Re[18]: Грабим траффик и потом используем награбленное - Сети, сокеты, протоколы

Здравствуйте, -prus-, Вы писали:

P>Вы не могли бы привести список коммерческих или фриварных программных или программно-аппаратных
P>систем обнаружения (и предотвращения) компьютерных атак и пакетных фильтров,
для дома, офиса или корпорации?

P>наиболее полно и качественно делают свое дело?
P>Знаю про Snort,
Snort это не столько IPS, это ставший стандартом формат описание сигнатур. есть куча независимых реализаций Snort'a, но ограниченность его формата убивает всю идею. скажем так, от атак на браузеры Snort-подобные системы не защищают в принципе. впрочем, на настоящий момент с ними никто не может справиться

> Proventia IPS, McAfee IntruShield,
McAfee IntruShield наш конкурент. мы пишем McAfee NTR. и последний пока круче по тестам получается. во-перых (это заслуга Kun'a Luo) NTR единственный инструмент для анализа сессий. в том смысле, что он не просто защищает от атак, но позволяет реконструировать весь трафик с/на таких-то узлов по таким-то критериям. конкретный пример. хакер с узла А атакует кастомера на узле Б и заброшненный шелл-код скачивает трояна с узла В. допустим, мы распознали одну фазу атаки (допустим, это был известный троян и мы его опознали), но ХЗ как нас поимели. а вот и не ХЗ! NTR это очень клево реконстрирует. а с учетом того, что NTR использует распределенную сеть сенсоров, к которой имеют доступ кастомеры, можно посмотреть кого этот хакер еще атаковал, и с каких еще узлов скачивался данный троян. очень клево наблюдать за эволюцией заразы. сначала хакер делает первые робкие эксперименты (не зная что у кучи провайдеров стоит NTR и палит атки, особенно не сильно извращенные). и мы (коллектив разработчиков) эти эксперименты видим и готовим противояние _одновременно_ с разработкой трояна нового поколения. и потому мы его рульно палим

а нашим кастомерам очень нравится наблюдать в реальном времени, что вообще сейчас происходит в сети. ну вот я могу шас посмотреть какой зловреднй pdf шлет парень из питера чуваку из торонто. или кто-то закачивает новый сплоит на какой-то формум. так!!! а ну поднять базу — что еще скачивал/закачивал данный перец за последнее время.

моя заслуга — это детектор Java Script'ов в HTML и PDF. эвристикой. ну и прочие эвристические модули. в этой части NTR сильно выигрывал у IS, но сейчас уже завершается интеграция моего кода в IS и через какой-то время выйдет очередной релиз, и IS будет не хуже NTR, но NTR щас готовится совершить новый _качественный_ скачок вперед, улучшив качество детекции скриптов в разы (заслуга нашего нового сотрудника, кстати, парня из россии).

кстати, у меня есть эксклюзивное право поставки NTR в россию за бесплатно в полной версии, но нас интересуют только большие компании.

> Check Point, еще что-то там...
еще есть панда, витающая в облаках. в смысле клаудс технология. распределенные сенсоры. примерно такие как у нас, только в ряде пунктов панда нас делает. попробуйте панду, может, понравится.

Здравствуйте, donkombat, Вы писали:

>>Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес.
D>попробовал, не отрабатывает. tcp_replay.exe пояавляется в списке процессов, но в tcpview.exe его не видно (он не создает соединений)

Не, он просто пробрасывает пакеты через интерфейс не устанавливая ни с кем соединений.
Попробуй wireshark'ом посмотри, идет ли трафик через выбранный тобою интерфейс.

Здравствуйте, donkombat, Вы писали:

D>С помощью каких средств ее реализовать? Спасибо!

Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.

Здравствуйте, donkombat, Вы писали:

D>Здравствуйте, мыщъх, Вы писали:
D> Например появилась сигнатура для Snort и надо ее протестировать.
не получиться. тут думать надо. возьмем две сигнатуры снорта которые я видел. и который палят червей. но... зашибись как они это делают.
номер 1. ищем '=unescape;'
номер 2. ищем '= unescape ;'

кстати, номер один сработал (чудом) на трояне "8 марта". но в общем случае обе сигнатуры галимые и сколько они будут выдавать ложно негативных срабатываний можно только гадать... а вот сколько ложно-позитивных?

но html по крайней мере интуитивно понятен. когда же мы работаем с протоколами на более низком уровне, то там постоянно встречаются подлянки типа недокументированных флагов фрагментации или прочих фич. и очень сложно разобраться какие тут еще вектора атаки.

вот известный пример с переполнением в \..\ и ведь многие компании подсуетились и вписали правило для \..\ и /../, но вот я, просматривая базы сигнатур, обнаружил, что там нету варианта /..\ и \../ — а винда их хавает! мы пофиксили багу, хотя атак с такими извратами так и не словили. но это хороший пример того, что никогда не знаешь в какую попу какой какаду клюнет.

> Для этого траффик грабится в огромных размерах и всех протоколов, а потом сигнатура тестируется.
ну вот у нас кажется 600 Тб специального тестового трафика, который сгенерили в беркли и который возможно даже общедоступен. я не в курсе. но трафик кривой. там далеко не все то, что встречается в реальной жизни. но по крайней мере он нам помогает убедиться, что в результате изменения кода ничего не поломалось. то есть грубо говоря мы ловили в этом трафике 100 атак, а после изменения кода 200 — то либо мы поумнели, либо поперли фэлсы.

а так тестируем в основном на фалсе позитивес по ругони клиентов. ну хонейпоты. ну еще эвристика до какой-то степени выручает. а так бывает, что сигнатура для данной атаки есть, тестовые примеры прошли, а в рельной жизни она не сработала из-за ошибке в http декодере скажем.

> Я хочу подобную систему, но в 100 раз меньше

домашнюю систему для тестирования сигнатуры!
дома практически нереально. даже если сама сигнатура составлена правильно (например, учитывает, что протокол может быть и udp и tcp), из-за ошибок в постороннем коде до нее дело может не дойти. скажем, идет фрагментированный пакет, вы его собираете, но криво. и у вас ошибка проявляется только при стечении кучи обстоятельств.

все фаеры содержат кучу багов. и лажают. а тестировать это сложно. хотя для дома достаточно скачать публичные сплоиты для данной дыры и проверить как вы их отбиваете.

для серьезных случаев пишутся автоматизированные тексты, генерирующие трафик со всеми возможными вариациями. в принципе, ядро генератора простое. для одного из последних сплоитов такой генератор сгенерил тысячи сессий, причем, модуль генерации уложился в 10 строк на си. и половина этих сессий прошла мимо сигнатуры. обычое дело. сигнатуру пофиксили и она ушла в апдейт. ес-но, тестирование занимает время и силы, но... полностью автоматизировать это невозможно.

Здравствуйте, donkombat, Вы писали:

D>Собираю, просит libpcap.lib по понятным причинам

я кормлю ему libpcap.lib и получаю еще 32 ошибки линкера.

Ага, мы тоже долго его собирали и в итоге получилось.
Я тебе на почту сбросил бинарник и библиотеку.
Установи winpcap и попробуй.

Здравствуйте, -prus-, Вы писали:

P>Это на будущее Вы его прально озадачили

.
и обратите внимание, я даже не рекомендовал ему использовать готовый фаер, вместо самописного. т.к. хорошо знаю какая эта кака коммерческие фаеры

P> Пока ему нужно просто сигнатуру одну единственную без всяких ухищрений погонять и посмотреть,
P> как его средство работает.
а как ее гонять? надо генерить трафик с учетом всех вариаций, типа фрагментации и т.д. а там все может быть:

1) сигнатура правильная, но есть ошибка в пакетном фильтре (например, перехватываются не все пакеты, чекаются не все интерфейсы)

2) ошибка в сборщике tcp (если он вообще есть)

3) вообще ошибка в логике, типа пытались задавить вредоносный пакет, а при определенных обстоятельствах это не получилось.

и это безотносительно самой сигнатуры!!! это движок. который с пол-пинка не напишешь. и который предположительно содержит баги.

P> Потом допрет до всего этого и учтет все.
конечно, учтет. вот потому я и предложил ему поддержать pcap'ы и отделить пакетный фильтр от всего остального. тогда, по крайней мере, не нужно будет пускать червя каждый раз, ну и я смогу подкинуть несколько нетривальных pcap'ов для тестирования

Добрый день!
У меня есть wireshark трасса с трафиком сетевого червя. Из этого траффика я выделил сигнатуру атаки, которую использует червь для распространения. И сейчас, во время тестирования я подумал, что намного удобнее хранить определенным образом награбленный трафик и потом использовать его для тестирования, чем каждый раз запускать червя на виртуалке и заставлять его атаковать. Поделитесь пожалуйста идеями по поводу того как это можно организовать. Спасибо!

Здравствуйте, donkombat, Вы писали:

> определенным образом награбленный трафик и потом использовать его для тестирования,
> чем каждый раз запускать червя на виртуалке и заставлять его атаковать.
на чем и чем тестируем? и главное что? куча секьюрных продуктов поддерживают pcap'ы. грабим и сохраняем.

Здравствуйте, мыщъх, Вы писали:
М>на чем и чем тестируем? и главное что?
Я в своем NDIS драйвере закодил возможность проверять в пакетах наличие шаблона, переданного из юзер-мода. трафик у меня награблем от старого червя, который использует переполнение, вызывая RemoteCreateInstance DCE RPC request.
М>куча секьюрных продуктов поддерживают pcap'ы. грабим и сохраняем.
Ну может назовешь несколько?

Здравствуйте, donkombat, Вы писали:

D> Я в своем NDIS драйвере закодил возможность проверять в пакетах наличие шаблона,
D> переданного из юзер-мода. трафик у меня награблем от старого червя, который
D> использует переполнение, вызывая RemoteCreateInstance DCE RPC request.
а, ну это не задача NDIS. тогда ваш драйвер становится просто поставшиком трафика, который проверяется на соответствие чему-то. а вот проверяющему модулю в идеале должно быть по барабану откуда этот трафик получен. хоть из pcap'a, хоть из "живой" сети.

М>>куча секьюрных продуктов поддерживают pcap'ы. грабим и сохраняем.
D>Ну может назовешь несколько?

ну вот NTR, например

Snort — он вообще оперсоурсный. можно даже посмотреть как там это устроено.

Здравствуйте, мыщъх, Вы писали:
М>ну вот NTR, например

Snort — он вообще оперсоурсный. можно даже посмотреть как там это устроено.
Я наверно плохо описал вопрос. Я знаю про Snort, дело как раз в том что я хочу настроить систему тестирования. А вот придумал

, Snort как раз подойдет для объяснения! Например появилась сигнатура для Snort и надо ее протестировать. Для этого траффик грабится в огромных размерах и всех протоколов, а потом сигнатура тестируется. Я хочу подобную систему, но в 100 раз меньше

домашнюю систему для тестирования сигнатуры! С помощью каких средств ее реализовать? Спасибо!

P>Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
P>На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
P>Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
P>Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.
+1 Спасибо! буду пробовать...

Здравствуйте, мыщъх, Вы писали:

...

Это на будущее Вы его прально озадачили

.
Пока ему нужно просто сигнатуру одну единственную без всяких ухищрений погонять и посмотреть, как его средство работает.
Потом допрет до всего этого и учтет все.

Здравствуйте, мыщъх, Вы писали:

...

Крис, у меня к Вам вопрос, не совсем точно касающийся той тематики, которая тут обсуждается...
Вы не могли бы привести список коммерческих или фриварных программных или программно-аппаратных
систем обнаружения (и предотвращения) компьютерных атак и пакетных фильтров, которые, по Вашему мнению,
наиболее полно и качественно делают свое дело?
Знаю про Snort, Proventia IPS, McAfee IntruShield, Check Point, еще что-то там...

Буду очень благодарен!

Здравствуйте, мыщъх, Вы писали:

М>для дома, офиса или корпорации?

корпорация.

М>мы пишем McAfee NTR. и последний пока круче по тестам получается. во-перых (это заслуга Kun'a Luo) NTR единственный инструмент для анализа сессий. в том смысле, что он не просто защищает от атак, но позволяет реконструировать весь трафик с/на таких-то узлов по таким-то критериям.

А вот это уже интересно нереально.
Анализ сессий и реконструирование трафика — это вещь. Походу все, что я знаю про те средства, которые перечислил, рядом не стояло

.
А можно про McAfee NTR документик какой-нибудь почитать, но не рекламный проспект, а что-нить более интересное?
Буду благодарен!

Здравствуйте, -prus-, Вы писали:

М>>для дома, офиса или корпорации?
P>корпорация.
тогда вы наш клиент

P> А вот это уже интересно нереально.
P> Анализ сессий и реконструирование трафика — это вещь.
именно. причем вы можете быть как частью распределенной сети сенсоров, так и не отдавать никакого фидбека наружу, полностью замыкаясь в себе.

P> Походу все, что я знаю про те средства, которые перечислил, рядом не стояло

.
да, NTR (бывший AMP) основан на научной работе моего шефа, основателя Эндевор Секьюрити, ставшей сейчас частью империи McAfee. реконструкция TCP/IP сессий и возможность сделать мгновенную выборку по данному IP это намного больше, чем просто IPS. очень хорошо ловить инсайдеров

ну и так же можно делать выборку по шаблонам поведения. ну допустим, шаблон, описывающий атаку на новую дыру в IE. можно посмотреть с каких адресов и на какие были атаки и что при этом скачивалось/закачивалось. и полиси можно применить к поиску в уже существующем трафе. допустим, полись на скачивание драйверов в виде бинарника (что делают руткиты) и посмотреть что ей предшествовало. то есть откуда этот руткит вообще вылез-то?

P>А можно про McAfee NTR документик какой-нибудь почитать, но не рекламный проспект, а что-нить более интересное?
на сайте только рекламные буклеты. но на мыло могу выслать draft юзер гайда. как потенциальному покупателю

Здравствуйте, мыщъх, Вы писали:

М>да, NTR (бывший AMP) основан на научной работе моего шефа, основателя Эндевор Секьюрити, ставшей сейчас частью империи McAfee. реконструкция TCP/IP сессий и возможность сделать мгновенную выборку по данному IP это намного больше, чем просто IPS. очень хорошо ловить инсайдеров

ну и так же можно делать выборку по шаблонам поведения. ну допустим, шаблон, описывающий атаку на новую дыру в IE. можно посмотреть с каких адресов и на какие были атаки и что при этом скачивалось/закачивалось. и полиси можно применить к поиску в уже существующем трафе. допустим, полись на скачивание драйверов в виде бинарника (что делают руткиты) и посмотреть что ей предшествовало. то есть откуда этот руткит вообще вылез-то?

Ага, что касается мониторинга клиентов, понятно. А для отслеживания атак на серверные составляющие сети, например, Web-ресурс (сайт), БД и прочее,
данный комплекс подойдет?

М>но на мыло могу выслать draft юзер гайда.

Буду признателен! Если я вам напишу на мэйл, который у Вас в профиле, это нормально будет? Он рабочий?

М>как потенциальному покупателю

Все будет зависить, в первую очередь, от решения начальства

. И, естественно, от функционала Вашего продукта.
Кстати, есть ли документ, описывающий результаты экспериментов и испытаний NTR? Если не удобно здесь, можно продолжить по мылу.

Здравствуйте, -prus-, Вы писали:

P> Ага, что касается мониторинга клиентов, понятно. А для отслеживания
P> атак на серверные составляющие сети, например, Web-ресурс (сайт),
P> БД и прочее, данный комплекс подойдет?
на БД — сигнатуры на SQL инъекции обновляются в реальном времени, ну и там большинство сигнатур как раз БД, Web, php скрипты движков всяких. обнаруживаются как атаки, так и эксперименты. например, если я хочу файл /blog/admin/../admin/root.php, то это еще не атака, но сам факт эксперимента...

вот тут можно найти примеры того, что есть:
http://www.endeavorsecurity.com/signatures.php

М>>но на мыло могу выслать draft юзер гайда.
P>Буду признателен! Если я вам напишу на мэйл, который у Вас в профиле, это нормально будет? Он рабочий?
не совсем. я сейчас не смогу его проверить, там привязка к статическому ip, ну а я сейчас в порту через вайфай.

М>>как потенциальному покупателю

P>Все будет зависить, в первую очередь, от решения начальства

у вас столько денег не будет. $13k — демонстрационный vm ware имаге, $70k — продукт в коробке. но если будет фидбек — можно и бесплатно. россия у нас плохо охвачена. но прежде чем двигаться продажники хотят оценить потенциал. потому типа акция. возмьми продукт стоимостью в семьдесят килобаксов в подарок.

P> Кстати, есть ли документ, описывающий результаты экспериментов и испытаний NTR?
есть документация, дающая понять что это вообще такое. еще можно получить доступ к web-морде демонстрационного узла с установленным NTR, чтобы увидеть его в работе. туда же можно залить и pcap'ы и посмотреть как он на них среагирует. с моей подачи с некоторого времени NTR стал ругаться матом. то есть выдавать нормальную техно инфу по обнаруженным сплотам. типа у вас тут html, в нем скрипт, генерирующий другой скрипт, а в нем анескейп, а в нем... ну вот смотрите дизассемблерный код шифровщика, а вот ключ которым это ксорится. а вот зашифрованный url, с которого стягивается основное тело. то есть это еще и инструмент реверсера. хотя не уверен, что вам это будет интересно.

> Если не удобно здесь, можно продолжить по мылу.
да не, здесь вполне удобно. может еще заинтересованные лица подтянуться. с той или другой стороны. я вот (как автор эвристика) предлагал хакерам на интерес — а как на счет того, чтобы его обойти? я-то знаю, что обойти можно, но знают ли об этом хакеры? это ж серверный продукт. что он конкретно ловит и как палит — не все так очевидно. но что-то желающих хакеров (на интеллектуальный поединок, а не за бабки) так и не нашлось

Здравствуйте, мыщъх, Вы писали:

М>на БД — сигнатуры на SQL инъекции обновляются в реальном времени, ну и там большинство сигнатур как раз БД, Web, php скрипты движков всяких. обнаруживаются как атаки, так и эксперименты. например, если я хочу файл /blog/admin/../admin/root.php, то это еще не атака, но сам факт эксперимента...

это нужно. Взлому, как правило, предшествует прощупывание и об этом нужно и важно знать.

М>вот тут можно найти примеры того, что есть:
М>http://www.endeavorsecurity.com/signatures.php

изучу обязательно.

М>не совсем. я сейчас не смогу его проверить, там привязка к статическому ip, ну а я сейчас в порту через вайфай.

тогда я отпишу, а Вы ответите, когда сможете. Или ящик другой скажите и я отпишусь на него.

М>у вас столько денег не будет. $13k — демонстрационный vm ware имаге, $70k — продукт в коробке.

Бывало большей стоимости покупали программно-аппаратные решения. Вопрос в функциональности.

М>есть документация, дающая понять что это вообще такое. еще можно получить доступ к web-морде демонстрационного узла с установленным NTR, чтобы увидеть его в работе. туда же можно залить и pcap'ы и посмотреть как он на них среагирует. с моей подачи с некоторого времени NTR стал ругаться матом. то есть выдавать нормальную техно инфу по обнаруженным сплотам. типа у вас тут html, в нем скрипт, генерирующий другой скрипт, а в нем анескейп, а в нем... ну вот смотрите дизассемблерный код шифровщика, а вот ключ которым это ксорится. а вот зашифрованный url, с которого стягивается основное тело. то есть это еще и инструмент реверсера. хотя не уверен, что вам это будет интересно.

Бывали случаи, когда ловили трафик с наложенным ксором, так что это все отлично и нужно и интересно.
Документация нужна, чтобы я смог ознакомиться и начальству сообщить, что это за штуковина и что она умеет.

М>я вот (как автор эвристика) предлагал хакерам на интерес — а как на счет того, чтобы его обойти? я-то знаю, что обойти можно, но знают ли об этом хакеры? это ж серверный продукт. что он конкретно ловит и как палит — не все так очевидно. но что-то желающих хакеров (на интеллектуальный поединок, а не за бабки) так и не нашлось

Вы это как черный ящик предлагаете или все-таки что-то даете в помощь, например, образ ОС Вашего продукта?

Здравствуйте, -prus-, Вы писали:

P>это нужно. Взлому, как правило, предшествует прощупывание и об этом нужно и важно знать.
и смотреть с какого IP идут запросы и что с него еще идет

вообще, люди временами делают очень причудливые эксперименты, о которых так же знать невредно.

М>>не совсем. я сейчас не смогу его проверить, там привязка к статическому ip, ну а я сейчас в порту через вайфай.
P>тогда я отпишу, а Вы ответите, когда сможете. Или ящик другой скажите и я отпишусь на него.
через час выдвигаюсь на москву. буду там уже ночью. следовательно домой попаду только завтра вечером. тогда и прочу. еще можно написать на info # RE — LAB . org

М>>у вас столько денег не будет. $13k — демонстрационный vm ware имаге, $70k — продукт в коробке.
P>Бывало большей стоимости покупали программно-аппаратные решения. Вопрос в функциональности.
функционал под такие деньги и под ключ прикрутить можем. в частности, один кастомер захотел не просто детектить сплоиты, но еще и автоматом извлекать из них урлы, даже если они пошифрованы. ему было нужно базу таких адресов автоматом создавать. ну мы написали. после чего это и другим понравилось. кстати, само по себе это неожиданно увеличило качество детекции атак. ну сами по судите если мы вытянули зашифрованный урл pdf'a или html'а -- на фига его шифровать, если он белый и пушистый?

а другому клиенту потребовалось ловить хакеров в континентальном масштабе. и писателей малвари. сделали. по "водяным знакам" в exe, оставленным линкером, отталкиваясь от того факта, что люди, пишушие клевую малварь обычно пишут и что-то другое. честные продукты, распространяемые от их имени. и если мы может установить, что "супер мега тетрис" васи пупкина компилировался и линковаля на той же тачке, что и "супер троян", то васю можно взять за яйца и всадить ему паяльник с раскаленным жалом по самые жабры.

а другому клиенту потребовалось построить "сеть друзей", основываясь на том, кто что и кому пишет на мыло и какие люди ходят на один и те же сайты.

P>Документация нужна, чтобы я смог ознакомиться и начальству сообщить, что это за штуковина и что она умеет.
ну это понятно. документацию вышлю. ну и презенташку на всякий случай.

P> Вы это как черный ящик предлагаете или все-таки что-то даете в помощь, например, образ ОС Вашего продукта?

черный ящик, конечно. хотя могу и подсказать что-то. но хакеры зажаты между крайностей. если код простой — его легко пропалить, автоматом поняв что он делает. если код излишне сложный (особенно жаба скрипт), то это повод задуматься — а не атакуют ли нас? хотя, конечно, коммерческие жаба скрипты хитрожопые часто, но для них есть белые списки.

короче, нельзя быть хитрожопым, но и простым быть нельзя. детектор обфускации очень просто пишется, но сложно обходится. а для защиты обфускация это как если в банк заходит человек в маске. может и не грабитель — хз кто он такой. но вот тут можно применить спец проверку. типа запустить это на виртуальном движке и посмотреть результат. а он будет

ес-но все скрипты запускать таким образом нельзя — никаких ресурсов не хватит.

то есть в настоящий момент чтобы обойти защиту нужно чтобы скрипт обламывал простой (но высокоскоростной) статический однопроходной парсер, но при этом не был слишком "нетипичным", чтобы мы не пустили его по медленному пути с использованием эмуляции.

ну вот из двухсот pdf сплоитов выбранных наугад эвристика ловит где-то 190. а остальные — они просто неработоспособны. типа просто крэш абоды или автор даже их не тестировал. кстати, pdf сейчас основной вектор атаки. от них трудно отказаться. часто приходится получать что-то в pdf от разных посторонних лиц.

Здравствуйте, мыщъх, Вы писали:

М>функционал под такие деньги и под ключ прикрутить можем.

Это гуд

.

М>а другому клиенту потребовалось ловить хакеров в континентальном масштабе. и писателей малвари. сделали.
М>а другому клиенту потребовалось построить "сеть друзей", основываясь на том, кто что и кому пишет на мыло и какие люди ходят на один и те же сайты.

Нам нужны хакеры и писатели малвари. Карта взаимодействия тоже отлично.

М>ну вот из двухсот pdf сплоитов выбранных наугад эвристика ловит где-то 190. а остальные — они просто неработоспособны. типа просто крэш абоды или автор даже их не тестировал. кстати, pdf сейчас основной вектор атаки. от них трудно отказаться. часто приходится получать что-то в pdf от разных посторонних лиц.

Для нас важно пока обнаружывать попытки атак, непосредственно сами атаки или их результат (утечка данных, например, или использование сервера как дедика или для организации дос и ддос атак и т.п.) для "классической", с Вашего позволения так назову

, ситуации, когда есть сервер (в частности, Web-ресурс, как и говорил уже), который находится под нашим присмотром, и нам нужно мониторить аномальную активность в отношении него, ну и соответственно, если атака прошла успешно, дальнейшее развитие.

Еще важную детальку упустил... Желательно, чтоб ложных срабатываний было как можно меньше. И, если обнаружена атака, трафик дампился аномальный, чтоб потом его руками можно было посмотреть.

М>через час выдвигаюсь на москву. буду там уже ночью. следовательно домой попаду только завтра вечером. тогда и прочу. еще можно написать на info # RE — LAB . org
М>документацию вышлю. ну и презенташку на всякий случай.

Спасиб! Отлично! Тогда спишимся.

Здравствуйте, -prus-, Вы писали:

P> Для нас важно пока обнаружывать попытки атак, непосредственно сами атаки или их результат
ну это любой ипс может. у нас пока два направления прорабатываются. направление официально поддерживаемое компанией — это (грубо) удобная навигация по награбленному трафику (со всеми полисями, алертами и шаблонами атак которые были распознаны). короче инструмент для наблюдения за паранормальной сетевой активностью.

моя самодеятельность — распознавание новых атак. и у меня это так скажем неплохо получается. ну а начальство видит тут для себя выгоду какого плана: если сработала сигнатура (или типовой шаблон, описывающий вектор уязвимости) и сработал мой эвристик, то это 100% попадание в эпицентр.

> который находится под нашим присмотром, и нам нужно мониторить аномальную активность в отношении него,
кстати, я тут ищу клиента на готовый функционал — отслеживать заливку на сервер исходных текстов сплоитов. в том числе новых. в исходных текстах поймать их эвристикой легче в разы. ну а потом уже можно автоматом выделять бинарные сигнатуры и искать их в остальном трафике. но и сам факт заливки сплоитов на сервер... и отслеживание IP заливающего. это же хакер ясное дело. скачивают сплоиты многие придурки (и поисковики), а вот закачивают... но никому этот функционал не нужен. и никого из наших кастомеров он не возбуждает. может, вам пригодится

P>Еще важную детальку упустил... Желательно, чтоб ложных срабатываний было как можно меньше.
ну у меня есть два уровня детекции атаки. уверен и подозрение. из 100 атак у меня в среднем 92 распознается как уверен. и тут ложные срабатывания большая редкость. ещe 5 атак получают статус подозрения и ложных срабатываний тут довольно много. поэтому по умолчанию подозрения вообще не отображаются и мы ловим 92% новых атак. не так уж и плохо. остальное — удел реактивных сигнатур.

P> И, если обнаружена атака, трафик дампился аномальный, чтоб потом его руками можно было посмотреть.
это да. и в очень наглядной форме. и с возможностью реконструкции tcp сессий. ну и контент можно посмотреть.

Здравствуйте, мыщъх, Вы писали:

М> и отслеживание IP заливающего. это же хакер ясное дело. скачивают сплоиты многие придурки (и поисковики), а вот закачивают... но никому этот функционал не нужен. и никого из наших кастомеров он не возбуждает. может, вам пригодится

Несомненно. Однако, как показывает практика, практически все случаи атак из вне идет через прокси. Поэтому IP не всегда нужный.
У Вас там случаем не велись какие-нить работы по выявлению атакующего по трафику, если он за проксей или цепочкой проксей сидит?
Это, понимаю, практически невозможно, но все-таки...

Здравствуйте, мыщъх, Вы писали:

...

Крис, я Вам намылил на оба ящика.

Здравствуйте, -prus-, Вы писали:

P>Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
P>На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
P>Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
P>Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.

А без Linux можно это организовать?

Здравствуйте, donkombat, Вы писали:

D>Здравствуйте, -prus-, Вы писали:

P>>Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
P>>На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
P>>Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
P>>Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.

D>А без Linux можно это организовать?
Да вроде, да. надо cygwin ставить.

Здравствуйте, donkombat, Вы писали:

D>>А без Linux можно это организовать?
D>Да вроде, да. надо cygwin ставить.

Можно все на Windows сделать...
Нужен windump и tcpreply для Windows. В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.

Здравствуйте, -prus-, Вы писали:

P>Можно все на Windows сделать...
P>Нужен windump и tcpreply для Windows. В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.

Я себе уже Cygwin поставил. Хочу поработать с ним. Если часов до 14.00 не получится, то поищу исходники tcprelay.

Здравствуйте, -prus-, Вы писали:

P>Можно все на Windows сделать...
P>В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.
Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Здравствуйте, donkombat, Вы писали:

D>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Ок, только завтра смогу это сделать. Постараюсь с утра...

Здравствуйте, donkombat, Вы писали:

D>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Вот скачать можешь отсюда (tcpreplay win32).
Там правда какие-то проблемы были при сборке. Нужно повозиться будет.
Попробуй разберись. Если будут трудности, то попробую бинарник найти и прислать.
Пиши, если что.

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

D>>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

P>Вот скачать можешь отсюда (tcpreplay win32).
P>Там правда какие-то проблемы были при сборке. Нужно повозиться будет.
P>Попробуй разберись. Если будут трудности, то попробую бинарник найти и прислать.
P>Пиши, если что.

При сборке много ругается так:

Error 17 error C3163: '_vsnprintf': attributes inconsistent with previous declaration C:\Program Files\Microsoft Visual Studio 9.0\VC\include\stdio.h 358 wpcap

Я иду в google и нахожу там: Search in the LibXML project and replace all the symbols 'vsnprintf' to '_vsnprintf'. also comment out
#define vsnprintf(b,c,f,a) _vsnprintf(b,c,f,a)
Но LibXML не используется в проектах, поэтому комментирую дефайн в stdio.h
Собираю, просит libpcap.lib по понятным причинам

я кормлю ему libpcap.lib и получаю еще 32 ошибки линкера.
Пока оставлю, и попробую собрать под Cygwin'om линуксовые версии.

Здравствуйте, -prus-, Вы писали:

P>Ага, мы тоже долго его собирали и в итоге получилось.
P>Я тебе на почту сбросил бинарник и библиотеку.
P>Установи winpcap и попробуй.

Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине

завтра еще научусь пулять траффик с одной машины на другую!

Здравствуйте, donkombat, Вы писали:

D>Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине

завтра еще научусь пулять траффик с одной машины на другую!

Ага, давай. Успеха!

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

D>>Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине

завтра еще научусь пулять траффик с одной машины на другую!

P>Ага, давай. Успеха!

Есть у меня pcap. Я хочу повторить траффик поменяв Src/Dst IP. Посмотрел что об этом пишут на форумах и в мануалах и нашел:
./tcpreplay -i eth0 -e 1.1.1.1:2.2.2.2 test.pcap : у меня нет -e, использовал -s:
./tcpreplay -i 1 -s 1.1.1.1:2.2.2.2 test.pcap — не отрабатывает
пробовал убрать -i тоже не работает. За трафиком следил с помощью wireshark.
Подскажите как можно это организовать. Спасибо.

Здравствуйте, donkombat, Вы писали:

D>./tcpreplay -i 1 -s 1.1.1.1:2.2.2.2 test.pcap — не отрабатывает
D>пробовал убрать -i тоже не работает. За трафиком следил с помощью wireshark.
D>Подскажите как можно это организовать. Спасибо.

Попробуй после -i поставить название интерфейса из реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards

Разверни узел и там увидешь узлы с цифирками. Если у тебя несколько сетевых интерфейсов, то там будет несколько узлов. Выбери нужный.
В ключе ServiceName будет GUID карточки. Прибавь его к \Device и попробуй.

Т.е. что-то вроде того должно получиться

./tcpreplay -i \Device\{D49F0DE6-A70B-445F-97B3-4E9516137E86} -s 1.1.1.1:2.2.2.2 test.pcap

Мы вообще пуляем трафик через хаб, поэтому просто указываем интерфейс и файл, т.е. IP не заменяем.
Попробуй также организовать у себя соединение по типу хаба, если не получится, как выше описано.

Здравствуйте, -prus-, Вы писали:

...

Или ты это под Linux'ом делаешь?

Здравствуйте, -prus-, Вы писали:

P>Или ты это под Linux'ом делаешь?
под Windows, сейчас попробую.

Здравствуйте, -prus-, Вы писали:

Попробовал, пока не получается, буду тренироваться еще

P>Мы вообще пуляем трафик через хаб, поэтому просто указываем интерфейс и файл, т.е. IP не заменяем.
P>Попробуй также организовать у себя соединение по типу хаба, если не получится, как выше описано.

Для этого нужен роутер, который заменит ip адреса? Или это можно реализовать программно? Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес. Или есть варианты проще и лучше?

>Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес.
попробовал, не отрабатывает. tcp_replay.exe пояавляется в списке процессов, но в tcpview.exe его не видно (он не создает соединений)

Здравствуйте, donkombat, Вы писали:

D>Для этого нужен роутер, который заменит ip адреса? Или это можно реализовать программно? Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес. Или есть варианты проще и лучше?

Не-не, хаб он сам по себе дублирует все поступающие на какой-нибудь порт данные на всех остальных портах.
TDI тут не поможет, т.к. tcpreplay работает через NDIS, а это ниже TDI.

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

P>Не, он просто пробрасывает пакеты через интерфейс не устанавливая ни с кем соединений.
P>Попробуй wireshark'ом посмотри, идет ли трафик через выбранный тобою интерфейс.

Идет и трафик тот что надо! только IP адреса другие. В оригинале есть IP: 212.58.251.197 : 192.168.3.189, я вызываю tcpreplay -i ... -s 1.1.1.1:2.2.2.2 test.pcap и эта пара превращается в 107.4.231.52 : 233.168.3.189
Т.е либо 1.1.1.1 и 2.2.2.2 накладываются как маска и можно предугадать какой IP получится в итоге, либо алгоритм выбора пары IP при задании параметра -s псевдослучайный

Здравствуйте, donkombat, Вы писали:

D>Идет и трафик тот что надо! только IP адреса другие. В оригинале есть IP: 212.58.251.197 : 192.168.3.189, я вызываю tcpreplay -i ... -s 1.1.1.1:2.2.2.2 test.pcap и эта пара превращается в 107.4.231.52 : 233.168.3.189
D>Т.е либо 1.1.1.1 и 2.2.2.2 накладываются как маска и можно предугадать какой IP получится в итоге, либо алгоритм выбора пары IP при задании параметра -s псевдослучайный

Ну вот разобрался, молодец

Ты поэкспериментируй еще и все ок будет

Здравствуйте, -prus-, Вы писали:

P>Не-не, хаб он сам по себе дублирует все поступающие на какой-нибудь порт данные на всех остальных портах.
P>TDI тут не поможет, т.к. tcpreplay работает через NDIS, а это ниже TDI.

Ставлю на машину А свой NDIS с сигнатурой атаки и запускаю wireshark, чтобы собирать трафик. Атакую с машины B. Драйвер логирует атаку, траффик сохраняю в файл. На машине с драйвером запускаю tcpreplay с целью воспроизвести атаку без участия машины B. В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.

Здравствуйте, donkombat, Вы писали:

D>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.

А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

D>>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.

P>А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?

нет! проанализировал логи DbgView.exe

буду разбираться. понятно, что если удастся заставить tcpreplay повторить pcap на нужный ip то все заработает, так что первым делом попытаюсь задать в tcpreplay нужные ip!

D>Здравствуйте, -prus-, Вы писали:

P>>Здравствуйте, donkombat, Вы писали:

D>>>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.

P>>А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?

D>нет! проанализировал логи DbgView.exe

D>буду разбираться. понятно, что если удастся заставить tcpreplay повторить pcap на нужный ip то все заработает, так что первым делом попытаюсь задать в tcpreplay нужные ip!

Я временно избежал необходимости указывать tcpreplay ip адреса отправителя и получателя. Я меняю IP машин самостоятельно и потом делаю tcpreplay pcap файлам, содержащим траффик между подобными ip. Возникает затруднение: трафик TCP/UDP, SMB протоколов воспроизводится и я его ловлю на целевой машине драйвером и сниффером. А вот траффик DCERPC, ISystemA не воспроизводится tcpreplay'ем. Его нет в снифферах на обоих машинах.
FAQ по tcpreplay:
In theory, ICMP and UDP based protocols should work fine if the MAC and IP addresses are correct. You can fix them using tcprewrite. However, some ICMP and UDP based protocols also carry Layer 3/4 protocol information in the protocol itself (SIP is one example), so if you change the IP addresses, it may not be a valid SIP packet anymore.
Как обойти эту ситуацию?

От:	мыщъх	http://nezumi-lab.org
Дата:	18.03.10 07:24
Оценка:	5 (2)

	От:	-prus-
	Дата:	02.04.10 10:44
	Оценка:	2 (1)

	От:	-prus-
	Дата:	17.03.10 11:40
	Оценка:	1 (1)

От:	мыщъх	http://nezumi-lab.org
Дата:	17.03.10 12:23
Оценка:	1 (1)

	От:	-prus-
	Дата:	01.04.10 12:40
	Оценка:	1 (1)

	От:	donkombat
	Дата:	28.03.10 12:45
	Оценка:

	От:	donkombat
	Дата:	28.03.10 16:30
	Оценка:

	От:	donkombat
	Дата:	29.03.10 07:19
	Оценка:

	От:	donkombat
	Дата:	29.03.10 14:01
	Оценка: