinem Web Honeypot glastopf geht stetig voran. Um das ganze Projekt zu präsentieren, habe ich eine vorläufige Seite erstellt. Aktuell ist noch nicht viel zu finden, aber Inhalte werden im Laufe des Wochenendes folgen.

Die erste stabile Version von glastopf ist soweit auch fertig. Viele Features fehlen noch, werden aber Stück für Stück in die stabile Version übertragen.

Der interessanteste Teil, die Auswertung der gesammelten Daten, hat jedoch noch kaum Beachtung erhalten. Ich werde jedoch alle Erkentnisse hier veröffentlichen.

Konrad Rieck, Thorsten Holz, Carsten Willems, Patrick Düssel, und Pavel Laskov haben Mitte des Jahres ein Paper zum Thema Malware Klassifikation anhand von Verhaltensmuster veröffentlicht.
Ausgehend von der Problematik gängiger Anti-Viren-Tools nur Reagieren zu können, suchen sie nach Möglichkeiten automatisierte Analysen zu optimieren. Diese sind aktuell das einzige Mittel, welches etwas Luft verschaffen könnte. Dabei ist es wichtig, eine Kategorisierung anhand des Verhaltens zu erstellen. Diese sollte dann Antworten auf folgende Fragen liefern:

1. Gehört eine unbekannte Schadsoftware zu einer bekannten Familie, oder habe ich es mit einem komplett neuen Zweig zu tuen?
2. Welche Verhaltenseigenschaften unterscheiden die eine Familie von der Anderen?

Ein sehr interessanter Artikel, der es wert ist, gelesen zu werden.

Links: zdnet (Registrierung erforderlich), Fraunhofer Institute FIRST

Abstract. Malicious software in form of Internet worms, computer viruses, and Trojan horses poses a major threat to the security of networked systems. The diversity and amount of its variants severely undermine the effectiveness of classical signature-based detection. Yet variants of malware families share typical behavioral patterns reflecting its origin and purpose. We aim to exploit these shared patterns for classification of malware and propose a method for learning and discrimination of malware behavior. Our method proceeds in three stages: (a) behavior of collected malware is monitored in a sandbox environment, (b) based on a corpus of malware labeled by an anti-virus scanner a malware behavior classifier is trained using learning techniques and (c) discriminative features of the behavior models are ranked for explanation of classification decisions. Experiments with different heterogeneous test data collected over several months using honeypots demonstrate the effectiveness of our method, especially in detecting novel instances of malware families previously not recognized by commercial anti-virus software.

Nach einem Einsatz als “spamfighter” kam Toomas Römer auf die Idee ein Spam Honeypot zu installieren. Hierfür verwendet er eine einfache WordPress Instanz mit modifizierter Kommentar PHP Datei welche alles POST Anfragen in ein Log schreibt.
Folgende Erkenntnisse erhofft sich Toomas:

• Statistiken über Spam anhand von IP, E-Mail, Autor und Inhalt
• Qualität des Spams, korrekte Referrer valide E-Mail Adressen?
• Auf welche Seiten wird verlinkt?
• Welche Domains und E-Mail Adressen werden oft verwendet?
• Wie viel Spam wird gesammelt?
• Wie lange dauert es, bis der Honeypot entdeckt wird?

Die Möglichkeit diesen Honeypot Live bei der Arbeit zu betrachten, findet man hier.

Wepawet ist ein Analysetool um Web Malware zu untersuchen. Aktuell kann man verdächtige Dateien hochladen. Das übergeben einer URL soll in Zukunft auch möglich sein. Nach Abschluss der Analyse erhält man eine Klassifizierung seines Samples und eine ausführliche Begründung wie es zu dieser Klassifizierung kam. Im Report erhält man zum Beispiel genaue Auskunft über vorher verschleierten Code, aufgerufene URLs und die verwendete Schwachstelle.

Ein besseres Bild kann man sich anhand der Sample Reports machen.

Wepawet wurde von den UCSB Security Lab Studenten Sean Ford und Marco Cova unter der Aufsicht von Professors Giovanni Vigna und Christopher Kruegel entwickelt.

Toomas Römer ist über


eval(gzinflate(base64_decode(‘FJ3HcqPsFkUf…


gestolpert. Wie sich herausstellt, war ein einfaches


$script = base64_decode($script);
$script = gzinflate($script);
echo $script;


nicht ausreichen, sondern musst mehrfach ausgeführt werden. Schlussendlich stieß er auf die c99madShell. PHP-Shells sind oft das gewünschte Resultat bei Angriffen auf Web Applications.
In seinem Blog findet man einen ausführlichen Bericht.

Der Webhoneypot von DShield versuch automatisierte Web Application Exploits zu sammeln. Dies soll den bisher auf das Netzwerk beschränkte Blick von DShield um die Ebene der Web Applications erweitern.
Der Honeypot selber ist sehr einfach gestrickt. Alles Anfragen und Header werden an die DShield Datenbank weiter geleitet.
Das Template besteht aus einer Sammlung verschiedener Web Applicationen. Die Anfrage wird anhand von regular Expressions analysiert und der Angreifer auf die entsprechende Seite weiter geleitet.

/(PHPBB.*)/i 101
/index.[^.]+$/ 102
/images\/(.*)/ 103
/(robots.txt)/ 104
/awstats?\/(.*)/ 105
/awstats?/ 105
/xampp/ 106
/freepbx\/(.*)/ 1500
/trix/ 1500
/asterisk/ 1500

Die Zahl dient als ID anhand dann eine täuschen echte Seite präsentiert wird, die jedoch nur eine Bestimmung hat: Informationen an DShield weiter reichen.
Den Honeypot findet man bei google-code.
Neue Templates bedeuten immer eine menge Arbeit. Aus einer dynamischen Seite muss eine weitestgehend statische werden.
Bei meinem Konzept kann man neue Web Applicationen mit einer einzigen Zeile Code hinzufügen. Jedoch biete ich weitaus weniger Interaktionsmöglichkeiten und visuelles Feedback für den Angreifer.

Update: In den letzten Tagen hat sich was getan. Die neuste Änderung findet man hier.

Nach einem verunglückten Festplatte und einigen Tagen Downtime ist das Honeyblog wieder zurück. Als Schmankerl veröffentlichte Thorsten die Folien zu einer Vorlesung über verschiedene Honeypots und Honeynets.
Er beschreibt darin wichtige Grundlagen und zeigt die Zusammenhänge zwischen Honeypots, Honeyclients und Sandboxes.