jueves, abril 10, 2014

Obtener información del protocolo SSL utilizado en un servidor.

Con la herramienta SSL Diagnos para Windows, diseñada para probar la seguridad de SSL y obtener información acerca de los protocolos SSL (pct, SSL2, SSL3, tls, DTLS) y conjuntos de cifrado utilizados en un servidor. También puede ser utilizado para probar y valorar el nivel de seguridad de los cifrados en clientes SSL.

Cuenta con un apoyo específico para  los protocolos POP3S, SIP, SMTP y FTPS. Por otra parte incluye una herramienta independiente, SSLPressure, para comprobar todo el espectro de posibles protocolos SSL en un servidor.

SSL Diagnos se puede utilizar para probar el protocolo SSL en servidores Microsoft SQL Server y también permite realizar MitM en conexiones cliente servidor de Microsoft SQL Server.

Entre sus características destaca:

  • Incluye calificación de nivel de seguridad de cifrado SSL para el servidor y los clientes.
  • Test  de cifrado SSL en: HTTPS, SMTP, SIP, POP3S, FTPS.
  • Puede ser utilizado para OWASP-CM-001.
  • Utiliza OpenSSL para probar SSL2, SSL3, TLS, DTLS, FTPS.
  • Pruebas de renegociación y disponibilidad de extensión de renegociación tls.
  • Las pruebas específicas para la mitigación de BEAST (CVE-2011-3389). Comprobación específicamente de la mitigación para Windows y OpenSSL.

Ejemplos básicos de empleo:

Obtener ayuda de uso del comando:

ssldiagnos.exe –help

Prueba el anfitrión www.hostname.org utilizando el puerto 443 (que es el valor predeterminado) y prueba enviar / recibir:

ssldiagnos.exe -t www.hostname.org --testsend -p 443

Prueba todos los tipos de negociación de cifrado SSL2 y SSL3 en 192.168.1.1:
 
sslpressure.exe -t 192.168.1.1

Más información y descarga de SSL Diagnos:
http://ssldiagnos.sourceforge.net/

miércoles, marzo 26, 2014

Emular red en Windows para análisis dinámico de malware.

FakeNet es una herramienta que ayuda en el análisis dinámico de software malicioso. La herramienta simula una red, para que el malware interactué con un host remoto, permitiendo al analista, observar la actividad del malware, en los protocolos de red dentro de un ambiente seguro.

FakeNet está programado en python 2.7 y utiliza una variedad de servicios de Windows y bibliotecas para emular una red Windows. Carga un entorno HTTP personalizado y un servidor DNS para responder a las solicitudes. Utiliza OpenSSL para manejar conexiones en el protocolo SSL. Maneja para esta emulación de red un proveedor de servicios por niveles de Winsock (LSP) para redirigir el tráfico hacia localhost, y para escuchar el tráfico en los puertos. También crea un archivo de captura de tráfico (*.pcap) para su posterior análisis, reconstruyendo un encabezado de paquetes basado en el tráfico de las llamadas send/recv.

Características:

  • Es fácil de instalar y utilizar, la herramienta se ejecuta en Windows y no requiere de las bibliotecas de terceros.
  • Mantiene la ejecución del malware de forma que se puede observar gran parte de su funcionamiento.
  • Apoya  los protocolos más comunes utilizados por el malware, soporta DNS, HTTP y SSL.
  • El servidor HTTP siempre sirve un archivo, si la solicitud de malware es un jpg le sirve un formato correcto jpg, etc.  Los archivos que se sirven son configurables por el usuario.
  • Capacidad para redirigir todo el tráfico hacia localhost, incluyendo el tráfico destinado a una dirección IP estática.
  • Extensiones en Python,  incluyendo una extensión de ejemplo que implementa SMTP y SMTP a través de SSL.
  • Proporciona extensiones de Python para añadir protocolos nuevos o personalizados.
  • Construido con la capacidad para crear un archivo de captura (*.pcap) para los paquetes redirigidos a localhost, para su posterior análisis.
  • Modulo que escucha el tráfico en cualquier puerto, detecta  y descifra el tráfico SSL y muestra el contenido en la consola. Lleva a cabo todas las actividades en el equipo local para evitar la necesidad de una segunda máquina virtual.

Es una herramienta ideal para analizar el método de infección del malware de páginas web maliciosas. Porque permite ver e interceptar, las consultas y respuestas HTTP, HTTPS y DNS.

Más información y descarga de FakeNet:
http://sourceforge.net/projects/fakenet/

Información de modo de empleo y configuración:
http://www.aldeid.com/wiki/FakeNet

jueves, marzo 20, 2014

Despliegue rápido y fácil de Honeypot con maquina virtual.

Desplegar un entorno Honeypot de una forma rápida y fácil es posible con HoneyDrive una maquina virtual (OVA) con Xubuntu 12.04 edición de escritorio de 32 bits, que contiene varios paquetes de software honeypot como: honeypot Kippo SSH, Dionaea honeypot malware, Honeyd, Glastopf honeypot web junto con Wordpot y Thug honeyclient.

Adicionalmente incluye scripts y utilidades pre-configurados, útiles para analizar, visualizar y procesar los datos capturados como: Kippo-Graph, Honeyd-Viz y muchos más. Por último, muchos otros útiles de seguridad, informática forense y herramientas relacionados con el malware también están presentes en la distribución.


Características:

  • Distribuido en un solo archivo OVA, listo para ser importado.
  • LAMP completo instalado (Apache 2 y MySQL 5), además de herramientas como phpMyAdmin.
  • Kippo SSH honeypot, además Kippo -Graph, Kippo2MySQL y otros scripts útiles.
  • Dionaea honeypot malware, además DionaeaFR y otros scripts.
  • Honeypot de malware Amón  y scripts.
  • Honeypot Kojoney SSH y scripts.
  • Honeypot web Glastopf, junto con Wordpot WordPress honeypot.
  • Honeyd, además Honeyd2MySQL, Honeyd-Viz y otras secuencias de comandos útiles.
  • LaBrea honeypot, Honeypot Tiny, emulador IIS y INetSim.
  • Honeyclient Thug para el análisis de los ataques de lado cliente, junto con el colector de malware mwcrawler.
  • Un paquete completo de seguridad, herramientas forenses y herramientas anti-malware para la monitorización de la red, código shell malicioso y análisis de PDF, como ntop, p0f, EtherApe, nmap, DFF, Wireshark, ClamAV, ettercap, Automater, UPX, pdftk, Flasm, pdf-parser, Pyew  y dex2jar.
  • Plugins de Firefox preinstalados, además de software adicional útil, como GParted, Terminator, Adminer, VYM y  Xpdf.

Una vez descargado el archivo, simplemente hay que importar la maquina virtual (el software sugerido para su uso: Oracle VM VirtualBox). También es posible utiliza HoneyDrive en productos de VMware (Estaciones de trabajo, ESXi , etc) siguiendo esta instrucciones: “Configuración HoneyDrive en VMware”.

Más información y descarga HoneyDrive:
http://sourceforge.net/projects/honeydrive/

Tarros de miel:
http://vtroger.blogspot.com.es/2006/11/tarros-de-miel.html