GlasBlog

Wie es scheint, leisten wir gute Arbeit bei der Entwicklung des Glastopfs, die Jungs von DShield haben unsere parseline.py Idee übernommen. Diese hat die Aufgabe, die eintrudelnden Files zu untersuchen und eine Antwort zu formen, die möglichst den Erwartungen des Angreifers entspricht. Sofern wir richtig antworten, bekommen wir vom siegessicheren Angreifer einen Bot, eine Shell oder einen Spreader geschickt.

Update: cdman83, fleißiger Entwickler bei DShield Honeypot, schreibt in seinem Blog über den “RFI Vulnerability Emulator“. Unter anderem wie er verwendet wird und wie man ihn einrichten muss. Außerdem verrät er den geplanten Release Termin der Beta Version: “May the 15th”, ich bin gespannt.

Katsumi (Weblog) hat einen ausführlichen Bericht über den Glastopf und seine Entstehung geschrieben. Weiterhin hat er ein paar Details zur Funktionsweise und dem Webinterface erläutert.
Den lesenswerten Artikel findet man hier.

Mark Hofman hat sich mit dem DShield Web Application Honeypot (Projekt Seite) beschäftig, und beim Aufsetzen fleißig mitgeschrieben. Das Ergebnis hat er in einem Blog Eintrag bei SANS veröffentlicht (Direktlink).
Interessant bei DShields Honeypot ist der zentrale Server, der die Daten aller beteiligten Honeypots sammelt.

Das Honeynet Projekt beteilig sich am Google Summer of Code (GSoC) als Mentor (wieso, weshalb, warum?)! Die Bewerbung von Honeynet bei GSoC kann hier nachgelesen werden.

Folgende Projekte sind verfügbar:

1. Improving our low interaction client honeypot (PHoneyC)
   Hauptziel ist die Integration von pyprofjsploit in PHoneyC. Je nach verfügbaren Mithelfern, will man noch “Deobfuscation Mechanisms by combining DOM Simulation and Javascript Engine“, “Client-side vulnerability analysis, signature generation and detection” und “Client-side exploit analysis to support collection of downloads” integrieren.
2. Improving the effectiveness of low interaction honeypots (Nepenthes/HoneyTrap/LibEmu)
   Aufbauend auf aktuelle Erkenntnisse aus vorhergegangenen Projekten soll die Entwicklung eines neuen “low interaction” Honeypots vorangetrieben werden.
3. Improving our high interaction client honeypots (Capture-HPC and CaptureBAT)
   Hierbei geht es, wie der Titel schon verrät, um die Erweiterung der beiden Capture* Projekte. Nähere Details zu diesem Projekt und ausführliche Beschreibung zu allen anderen, findet man auf der Honeynet.org Seite.
4. Developing a solution for managing client honeypots (New)
   Vorhandene client Honeypots sollen ihre gesammelten Daten zentral ablegen und ein Webinterface soll diese Ergebnisse präsentieren.
5. Improvements to high interaction honeypot data capture systems (Sebek and Virtual Machine Introspection)
   Folgende Ideen stehen im Raum: “Sebek Win32 Version – Improve Stability, Stealth, and Data Correlation” und “Virtualization Based Honeypot Monitoring“
6. Automatic generation of IDS signatures from honeynet data (Nebula)
   Nebula soll seine Signaturen in einem Web-Archiv präsentieren. Weiterhin soll die Integration eines Nebula Clients vorangetrieben werden.
7. Developing a user interface for analysing collected low interaction honeypot data (New)
   Die Daten verschiedener “low interaction” Honeypots sollen zentralisiert, durch verschiedene Analysen erweitert und in einem Webinterface dargestellt werden.
8. Improving Honeynet data visualisation (PicViz)
   PicViz soll für die Darstellung von Honeynet Daten optimiert werden.

Wer sich bewerben möchte, finde hier ein Template.

Ein Aspekt bei der Analyse von Malware ist der verwendete Packer (wiki:en:Runtime Packer). Sofern ein Windows System als Analyse Gerät dient, ist wohl PEID (Projekt Seite) mit einer Trefferrate von ca.  60% bis 70% die erste Wahl. Mit Mandiant Red Curtain (Tool Page) hatte ich eine Trefferquote von ca. 18% und packerid.py von Jim Clausing (Artikel bei SANS.org), welcher pefile (google Code Projekt Seite) verwendet, kam auf knappe 10%. Verwendet wurde hierbei einer Signaturen Datenbank von Panda Security (Link zur db).

Ein weiteres, leider nicht frei verfügbares Tool, entwickelt von Toni Koivunen (Malware-Blog) ist Sigbuster. Verwendet wird es zum Beispiel von Anubis und Shadowserver. Letzterer veröffentlicht die gewonnenen Ergebnisse hier.

Die Anubis Sandbox wurde um ein weiteres Feature erweitert: Clustering in einer Familie aufgrund gemeinsamer Verhaltensstrukturen. Dies bedeutet, aufgrund seines Verhaltens erhält ein Binary ein abstraktes Profil. Aus der Menge dieser erzeugt ein Algorithmus die einzelnen Familien mit ähnlichem Verhalten. Dies soll die Auswertungsarbeit der einzelnen Analyse Reports der Sandbox reduzieren, da man bekannte Samples ignorieren und sich um Ausreißer kümmern kann.

Die Theorie die hinter all dem steckt, lässt sich in einem auf dem Network & Distributed System Security Symposium (NDSS 09) vorgestellten Paper, Scalable, Behavior-Based Malware Clustering (Direktlink), anschaulich nachlesen.

Auf der Homepage von Anubis gibt es nun die Cluster Seite. Hier kann man das Resultat des Profilings betrachten und sich die zu einem Cluster gehörenden Samples auflisten lassen.

Nun enthalten Analyse Reports, sobald das Sample einem Cluster zugeordnet wurde, auch einen Link auf diesen (Beispiel). Dieser soll, sobald das Clustering inkrementell arbeitet, sofort verfügbar sein.

Das VRT (Vulnerability Research Team) hat vor kurzer Zeit ein neues Feature auf ClamAV.net veröffentlicht: Der “Active Malware Report” (Direktlink). Hier werden aktuelle Daten zu übersichtlichen Toplists und Grafiken zusammengefasst und hiermit ein schneller Überblick über aktuelle Ereignisse gegeben.
Die gesammelten Daten bestehen aus den Einsendungen von Freshclam (man freshclam) dem Aktualisierungsprogramm für ClamAV.

Schnucki versucht mehr über das Verhalten und die Methode von sogenannten Mail-Harvester (en:Wiki Web-Crawler) zu sammeln. Hierfür wird eine Liste mit generierten Mail Adressen erstellt, die alle mit einer anderen Methode verschleiert wurden. Weiterhin enthalten sie Informationen über den Zeitpunkt und die IP des Harvesters.

Schnucki der Universität Mannheim: Schnucki Mannheim
Christian Gorecki: Schnucki Gorecki
CCC Köln: Schnucki CCC

An der Universität Mannheim hat man den Entschluss gefasst, anstatt auf vielen Servern Honeypots zu installieren, einfach RFI Versuche auf einen einzelnen Honeypot/Server um zu leiten. Hierfür erweitert man seinen Apachen einfach um eine .htaccess Datei, die alle Anfragen die “=http://” enthalten auf http://link.informatik.uni-mannheim.de weiterleiten.

Arbor Networks hat den ATLAS 2.0 veröffentlicht (Bericht). ATLAS (Active Threat Level Analysis System) sammelt Daten aus einer Vielzahl von Quellen und visualisiert das Ergebnis. Das Resultat ist sehr beeindruckend und bietet eine Fülle an Funktionen. Folgende Punkte sind hinzu gekommen:

• Collaboration with over 100 ISPs across 17 countries
• Expanded Fingerprint Sharing Alliance participation
• Real-time ‘coarse’ Internet traffic levels, protocols, and applications
• Topologically diverse global view of Internet routing system security, stability and intelligence
• Topologically diverse DNS system inputs and analysis (e.g., to identify fast flux and other DNS-related threats)
• Attack traffic data flows and trajectory information