miércoles, septiembre 10, 2014

Sistema integrado para análisis forense de datos a granel.

Absolution es una herramienta de análisis forense que: recoge, analiza e informa sobre la evidencia digital. La premisa básica de Absolution es proporcionar un solo sistema integrado para examen exhaustivo y robusto de los datos a granel operados en la forma más sencilla posible.

Absolution también tiene como objetivo proporcionar una plataforma extensible utilizable por investigadores avanzados, investigadores, auditores, litigantes, entusiastas y cualquier otra persona que necesita realizar una búsqueda exhaustiva de grandes cantidades de datos.

Cumple con todos los estándares de software forense. Posee una arquitectura extensible que produce salida en formato XML de uso universal. Permite automatizar tantos pasos forenses como sea posible, mejorando el rendimiento de todos los pasos de análisis forenses. Es una herramienta muy útil para las personas que necesitan una rápida respuesta en analisis forense.

Características:

  • Rápido y con un entorno intuitivo (para ser un programa que lee todos los archivos del sistema).
  • Coincidencia de patrones de expresiones regulares en los archivos, compatible con un montón de patrones prefijados para buscar en: ANSI, UTF-8, UTF-16...
  • Busca evidencias forenses ubicadas en el Registro de Windows.
  • Genera informes en HTML definidos por el usuario.
  • Genera la salida de datos en XML para la compatibilidad de herramientas de terceros.
  • Identificación de archivos por bytes mágicos, contenidos y extensión.
  • Recolección de datos de los navegadores web: cachés, listas, cookies...
  • Identificación de archivos HTML por contenido.
  • Extracción de metadatos del tipo: Microsoft, ODF, Exif, HTML, PDF, BitTorrent...
  • Recolección de datos de e-mail: Outlook PST, buzones RFC822...
  • Búsquedas en archivos adjunto de correo electrónico.
  • Búsquedas de  contenido en archivos comprimidos: ZIP, RAR, TAR, GZ, 7z, etc.
  • Registros de sucesos de Microsoft.
  • Herramientas investigación como: motor de búsqueda Lucene, línea de tiempo, índice maestro del sistema de archivos, datos primarios y generación de informe.
  • Comprobación de Hash utilizando la base de datos de hash NSRL.
  • Permite extracción de datos de geolocalización y consultas con motores de búsqueda.

Más información y descarga de Absolution:
http://absolution.sourceforge.net/

jueves, septiembre 04, 2014

Herramienta de análisis y organización para laboratorio de malware.

Viper es una herramienta de análisis y gestión de binarios de malware. Su objetivo fundamental es proporcionar una solución para organizar fácilmente una colección de malware y explotar las muestras, para facilitar su investigación diaria. Es similar a un Metasploit para los investigadores de malware, proporciona una interfaz de terminal que se puede utilizar para: almacenar, buscar y analizar archivos, con un entorno para crear plugins fácilmente de cualquier tipo.

Viper permite crear y operar en una colección de archivos de muestras de malware. Una colección representa un proyecto. Se puede crear tantos proyectos como se desee y cambiar fácilmente de uno a otro. Cada proyecto tiene sus propios repositorios locales de los archivos binarios, una base de datos SQLite que contiene los metadatos y un archivo histórico que contiene todos los comandos que se proporcionan a través de la Shell de Viper. De esta manera se  pueden crear diferentes entornos de trabajo para cada campaña de malware, familia de malware o el entorno que se está investigando. También puede empaquetar fácilmente y compartir la carpeta del proyecto.

Las operaciones que se pueden ejecutar dentro Viper son fundamentalmente: comandos y módulos:

  • Los comandos son funciones proporcionadas por el núcleo de Viper que permiten interactuar con: el repositorio de archivos (mediante la adición, la búsqueda, el etiquetado y la eliminación de archivos), con proyectos y con las sesiones. Son estáticos y no deben modificarse.
  • Los módulos son plugins que se cargan dinámicamente por Viper en el arranque. Existen módulos para implementar funciones de análisis adicionales que se pueden ejecutar en un archivo abierto o en todo el repositorio, por ejemplo: el análisis de los ejecutables PE32, procesadores de documentos PDF, el análisis de los documentos de Office, archivos de agrupamiento por hash o imphash… Los módulos son la parte más desarrollada activamente de Viper gracias a las contribuciones de la comunidad.

Viper está escrito en Python y requiere Python 2.7 para funcionar correctamente. Funciona a la perfección en distribuciones basadas en Debian, como Ubuntu de plataforma de referencia. Es posible trabajar con ella en otras distribuciones Linux y en Mac OS X, pero no ha sido debidamente probado.

Más información y descarga de Viper:
http://viper.li/

miércoles, agosto 27, 2014

Seguridad SCADA: Utilizar técnicas de fuzzing en sistemas de control industrial.

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Emplear técnicas de fuzzing en sistemas SCADA puede ser útil para encontrar vulnerabilidades a todos los niveles: software, programación en elementos hardware, protocolos de red…

Para realizar técnicas de fuzzing en entornos SCADA existe una herramienta que es adaptable a cualquier entorno de consumo de datos. Se trata de Peach comúnmente utilizada para formatos de archivo de fuzz, protocolos de red y API.

Peach es un fuzzer multiplataforma capaz de realizar fuzzing con un sólido sistema de supervisión que permite: la detección de fallos, la recopilación de datos y la automatización del entorno de fuzzing. Con objetivos que van desde los navegadores web, los servicios de red a través de dispositivos móviles y sistemas de control industrial (SCADA).

Todas las características de Peach están diseñados para ser ampliado fácilmente. Las extensiones de Peach son típicamente escritas en el lenguaje C# como módulos de ensamblaje.

Más información y descarga de Peach:
http://peachfuzzer.com/


Seguridad SCADA: Simular tráfico para probar eficacia IDS en redes industriales:
http://vtroger.blogspot.com.es/2014/01/seguridad-scada-simular-trafico-para.html

Seguridad SCADA: Auditar la configuración de seguridad de sistemas de control industrial:
http://vtroger.blogspot.com.es/2013/10/seguridad-scada-auditar-la.html

Seguridad SCADA: Herramientas de seguridad para WINCC y PLC´s S7:
http://vtroger.blogspot.com.es/2013/05/seguridad-scada-herramientas-de.html

Seguridad SCADA: Implementar IDS.
http://vtroger.blogspot.com.es/2012/05/seguridad-sada-implementar-ids.html

Seguridad SCADA: Disponibilidad en servicios OPC.
http://vtroger.blogspot.com.es/2011/05/seguridad-scada-disponibilidad-en.html

Seguridad SCADA: Honeypot para simular redes SCADA:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html