Форум информационной безопасности - Codeby.net
Статья Поднимаем IDS SNORT для обнаружения хакера в сети
Всем доброго дня. На одной из страниц форума мне попадалось обсуждение темы: как обнаружить вторжение в корпоративную сеть. Я пообещал снять видео на эту тему, однако понял, что оно получится долгое и не интересное, поэтому решил написать статью. Возможно кто-то ее использует как мануал к действию.
Начнем с теории.
Изначально, после попадания в сеть, хакер начинает ее изучать. Это, в первую очередь, различные приемы сканирования, а значит генерация большого объема трафика, который в штатном режиме не используется в больших количествах. Вот именно по трафику и можно вычислить несанкционированный доступ. Для этого применяются 2 вида программного или аппаратного обеспечения: IPS и IDS.
IDS (Intrusion Detection System) или система обнаружения вторжений представляет собой программный или аппаратный комплекс, который устанавливается в сети и анализирует трафик на предмет «нежелательного». Существует огромное количество разновидностей данной системы, однако по функционалу они слабо различаются: есть IDS, которые анализируют только трафик, либо есть дополнительные функции, которые могут отслеживать...
Начнем с теории.
Изначально, после попадания в сеть, хакер начинает ее изучать. Это, в первую очередь, различные приемы сканирования, а значит генерация большого объема трафика, который в штатном режиме не используется в больших количествах. Вот именно по трафику и можно вычислить несанкционированный доступ. Для этого применяются 2 вида программного или аппаратного обеспечения: IPS и IDS.
IDS (Intrusion Detection System) или система обнаружения вторжений представляет собой программный или аппаратный комплекс, который устанавливается в сети и анализирует трафик на предмет «нежелательного». Существует огромное количество разновидностей данной системы, однако по функционалу они слабо различаются: есть IDS, которые анализируют только трафик, либо есть дополнительные функции, которые могут отслеживать...
Статья Whonix Gatawey. Ещё один взгляд, ещё один ракурс.
В этой статье не будет свойственных мне предисловий, повествующих о капризах прибалтийской погоды. Не будет повествований о поворотах судьбы.
Сейчас мне хочется написать сухую статью-инструкцию по установке шлюза и рабочей станции "Whonix Gatawey" на виртуальную машину KVM.
"Новичкам" (это не политика, я не про газ) следует знать, что данная статья является продолжением вчерашней, а целью написания является популяризация виртуальной машины KVM на десктопных линуксах. Читателю преподнесён альтернативный взгляд на виртуальный шлюз WhonixGatawey.
Для начала посмею предположить, что у каждого желающего установить связку анонимности Whonix на виртуальную машину KVM, эта самая "машина" уже установлена в системе и успешно запускается. В противном случае...
Сейчас мне хочется написать сухую статью-инструкцию по установке шлюза и рабочей станции "Whonix Gatawey" на виртуальную машину KVM.
"Новичкам" (это не политика, я не про газ) следует знать, что данная статья является продолжением вчерашней, а целью написания является популяризация виртуальной машины KVM на десктопных линуксах. Читателю преподнесён альтернативный взгляд на виртуальный шлюз WhonixGatawey.
Для начала посмею предположить, что у каждого желающего установить связку анонимности Whonix на виртуальную машину KVM, эта самая "машина" уже установлена в системе и успешно запускается. В противном случае...
Разблокировка ПК с помощью сканера отпечатка пальцев Android.
Сегодня мы рассмотрим довольно странный способ, как с помощью вашего телефона Android со сканером отпечатка пальцев можно разблокировать ПК на ОС Windows. Мы рассмотрим, как настроить удаленный отпечаток с вашего телефона, чтобы вы могли разблокировать компьютер практически из любого места.
Кто знает - возможно, вы даже захотите использовать его как часть своей повседневной жизни, а не вводить свой пароль или ПИН-код все время.
Скажу сразу, что тестировалось только на ОС Windows 7.
Введение.
В наши дни почти каждый телефон имеет своего рода биометрическую защиту, но этого нельзя сказать о компьютерах с ОС Windows. Хотя сканеры отпечатков пальцев становятся все более распространенными среди ноутбуков и настольных компьютеров, они еще не получили широкого распространения.
Хоть безопасность биометрии является дискуссионной, вы не можете отрицать, что сканирование отпечатков пальцев проще, чем вводить ваш пароль(На самом деле не все так радужно).
Требования.
Кто знает - возможно, вы даже захотите использовать его как часть своей повседневной жизни, а не вводить свой пароль или ПИН-код все время.
Скажу сразу, что тестировалось только на ОС Windows 7.
Введение.
В наши дни почти каждый телефон имеет своего рода биометрическую защиту, но этого нельзя сказать о компьютерах с ОС Windows. Хотя сканеры отпечатков пальцев становятся все более распространенными среди ноутбуков и настольных компьютеров, они еще не получили широкого распространения.
Хоть безопасность биометрии является дискуссионной, вы не можете отрицать, что сканирование отпечатков пальцев проще, чем вводить ваш пароль(На самом деле не все так радужно).
Требования.
- Android-устройство со сканером отпечатков пальцев...
Статья Никто не может служить двум господам... Или устанавливаем KVM.
Евангелие от Матфея
…
6:24. Никто не может служить двум господам: ибо или
одного будет ненавидеть, а другого любить
Библия, Новый Завет
…
6:24. Никто не может служить двум господам: ибо или
одного будет ненавидеть, а другого любить
Библия, Новый Завет
Тема анонимности в сети с завидным постоянством всплывает в различных частях интернета. Я неоднократно убеждалась в том, что эта тема абсолютно неблагодарна. Не потому что анонимности в интернете нет, а потому, что существует множество её решений. Выбор того или иного решения - вопрос абсолютно индивидуальный и субъективный.
В прошлой статье усилиями форумчан были рассмотрены ошибки и их решения при пропускании интернет трафика пользователя через виртуальный шлюз Whonix Gateway, установленный на виртуальную машину VMWare в операционной системе Windows.
Нужно отметить, что разработчики упомянутой программы виртуализации предусмотрели вполне удобную её установку и в Linux. И всё было-бы замечательно, если бы Linux...
Статья Пишем свой сигнатурный антивирус на C#. Часть 2 - Пишем Yara правила.
Приветствую гостей и участников портала Codeby.net. Сегодня продолжим подготовку к написанию своего антивируса AV, в первой части мы рассмотрели как получить базу правил, как ее привести в порядок и как обнаруживать вирусы, в этой части мы рассмотрим как писать Yara правила.
Ссылка на первую часть - Пишем свой сигнатурный антивирус на C#. Часть 1 - Небольшой экскурс в YARA.
Сразу перейдем к делу.
Введение в правила YARA.
Давайте начнем с рассмотрения различных компонентов, которые могут быть частью правила.
Как минимум, правило должно иметь имя и условие. Самое простое из возможных правил будет выглядеть следующим образом:
Это правило ничего не делает. И наоборот, это правило соответствует чему угодно:
Вот немного более полезный пример, который подойдет для любого файла размером более 500 КБ:
Демонстрация...
Ссылка на первую часть - Пишем свой сигнатурный антивирус на C#. Часть 1 - Небольшой экскурс в YARA.
Сразу перейдем к делу.
Введение в правила YARA.
Давайте начнем с рассмотрения различных компонентов, которые могут быть частью правила.
Как минимум, правило должно иметь имя и условие. Самое простое из возможных правил будет выглядеть следующим образом:
Код:
rule test_for_codeby { condition: false }
Код:
rule test_for_codeby { condition: true }
Код:
rule test_for_codeby {condition: filesize > 500KB}Статья Пишем свой сигнатурный антивирус на C#. Часть 1 - Небольшой экскурс в YARA.
Всем доброго времени суток уважаемые участники форума. В этот раз мы напишем свой сигнатурный антивирус(Название можете предложить в комментариях). Возможно также добавиться какой-то функционал. Теперь перейдем к теме, а именно к 1-й части - "Небольшой экскурс в YARA".
Что будет и чего ожидать.
Как говорилось ранее, наша задача написать сигнатурный антивирус. Сам процесс будет описан в 3-й части.
Мы все знаем, что гораздо интереснее взламывать что-то, чем строить защиту от атак, вирусов и прочей нечисти. Но иногда стоит встать на другую сторону. Сегодня мы встанем на путь, в котором будем обнаруживать вредоносное ПО.
Что такое YARA?
Yara - это инструмент, который помогает нам идентифицировать и классифицировать образцы вредоносных программ с помощью правил. Мы можем...
Что будет и чего ожидать.
Как говорилось ранее, наша задача написать сигнатурный антивирус. Сам процесс будет описан в 3-й части.
- В первой части мы разберем Yara проект. Разберем как установить инструмент, как получить yara-правила, найдем угрозы.
- Во второй части научимся сами писать yara-правила.
- В третьей части напишем антивирус.
Мы все знаем, что гораздо интереснее взламывать что-то, чем строить защиту от атак, вирусов и прочей нечисти. Но иногда стоит встать на другую сторону. Сегодня мы встанем на путь, в котором будем обнаруживать вредоносное ПО.
Что такое YARA?
Yara - это инструмент, который помогает нам идентифицировать и классифицировать образцы вредоносных программ с помощью правил. Мы можем...
Статья DFIRTrack - Анализ и форензика систем
Приветствую гостей и участников портала Codeby.net.
В этой статье, я хочу описать и подробно рассказать о работе инструмента для форензики систем – DFIRTrack.
DFIRTrack (приложение для цифровой криминалистики и отслеживания инцидентов) - это веб-приложение с открытым исходным кодом, основанное на Django и использующее базу данных PostgreSQL.
В отличие от других инструментов реагирования на инциденты, которые в основном основаны на конкретных случаях и поддерживают работу CERT, SOC в повседневной работе.
DFIRTrack - ориентирован на обработку одного крупного инцидента, с большим количеством уязвимых систем. Он предназначен для использования в качестве инструмента для специальных групп реагирования на инциденты.
В отличие от прикладных программ, DFIRTrack работает системно. Он отслеживает состояние различных систем и связанных с ними задач, постоянно информируя аналитика о состоянии и количестве изменениях в системах, в любой момент на этапе расследования, вплоть до этапа исправления процесса реагирования на инциденты.
Особенности:
Одним из направлений является быстрый и надежный импорт и экспорт систем и связанной с ними информации...
В этой статье, я хочу описать и подробно рассказать о работе инструмента для форензики систем – DFIRTrack.
DFIRTrack (приложение для цифровой криминалистики и отслеживания инцидентов) - это веб-приложение с открытым исходным кодом, основанное на Django и использующее базу данных PostgreSQL.
В отличие от других инструментов реагирования на инциденты, которые в основном основаны на конкретных случаях и поддерживают работу CERT, SOC в повседневной работе.
DFIRTrack - ориентирован на обработку одного крупного инцидента, с большим количеством уязвимых систем. Он предназначен для использования в качестве инструмента для специальных групп реагирования на инциденты.
В отличие от прикладных программ, DFIRTrack работает системно. Он отслеживает состояние различных систем и связанных с ними задач, постоянно информируя аналитика о состоянии и количестве изменениях в системах, в любой момент на этапе расследования, вплоть до этапа исправления процесса реагирования на инциденты.
Особенности:
Одним из направлений является быстрый и надежный импорт и экспорт систем и связанной с ними информации...
Статья Imago - Форензика изображений
Приветствую гостей и участников портала Codeby.net.
В этой статье, мы на примерах рассмотрим способ форензики изображений с помощью инструмента с открытым исходным кодом – Imago-forensics.
Imago - это инструмент на Python, который рекурсивно извлекает цифровые доказательства из изображений. Этот инструмент полезен во время цифрового судебного расследования.
Если вам нужно извлечь цифровые доказательства и у вас есть много изображений, с помощью этого инструмента вы сможете легко сравнить их.
Imago - позволяет извлечь доказательства в файл CSV или в базу данных sqlite. Если в формате JPEG присутствуют GPS-координаты, Imago может извлечь долготу и широту и преобразовать их в градусы и получить соответствующую информацию, такую как город, страна, почтовый индекс и т.д.
Imago - предлагает возможность расчета анализа уровня ошибок и обнаружить обнаженное тело на фото, но этот функционал находится в версии BETA.
Установка:
Эта команда установит необходимые зависимости:
В этой статье, мы на примерах рассмотрим способ форензики изображений с помощью инструмента с открытым исходным кодом – Imago-forensics.
Imago - это инструмент на Python, который рекурсивно извлекает цифровые доказательства из изображений. Этот инструмент полезен во время цифрового судебного расследования.
Если вам нужно извлечь цифровые доказательства и у вас есть много изображений, с помощью этого инструмента вы сможете легко сравнить их.
Imago - позволяет извлечь доказательства в файл CSV или в базу данных sqlite. Если в формате JPEG присутствуют GPS-координаты, Imago может извлечь долготу и широту и преобразовать их в градусы и получить соответствующую информацию, такую как город, страна, почтовый индекс и т.д.
Imago - предлагает возможность расчета анализа уровня ошибок и обнаружить обнаженное тело на фото, но этот функционал находится в версии BETA.
Установка:
Код:
pip install imagoЭта команда установит необходимые зависимости:
- python 2.7
- exifread 2.1.2
- python-magic 0.4.15
- argparse 1.4.0
- pillow 5.2.0
- nudepy 0.4...
Статья Мастерство Сети: Ваш DNS, WebMap и Nmap для Точной Аналитики Безопасности
Приветствую, гостей и обитателей форума Codeby.net!
В этой статье речь пойдет о двух вещах:
Что касается первой, мы видели очень много надстроек облегчающих вывод, анализ и прочие моменты при работе со сканером nmap, их много и они разнообразны.
Но в этот раз мне попалась, довольно интересная вещь – работающая в докере web-панель, которая позволяет анализировать отчеты nmap формата XML, при этом она анализирует хосты на возможные уязвимости, а так же позволяет строить карту сети.
WebMap – достаточно информативна, легка в использовании и обладает весьма дружественным интерфейсом.
Ну а второй пункт, собственный DNS, это скорее дополнение к статье, так как, при установке и настройке WebMap, мне захотелось обращаться к ней не по IP, а по доменному имени, для удобства.
Нужно было давно этим заняться, так как сервисов и хостов в моей локальной сети достаточно много и я постоянно путаюсь, что и где живет.
Ну и может кому-то это будет полезной подсказкой.
Приступим к установке и...
В этой статье речь пойдет о двух вещах:
- WebMap – Web-панель для анализа отчетов XML Nmap;
- DNS для своей локальной сети.
Что касается первой, мы видели очень много надстроек облегчающих вывод, анализ и прочие моменты при работе со сканером nmap, их много и они разнообразны.
Но в этот раз мне попалась, довольно интересная вещь – работающая в докере web-панель, которая позволяет анализировать отчеты nmap формата XML, при этом она анализирует хосты на возможные уязвимости, а так же позволяет строить карту сети.
WebMap – достаточно информативна, легка в использовании и обладает весьма дружественным интерфейсом.
Ну а второй пункт, собственный DNS, это скорее дополнение к статье, так как, при установке и настройке WebMap, мне захотелось обращаться к ней не по IP, а по доменному имени, для удобства.
Нужно было давно этим заняться, так как сервисов и хостов в моей локальной сети достаточно много и я постоянно путаюсь, что и где живет.
Ну и может кому-то это будет полезной подсказкой.
Приступим к установке и...