Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 9780 сообщений
Cообщения с меткой

информационная безопасность - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Российский хакер признан виновным в краже $169 млн

Пятница, 26 Августа 2016 г. 13:18 (ссылка)

Суд в США признал виновным хакера Романа Селезнева, также известного как Track2, Bulba, Zagreb, и smaus, в хакерских атаках на PoS-системы различных организаций. Селезнев оказался в руках правоохранительных служб США еще летом 2014 г. на Мальдивах, а затем был экстрадирован туда. Селезнева признали виновным в мошенничестве, удаленном взломе компьютеров, и краже личных данных пользователей. По данным правоохранительных органов США, Селезнев удаленно проникал на компьютеры в США из России с использованием специального сервера. Жертвами мошенника стали небольшие частные организации в Вашингтоне. Хакер удаленно устанавливал вредоносное ПО на компьютеры, которые контролируют PoS-терминалы, собирал данные кредитных карт, а потом пересылал их на другой сервер.



После получения данных карт, злоумышленник продавал их кардерам на подпольных форумах. Схема, которая была создана Селезневым, использовалась против 3,700 финансовых учреждений и банков, что привело к потере финансовых средств на сумму более $169 млн. Вредоносные действия производились в период с октября 2009 г. по октябрь 2013 г.



According to testimony at trial and court documents, between October 2009 and October 2013, Seleznev hacked into retail point-of-sale systems and installed malicious software (malware) to steal credit card numbers from various businesses from a server he operated in Russia. Many of the businesses were small businesses, some of which were restaurants in Western Washington, including the Broadway Grill in Seattle, which was forced into bankruptcy following the cyber assault.


При задержании Селезнева на его ноутбуке были обнаружены данные около 1,7 млн. украденных кредитных карт. Кроме этого, там также были найдены доказательства, которые связывают Селезнева с серверами, почтовыми аккаунтами и финансовыми транзакциями, использованными в преступной схеме.



Evidence presented at trial demonstrated that the malware would steal the credit card data from the point-of-sale systems and send it to other servers that Seleznev controlled in Russia, the Ukraine or in McLean, Virginia. Seleznev then bundled the credit card information into groups called “bases” and sold the information on various “carding” websites to buyers who would then use the credit card numbers for fraudulent purchases, according to the trial evidence. Testimony at trial revealed that Seleznev’s scheme caused 3,700 financial institutions more than $169 million in losses.


Приговор Селезневу будет оглашен 2 декабря, ему грозит до 34 лет лишения свободы.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/308600/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Снова массовые взломы банкоматов: теперь Бангкок (Таиланд)

Пятница, 26 Августа 2016 г. 10:19 (ссылка)

В январе этого года преступники, которые опустошали банкоматы без использования пластиковой карты, были задержаны в Румынии и Молдове, в мае — в Киеве (фото и видео).

А ещё в мае из 1400 банкоматов в Японии было украдено более 12,7 миллионов долларов, хотя это совсем другая история.



Мошенничество в банкоматах по снятию наличных без использования пластиковых карт набрало серьёзные обороты, задержание части преступников не останавливает взломы по всему миру, и теперь история повторяется. На этот раз в Таиланде.





(источник: Xakep.ru)







Тайвань. В июне этого года глава Bank of Taiwan сообщил, что неизвестные лица атаковали определённые банкоматы, а именно банкоматы Wincor Nixdorf, которых на Тайване около 5 000. Преступники просто подходили к банкоматам, совершали определённые действия, после чего банкоматы выдавали наличные, которые злоумышленники тут же складывали в свои рюкзаки. Всего преступным путём в 34 банкоматах было получено около двух миллионов долларов США.



По подозрению в причастности власти Тайваня арестовали граждан Латвии, Румынии и Молдавии, однако другим подозреваемым (в том числе пяти гражданам России) удалось скрыться. Позже задержанные сообщили, что их группировка состояла из 38 человек.





Теперь о похожем ограблении сообщает и полиция Бангкока (Таиланд). С 1 по 8 августа неизвестные атаковали 21 банкомат Government Savings Bank (GBS) и сняли более 12 млн бат (порядка $346 000). Записи с камер наблюдения указывают на то, что грабители являются иностранцами из Восточной Европы.



Представители банка предупредили, что в этот раз были атакованы банкоматы NCR, и уверены, что злоумышленники используют некий баг или малварь, которая компрометирует банкоматы данного производителя. Всего в стране насчитывается более 10 000 банкоматов NCR, из них около 7 000 принадлежат GBS. В итоге банк, несмотря на то, что взлому подверглись только два десятка устройств, решил перестраховаться, и приостановил работу 3 300 своих банкоматов, оставив работать только те, которые расположены в безопасных охраняемых местах (например, в отделениях банка).



На данный момент правоохранительные органы Таиланда проводят расследование случившегося при поддержке коллег из Тайваня, так как между двумя ограблениями отчётливо прослеживается связь.

Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/308576/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Из песочницы] Reverse engineering тестового crackme от Лаборатории Касперского

Четверг, 25 Августа 2016 г. 18:26 (ссылка)

Приветствую сообщество! Давным давно, в 2013 году на Хабре был опубликован пост «Reverse engineering на собеседовании: как мы нанимаем на работу». В нём был предложен тестовый crackme для претендентов на позицию вирусного аналитика. Убедившись, что полного разбора тестового файла в интернете нет, я решил написать свой разбор. И так, приступим. Crackme 64-разрядный. Запустим его в IDA Pro.



image




Видим слева в списке функций три функции: start — функция, с которой начинается выполнение программы, DialogFunc — эта функция общается с нами и некоторая функция sub_140001000. Рассмотрим диалоговую функцию. Декомпилируем её Hex Rays-ом.



image


В глаза бросается ветвление условий, согласно которому, если некоторая функция sub_140001000 вернет TRUE, то появится сообщение, информирующее нас о отлично проделанной работе, иначе неверно. Разберем нашу заветную функцию sub_140001000. Если мы пропустим её через декомпилятор, то увидим, что в качестве аргумента передается указатель всего на одно значение. Вероятно, это значение берется из диалогового окна и является вводимым ключом. Теперь рассмотрим ассемблерный листинг. Имеется первая проверка условия верности введенных данных. Если условие выполняется, то программа исполняется дальше, если не выполняется, то идет возврат из подпрограммы.



image


Запустим наш crackme под отладчиком. Воспользуемся x64dbg. Поставим breakpoint на нашей первой проверке. В качестве вводимого ключа используем набор цифр 1234567.



image


Как видно, происходит проверка значения регистра edx и числа 13h (в десятичной системе исчисления это 19). Вероятно, это проверка на количество введенных знаков ключа (у нас их 7 и в регистре edx число 7). Попробуем ввести другое количество символов. Запустим отладчик заново. Введем 9 цифр 123456789.



image


Похоже, что так оно и есть. Значит наш ключ должен содержать 19 символов. Вводим 19 символов 1234567890123456789 и переходим к следующему этапу проверки.



image


На этом шаге осуществляется проверка каждого пятого символа ключа на равенство значению 2Dh. Дело в том, что число 2Dh — это шестнадцатиричный код символа "-". Т.е. наш ключ должен иметь вид xxxx-xxxx-xxxx-xxxx. Используем в качестве ключа 1234-5678-9012-3456 и переходим к следующему шагу.



image


А на следующем шаге происходит проверка символов на числовую принадлежность. Порядок проверки такой: берется символ из ключа (в счет не идут каждый пятый символ ключа) и к его шестнадцатиричному коду прибавляется число -30 и полученный результат сравнивается с числом 9. Если меньше, то на проверку берется следующий символ ключа, если больше, то выводится сообщение, что ключ неверный. Идем дальше.



image


На этом шаге осуществляется проверка того, чтобы суммы чисел в блоках были равны. На рисунке выше выделен блок кода, который производит подсчет суммы чисел и область стека, куда эти суммы заносятся. Параллельно суммы блоков суммируются между собой и заносятся в регистр r10. Далее идет деление результата в регистре r10 на 4 (shr r10d,2 — сдвиг на 2 байта равносилен делению на 4) и сравнение значения из регистра r10 с ранее занесенными значениями в стеке. Отлично. Делаем так, чтобы суммы цифр каждого блока ключа были равны (например 1122-0123-2112-0006) и двигаемся дальше на следующий шаг проверки.



image


Участок кода, выделенный на рисунке выше, проверяет, чтобы расположение символов в каждом последующем блоке ключа не совпадало с предыдущим. В итоге наш ключ имеет вид 1478-7814-1478-7814. Проверяем.



image


image


Отличная работа!
Original source: habrahabr.ru.

https://habrahabr.ru/post/308548/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Более 25 миллионов учетных записей игровых форумов mail.ru были похищены злоумышленниками

Среда, 24 Августа 2016 г. 23:48 (ссылка)

image



В результате эксплуатации уязвимости SQL-injection в старых версиях vBulletin неизвестным злоумышленникам удалось похитить данные о 12.8 миллионах аккаунтов cfire.mail.ru, 8.9 миллионах аккаунтов parapa.mail.ru и 3.2 миллионах аккаунтов tanks.mail.ru.



Данные об утечке опубликованы на сайте LeakedSource, включая информацию о количестве расшифрованных хешей паролей:



Subdomains belonging to mail.ru were hacked in August of 2016.



Specifically they are:

cfire.mail.ru — 12,881,787 users, 6,226,196 passwords cracked at the time of this post.

parapa.mail.ru (main game) — 5,029,530 users, 3,329,532 passwords cracked at the time of this post.

parapa.mail.ru (forums) — 3,986,234 users, 2,907,572 passwords cracked at the time of this post.

tanks.mail.ru — 3,236,254 users, 0 passwords cracked at the time of this post.

В результате взлома злоумышленники получили данные об именах пользователей, датах рождения, email-адресах и зашифрованные пароли. Некоторые базы данных содержали IP-адреса пользователей и их телефонные номера.



По сообщению агрегатора утечек LeakedSource часть паролей была зашифрована с помощью алгоритма md5, что в текущих реалиях не является надежной защитой.



Топ 20 паролей, из расшифрованных хешей:

















































































































Номер Пароль Количество
1 123456789 263.347
2 12345678 201.977
3 123456 89.756
4 1234567890 89.497
5 qwertyuiop 32.584
6 123123123 31.268
7 11111111 30.827
8 1q2w3e4r5t 30.087
9 1q2w3e4r 27.399
10 987654321 23.387
11 qazwsxedc 20.748
12 qweasdzxc 19.039
13 1234qwer 18.434
14 12344321 17 488
15 111111 16.372
16 88888888 14.651
17 1qaz2wsx 14.487
18 1234554321 14.262
19 qwertyui 14.187
20 123123 13.892


Пользователи не изменяют свои привычкам и используют простые пароли на большинстве сервисов. Топ-20 паролей по частоте использования примерно совпадает в базой паролей "утечки" 100 миллионов пользователей Вконтакте.



Поддомены *.mail.ru (игры, многие сервисы и т.д) не относятся напрямую к функционалу почтового сервиса mail.ru, и кроме адреса почты никак с ним не связаны.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/308466/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Я заглянул в приложение Prisma, и вы не поверите, что я там нашёл

Среда, 24 Августа 2016 г. 18:25 (ссылка)

2016 год ещё не кончился, но продолжает радовать нас крутыми продуктами по обработке изображений. Сначала все болели FaceSwap, потом появился MSQRD, теперь у нас есть Prisma. Ещё больше радости/гордости, конечно, от того, что последние 2 продукта — наши, родные. MSQRD делают ребята из Беларусии, Prisma же вообще родом из Москвы. Логично, что у любого популярного продукта сразу начинают плодитьяся конкуренты. Призме в этом плане повезло больше всех — благодаря стечению некоторых обстоятельств, основным конкурентом призме стали Mail.ru Group, которые почти сразу выпустил аж 2 похожих продукта со схожими функциями: Vinci (от команды vk.com) и Artisto (от команды my.com).







А лично мне стало интересно посмотреть на эти «клоны» изнутри. Зачем мне всё это и к каким выводам я пришёл — об это я рассказал на roem.ru, повторяться не вижу смысла. На Хабре же я бы хотел поделиться техникой детального анализа приложений для iOS на примере Prisma.



Что нам предстоит? Во-первых, мы узнаем, что есть приложение для iOS и из чего оно состоит, какую информацию можно оттуда извлечь. Во-вторых, я расскажу как снифать траффик client-server приложений, даже если их авторы этого очень сильно не хотят. По факту я не расскажу вам ничего нового, я не придумал никакого ноу-хау, это просто вектор известных техник и умений на приложения. Но будет интересно. Погнали.



iOS-приложение, IPA-файл



iOS-приложение представляет собой .ipa-файл. По факту это zip-архив и может открываться любым архиватором (да да, mobilz обещал научить ломать приложения, а на самом деле покажет, как пользоваться архиватором). Сам .ipa-файл проще всего получить с помощью iTunes — в разделе «Программы» есть вкладка AppStore, которая является аналогом AppStore в iPhone. Соответственно, вам потребуется аккаунт (AppleID); загрузив приложение с помощью iTunes мы можем перейти в директорию к нему.









Далее .ipa-файл, как я уже говорил, открывается любым архиватором. Внутри мы найдём помимо прочего директорию Payload и файл iTunesMetadata.plist. В Payload находится наше приложение, а точнее директория с расширением .app, которую MacOS будет пытаться запустить, но нам достаточно просто открыть содержимое. iTunesMetadata содержит метаинформацию из AppStore. Какой аккаунт скачал приложение, в каком разделе приложение находится и т.д. и т. п. Ничего интересного в нём для нашего анализа нет, идём непосредственно к .app. Разберём сразу на конкретном приложении, Prisma 2.3 — Payload/Prisma.app.



В разных проектах мы можем увидеть разную структуру, но всегда точно будет Info.plist (Payload/Prisma.app/Info.plist). Это основные настройки приложения, такие как минимальная версия для запуска, поддерживаемые ориентации, поддержка iPad и прочее. Тут уже интереснее:






 
   UIRequiredDeviceCapabilities
   
     armv7
   

   DTCompiler
   com.apple.compilers.llvm.clang.1_0
   CFBundleInfoDictionaryVersion
   6.0
   DTPlatformVersion
   9.3
   DTSDKName
   iphoneos9.3
   CFBundleName
   prisma
   UIViewControllerBasedStatusBarAppearance
   
   CFBundleIcons
   
     CFBundlePrimaryIcon
     
       CFBundleIconFiles
       
         AppIcon29x29
         AppIcon40x40
         AppIcon60x60
       

     

   

   UIStatusBarStyle
   UIStatusBarStyleLightContent
   LSRequiresIPhoneOS
   
   CFBundleDisplayName
   Prisma
   LSApplicationQueriesSchemes
   
     instagram
     fb
     fbauth2
     fbshareextension
     fbapi
     fb-profile-expression-platform
     vk
     vk-share
     vkauthorize
   

   DTSDKBuild
   13E230
   CFBundleShortVersionString
   2.3
   CFBundleSupportedPlatforms
   
     iPhoneOS
   

   UISupportedInterfaceOrientations
   
     UIInterfaceOrientationPortrait
   

   Pushwoosh_APPID
   46F12-BE2E4
   BuildMachineOSBuild
   15G31
   DTPlatformBuild
   13E230
   CFBundlePackageType
   APPL
   MinimumOSVersion
   8.0
   CFBundleDevelopmentRegion
   en
   DTXcodeBuild
   7D1014
   CFBundleVersion
   40
   UIStatusBarHidden
   
   FacebookAppID
   582433738573752
   UILaunchStoryboardName
   LaunchScreen
   UIDeviceFamily
   
     1
   

   Fabric
   
     Kits
     
       
         KitName
         Crashlytics
         KitInfo
         
       

     

     APIKey
     8e17945e7d29d1c775f321348caef29075f5ab9a
   

   FacebookDisplayName
   Prisma.AI
   CFBundleIdentifier
   com.prisma-ai.app
   DTXcode
   0731
   NSAppTransportSecurity
   
     NSExceptionDomains
     
       vk.com
       
         NSExceptionRequiresForwardSecrecy
         
         NSExceptionAllowsInsecureHTTPLoads
         
         NSIncludesSubdomains
         
       

       cdninstagram.com
       
         NSExceptionAllowsInsecureHTTPLoads
         
         NSIncludesSubdomains
         
       

     

   

   CFBundleExecutable
   prisma
   CFBundleSignature
   ????
   DTPlatformName
   iphoneos
   CFBundleURLTypes
   
     
       CFBundleURLSchemes
       
         fb582433738573752
       

     

     
       CFBundleURLSchemes
       
         vk5530956
       

     

     
       CFBundleURLSchemes
       
         prisma
       

     

   

 



Про ключи вы можете почитать подробнее в официальной документации, нас же интересуют лишь некоторые из них.



Во-первых, мы можем добыть API-ключи для сторонних продуктов (вроде crashlytics), идентификаторы групп/страниц в vk/facebook. Во-вторых, мы можем точно знать детальные настройки урлов, куда ходит приложение:



LSApplicationQueriesSchemes



LSApplicationQueriesSchemes

 instagram
 fb
 fbauth2
 fbshareextension
 fbapi
 fb-profile-expression-platform
 vk
 vk-share
 vkauthorize


Видим, что приложение захочет работать с инстаграмом, фейсбуком и вконтактом. Эта информация никаким образом, конечно, не поможет «сломать» приложение, но даст нам дополнительную информацию.



NSAppTransportSecurity



NSAppTransportSecurity

 NSExceptionDomains
 
   vk.com
   
     NSExceptionRequiresForwardSecrecy
     
     NSExceptionAllowsInsecureHTTPLoads
     
     NSIncludesSubdomains
     
   

   cdninstagram.com
   
     NSExceptionAllowsInsecureHTTPLoads
     
     NSIncludesSubdomains
     
   

 



Если не ошибаюсь, флаг появился с 9-ой версии iOS. Рассказывает нам, куда приложение будет ломиться по http-протоколу (https доступен любой домен). Т.е. при всём желании приложение не сможет обратиться на http, если не настроен NSAppTransportSecurity.



Ключ в целом тоже нам особо ничего не даёт, кроме как информации. Но курочка по зёрнышку. Видим, что приложение хочет ломиться по http на vk.com и cdninstagram.com. Ок.



CFBundleURLTypes



CFBundleURLTypes

 
   CFBundleURLSchemes
   
     fb582433738573752
   

 

 
   CFBundleURLSchemes
   
     vk5530956
   

 

 
   CFBundleURLSchemes
   
     prisma
   

 



Пожалуй, самый интересный из бесполезных ключей. Опять же, он нам ничего особо полезного не даёт, но рассказывает о зарегистрированных урлах на этом конкретном приложении. Например, если в мобильном сафари вы наберёте fb582433738573752:// вас перекинет в приложение (если оно установлено, конечно). Данную информацию, повторюсь, тоже можно отнести к условно-бесполезной. Но пару раз я натыкался на приложения, где помимо стандартных урлов соцсетей я находил урлы типа «app-admin» или «app-dev». При переходе на которые можно было получить скрытые настройки приложения. В одном приложении я получил редакторский доступ к одному изданию, в котором можно было публиковать статьи, пихать их на главную, удалять, менять местами итп.



Далее нас интересует директория Frameworks: Payload/Prisma.app/Frameworks



В ней мы найдём ещё немного бесполезной информации об используемых внешних фреймворках и SDK.





Подробнее я напишу чуть ниже про каждый фреймворк, но заранее могу сказать, что, например, отсюда можно тоже выцепить интересную информацию. Среди прочих фреймворков видим FLAnimatedImage, который работает с анимированными GIF — невольно напрашивается вывод, что Prisma всё же будет и с видео.



Также в метафайлах часто можно найти какой-то мусор, забытый разработчиками. Часто я нахожу README.md, .gitignore, лицензии и прочее. Опять же, Prisma хороший пример, т.к. с версии 2.3 в ней появилась просто забытая разработчиками фотка одного из друзей. Те, кто докопаются, прошу не выкладывать имя человека в комментах, он очень просил.



Также находим USERTrustRSAAddTrustCA.cer — уже интересней. Насколько я понял это запароленный сертификат, аналоговый брутфорс профита не дал.



Непосредственно в бинарнике часто находятся скрытые plist, которые могут быть интересными. Также, если приложение собрано на webview-технологиях (типа Cordova), мы найдём config.xml кордовы и, собственно, исходник приложения. Например, приложение Sworkit, которое помимо прочего предлагает пользователям оплатить дополнительные видеоуроки, уже имеет их в исходниках в удобном .mp4-формате. Хочешь удобно — плати. Хочешь неудобно, но бесплатно — читай на Хабре эту статью.



Пожалуй, это основное, что можно добыть из пакета с приложением. Точнее основное, что удалось добыть мне. Уверен, вы ребята умные и найдёте ещё больше полезного — пишите в комментарии и мы добавим это в статью. Но, опять же, всё индивидуально. В некоторых приложениях можно найти очень многое, в том числе и целиком исходники.



Ну и чуть подробнее о самом приложении. Призма (2.3) 17.6Мб. Нативный swift, поддержка русского и английского языка. Фреймворки:

Alamofire.framework — http-клиент

AlamofireImage.framework

AlamofireNetworkActivityIndicator.framework

Bolts.framework — вспомогательный набор инструментов для разработчика

FBSDKCoreKit.framework — facebook

FBSDKShareKit.framework — facebook

FLAnimatedImage.framework — библиотека для работы с видео

KeychainAccess.framework — враппер авторизации. Чаще всего используется для работы с touchid

Obfuscator.framework — обфускатор, тут, думаю, объяснять не нужно

PINCache.framework — key/value хранилище для больших объектов с поддержкой работы в разных потоках.

PINRemoteImage.framework — модуль picache

pop.framework — библиотека для работы с анимацией. Чаще всего используется для UI-анимации.

RHBOrientationObjC.framework — работа с акселерометром, точнее, с ориентацией устройства.

SDWebImage.framework — ещё один http_клиент/кешер для изображений

SwiftyJSON.framework — удобная работа с json

Swinject.framework — DI паттерн разработки

VK_ios_sdk.framework — vk.com


Что в итоге мы имеем? Мы собрали кучу информации о работе приложения и понимаем, чего от него ожидать. Мы нашли некий сертификат и сохранили его себе. Мы узнали, что нас скоро ждёт видео и нашли классную фотку друга основателя Prisma. Двигаемся дальше.



Сниффаем HTTP



Prisma и тут оказалась хорошим примером для статьи. Если те же Artisto и Vinci ходят по голому http и нет труда их сниффать, Prisma ходит по https с проверкой подлинности сертификата. И тут начинаются танцы с бубнами. Но давайте по порядку.



1. Для начала нам нужен http(s)-прокси. Я пользуюсь Charles, он достаточно простой и функциональный.

2. Нам нужно iOS-устройство. Эмуляторы не подойдут.

3. Нам нужна одна сеть между устройствами. Самое простое — Wi-Fi.



На своём терминале запускаем прокси, заодно включаем и https-прокси. На устройстве, соответственно, в настройках Wi-Fi-сети прописываем руками прокси (IP нашего терминала и порт):





Дальше чаще всего достаточно подсунуть в iOS свой сертификат. Как это сделать хорошо написано на том же сайте Charles. Но в случае с Prisma этого сделать не получилось — разработчики не лыком шиты и проверяют подлинность сертификата. Но делается это средствами устройства, а мы тоже хитрюги те ещё. Однако для того, чтобы заставить iOS не проверять сертификат на подлинность, нам потребуется jailbreak.



Действуйте можно было сделать до версии iOS 9.3.3, и то на свой страх и риск — как вариант, используйте тематические ресурсы и внимательно читайте комментарии. В частности, некоторый софт «типа для джаилбрейка» может попросить AppleID вместе с паролем, что чревато исчезновением данных и денег денег с привязанной карты. Все эти тонкости подробно описаны.



Я не буду описывать как делал это я, т.к. разлочка сильно отличается в зависимости от версий устройства и iOS. Единственное, зачем нам это надо в данном случае — https://github.com/nabla-c0d3/ssl-kill-switch2/releases — крайняя версия ssl kill switch. С помощью Cydia (опять же, всю информацию можно найти в сети) ставим любой просмоторщик файлов, например iFile. И с помощью него заливаем .deb-файл последнего релиза ssl kill switch. Работать ssl kill switch после перезагрузки телефона. Важно не забыть его выключить после всех манипуляций, т.к. в противном случае мы рискуем, ведь наше устройство больше не проверяет подлинность ssl.





Прокси включён, проверка сертификата выключена, погнали смотреть на приложение. Первый запуск — как видим, приложение сначала собирает настройки. Откуда же оно их берёт? Дёргается https://cdn.neuralprisma.com/config.json обычным GET`ом, там стандартные настройки, не интересно. Потом дёргается api3.neuralprisma.com/styles POST-ом с телом



{
"codes": ["public"]
}


На выходе список фильтров. Уже интересней, поигрался с массивом [«public»]. Пытаясь подставить туда что-то вроде «dev», «new» и прочего, профита я не получил, но может у кого из вас получится. Я рекомендую использовать для этого Postman.







Ладно, идём дальше. Следующий запрос при загрузке фото опять POST на урл api3.neuralprisma.com/upload/image







И всё было в моей жизни хорошо, пока я не увидел заголовок prisma-image-sign с base64 от бинарного md5. Жизнь боль. Все мои мечты о том, что я сейчас перехвачу траффик призмы и научусь делать то же самое, что и приложение, но просто по http… рухнули. Что это значит? Таким образом разработчики защищаются от таких как я. Посылая фотку по http, приложение также вычисляет какой-то хеш с какой-нибудь солью и добавляет этот хэш в заголовок. Как сгенерить хэш знает только приложение и сервер. Фотка отправляется на сервак, сервак генерит хеш от фотки по тому же алгоритму, сверяет хэши, если они отличаются — значит запрос подделан. Есть способ обойти это, если вы сильны в ассемблере. Дизассм бинарника + анализ его на тему генерации этого заголовка может дать нам алгоритм. Но учитывая, что там md5 (минимум) + base64, на это может уйти много времени. Ну и не забываем, что всё усложняется ещё и наличием фреймворка Obfuscator.framework. В общем, как я уже писал, жизнь боль.



Вся дальнейшая работа приложения достаточно простая. Картинка отправляется на сервак, в ответ получаем некое имя изображения. При выборе стиля шлются запросы с этим именем приложения + именем стиля, на выходе профит. А ведь победа была так близка.



Ну да ладно, давайте не будем отчаиваться и разберём возможность перехвата API на примере другого подобного приложения Vinci. Как уже говорил, там всё ходит по голому http, поэтому нам даже не придётся коверкать наше устройство. Просто прописываем прокси сервер и смотрим что куда ходит при работе с приложением. Все запросы можно эмулировать в Postman, о котором я уже писал, или реализовать на каком-нибудь серверном языке.







Всё достаточно просто. При запуске первым запросом Vinci собирает доступные стили, далее регистрирует девайс, нам это пофиг. Затем я загрузил фото, отправляется POST-запрос на /preload с фото, с любым фото, в ответ мы получаем некий хэш нашего фото:







Ну и далее, как видно, получаем уже готовое изображение, обращаясь по урлу http://vinci.camera/process/2_gNmHxDdthLsmPtuXGxRzQnKjbbspfO/21, где 2_gNmHxDdthLsmPtuXGxRzQnKjbbspfO хеш фото, а 21 — номер фильтра, которые можно добыть из http://vinci.camera/list







Вот и всё. Итого, чему мы научились сегодня? Мы научились собирать информацию о приложении по метафайлам самого приложения и научились сниффать трафик приложения, даже если всё API ходит по https с проверкой подлинности сертификата. Мы научились собирать информацию из API: что, куда, зачем, а также я показал некоторые «тупики».



За сим не буду отвлекать вас от увлекательных анализов приложений, если кто что интересное найдёт, скидывайте в комменты, вместе посмеёмся.



Кстати, интересный факт. Те же SQLinj. В вебе их сейчас уже сложно встретить, любой разработчик понимает всю опасность инъекций. Но вот мобильные разработчики, которые часто приходят в мобильную разработку не из веба (а даже когда из веба — доверяют своим API, типа «да кто его знает наше API-то, только наше приложение!») частенько забывают про веселье, что может их ждать при полном доступе к базе удалённым пользователем.
Original source: habrahabr.ru.

https://habrahabr.ru/post/123238/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Перевод] Основные мировые события, хактивизм и #OpOlympicHacking

Вторник, 23 Августа 2016 г. 14:13 (ссылка)





Каждый, кто отслеживает интернет атаки, подтвердит: активисты, взявшие на вооружение хакерские методы — хактивисты, — получающие одобрение от тех или иных групп людей, чьи интересы ущемлены, могут добиться существенного влияния на онлайн-бизнес. Поискав по тегам #OpISIS, #OpParis, #OpMonsanto, #OpWhales, #OpKillingBay, #OpKKK и #OpTrump вы легко составите представление о широте интересов хактивистов. Любое событие, широко освещаемое прессой, сразу привлекает их внимание. Только что завершившаяся Олимпиада не стала исключением — большое количество скандалов приковало к главному спортивному событию взгляды миллионов болельщиков, злоумышленников, террористов и хактивистов. И недавние теракты в Бельгии, Франции и других странах, а также памятные события на Олимпийских играх 1972 в Мюнхене и 1996 в Атланте, вызывали немало беспокойства относительно мирного проведения «вчерашней» Олимпиады.





Аресты подозреваемых в организации терактов на Олимпиаде 2016.



Помимо физических угроз людям и организациям, вовлечённым в проведение различных мероприятий, а не только Олимпиады, с каждым годом растёт и угроза мощных кибератак.



В последние годы хактивисты всё чаще устраивают свои акции, стараясь привлечь внимание общественности к тем или иным вопросам. Существует немало групп хактивистов, одной из самых крупных и известных является Anonymous. В качестве примеров проведённых ими операций можно привести:




  • #OpNice (Операция “Nice”), в рамках которой «охотились» на членов террористической группы, ответственных за атаку на французский город и убивших около сотни человек;

  • #OpKKK (Операция “Ku Klux Klan”), в рамках которой были обнародованы имена примерно 1 000 членов Ку-Клукс-Клана и аффилированных организаций;

  • #OpIcarus (Операция “Icarus”), проведённая с целью блокирования банковских сайтов;

  • #OpWhales (Операция “Whales”), проведённая против исландских и японских веб-сайтов в качестве протеста против истребления китов.



А за несколько месяцев до начала Олимпиады в Рио Anonymous анонсировали операцию #OpOlympicHacking.







Мотивация



В основе операции #OpOlympicHacking лежит социальная мотивация, как и в случае с операцией #OpWorldCup, запущенной Anonymous в той же Бразилии во время Чемпионата мира по футболу 2014. Целями этой операции стали различные правительственные организации, таким образом хактивисты протестовали против проведения чемпионата в Бразилии.



Что касается #OpOlympicHacking, то Anonymous опубликовали следующее воззвание:



«Привет, Рио-де-Жанейро. Мы знаем, что многие из вас понимают, какой вред наносят Олимпийские Игры этому городу. СМИ продают иллюзию того, что всё население приветствует приезжающих туристов со всего мира, многих из которых привлекает проституция и наркотики по бросовым ценам. Это фальшивое счастье скрывает кровь, проливаемую в пригородах, в основном в трущобах, благодаря бесчисленным рейдам полиции и военных под предлогом выдуманной войны. Нищета охватывает город, заставляя целые семьи покидать свои дома и привычные районы из-за роста цен на аренду или сносов, проводимых коррумпированными чиновниками в угоду строительным компаниям. Мы уже сообщали о своём отречении от проведения мега-мероприятий посреди вопиющего социального неравенства в этой стране. Но несмотря на многочисленные слова, призывы и протесты на улицах (всегда или под контролем силовиков, или грубо разгоняемые), правительство продолжает игнорировать голоса своего народа. Поэтому мы продолжим наши операции, чтобы явить миру многочисленные случаи произвола со стороны чиновников, а следовательно — врагов своего населения.»


Также было опубликовано два видео, в которых призывали присоединяться к #OpOlympicHacking:















Операция



Anonymous называют себя «интернет-собранием» с «очень свободной и децентрализованной структурой управления, которая основана на идеях, а не директивах». Операция #OpOlympicHacking координировалась ячейкой Anonymous Brasil посредством Twitter, Facebook, Youtube и IRC-каналов. Все эти информационные каналы использовались для управления DDoS-атаками против конкретных целей, а также для информирования о результатах предыдущих атак и кампаний.





Координирование операции в Twitter-аккаунте Anonymous Brasil.



Помимо координации DDoS-атак, упомянутые площадки используются для обсуждения и стимулирования участников к поиску уязвимостей на ресурсах-жертвах.





IRC-канал #OpOlympicHacking.



DDoS-инструмент («opolympddos»)



Специально для операции #OpOlympicHacking был создан программный инструмент для проведения DDoS-атак.







Этот инструмент известен как opolympddos. Он представляет собой набор исполняемых файлов, (представляющих собой VB .NET и Python-скрипты, преобразованные в экзешники под Windows), а также batch-файлов. opolympddos позволяет всем желающим принимать участие в DDoS-атаках, для чего нужно установить TOR и кликнуть по заранее сконфигурированной кнопке, привязанной к конкретной цели. После этого запускается DDoS-атака на уровне приложения: устанавливается стабильное соединение и начинается отправка HTTP-запросов со случайными данными и user-агентами.







Другие DDoS-инструменты



Есть свидетельства того, что среди хактивистов распространялись и другие DDoS-инструменты, приуроченные к #OpOlympicHacking. Архив, содержащий набор «хакерских инструментов». Это набор не особо новых инструментов:







































Файл Время компиляции Описание
Anonymous External Attack.exe 22/03/12 11:54 Инструмент для HTTP-атак. 26 антивирусов оценивают его как “HackerTool”
Bull-dosa.exe 05/11/11 05:59 DOS-инструмент. 21 антивирусов оценивают его как “HackerTool”
FireFlood.exe 21/01/12 22:03 DOS-инструмент. Вероятно, инструмент против виртуализации.
LOIC.exe 13/12/14 07:09 DOS-инструмент с отслеживанием пользователей через Google Analytics.
LOIC 2013.exe 05/01/13 07:58
MacStartx User Attack [ tiger ].exe 26/10/13 06:14 Инструмент предложен на BR-форуме: hxxp://www.connect-trojan.net/2014/08/macstartx-user-attack-tiger-v461.html




Инструмент LOIC.





Python-скрипт httpdoser, распространяемый на Facebook-странице #OpOlympicHacking.



Цели



Лидеры Anonymous распространяли список потенциальных целей с помощью постов в Pastebin. В целом мишенями операции #OpOlympicHacking были организации, связанные со скандальными слухами касательно организации и проведения Олимпиады.



Атаки



Несколько веб-сайтов подверглись DDoS- и DoX-атакам. Согласно отчётам Anonymous, были «положены» сайты, имеющие отношение к национальным и местным правительственным и спортивным организациям.







Кроме того, Anonymous утверждают, что им удалось украсть важные данные, принадлежавшие ряду организаций и частных лиц, имеющих отношение к Олимпийским Играм.







Заключение



Мощность и частота атак во время Олимпиады были ниже, чем прогнозировали эксперты RSA. Большинство атак были связаны с DDoS-активностью, выполнялись на довольно низком техническом уровне и имели ограниченные долгосрочные последствия. По завершении Олимпиады интенсивность резко снизилась, и можно ожидать очередного всплеска во время следующего крупного международного события.
Original source: habrahabr.ru.

https://habrahabr.ru/post/308334/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

OSSIM. Создание простого плагина для разбора логов

Понедельник, 22 Августа 2016 г. 17:37 (ссылка)

Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM.

Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду.

В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине. Здесь следует отметить, что данное приложение не поддерживается OSSIM "из коробки". Таким образом, данная инструкция подойдет для разработки плагина для любого Вашего приложения, которое для передачи журналов событий использует протокол syslog.

В качестве основы использовались документы вендора:

Alienvault. Building collector Plugins

Alienvault. How to create a data source plugin



1. Исходные данные



1.1 Архитектура


Сервер с установленным OSSIM (далее — Сервер OSSIM), имеющий IP адрес 192.168.0.111 и имя alienvault.

Сервер под управлением CentOS 6.6 (далее — Сервер) c IP адресом 192.168.0.54 и именем cnc-2. На Сервере установлено приложение (условно назовем его bw_lists), которое отправляет журналы событий в режиме реального времени по протоколу syslog на Сервер OSSIM.

Приложение является некой модификацией стандартного шелла, выполняющего фильтрацию вводимых пользователем команд.





Рисунок 1 – Архитектура решения



1.2 Описание структуры события


Формат события:

<дата в формате syslog> <имя хоста> bw_lists[<номер сессии>]: user:<имя пользователя> ip: ip_tko: IN:<выполненная пользователем команда> OUT: Res: <отчет выполнения или отказа> <текст команды> <вывод целевой системы>

В каждое событий, отправляемое по syslog приложение включает:

1) номер сессии пользователя (в квадратных скобках сразу после слова bw_lists)

2) имя пользователя, выполнившего команду

3) IP адреса Сервера и целевой системы, на которой эта команда должна отработать

4) команду, выполненную пользователем (например — "configure terminal")

5) отчет о выполнении или отказе в выполнении команды, отданной пользователем (ACCEPT или DENY)

6) вывод, полученный в консоли (например — "Enter configuration commands, one per line. End with CNTL/Z")

Пример событий, полученных от приложения:



Nov 20 14:15:33 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: configure terminal OUT: Res: ACCEPT configure terminal Enter configuration commands, one per line. End with CNTL/Z.
Nov 20 14:15:39 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: interface Gi0/1 OUT: Res: ACCEPT interface Gi0/1 ^ % Invalid input detected at '^' marker.
Nov 20 14:16:29 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: exit OUT: Res: ACCEPT exit


2. Задачи



1) Настроить на Сервере OSSIM прием журналов событий по протоколу syslog от Сервера и запись их в файл;

2) Настроить разбор (парсинг) полученных журналов событий в системе OSSIM. Необходимо извлечь из них следующую информацию:




  • номер сессии пользователя (в квадратных скобках сразу после слова «bw_lists»);

  • имя пользователя, выполнившего команду (после «user:»);

  • IP адреса Сервера (после «ip:») и целевой системы (после «ip_tko:»), на которой эта команда должна отработать;

  • команду, выполненную пользователем (после «IN:», например — «configure terminal»);

  • отчет о выполнении или отказе в выполнении команды (после «Res:»), отданной пользователем (ACCEPT или DENY).



3. Решение



3.1 Настройка на Сервере OSSIM приема журналов событий от Сервера


В рамках выполнения этой задачи на Сервере OSSIM будет настроен rsyslog для приема журналов событий, приходящих от Сервера по протоколу syslog.

Для этого отредактируем файл /etc/rsyslog.conf и добавим в него строку:



if $programname contains 'bw_lists' then -/var/log/SR/bw-list-log.log


И перезапустим rsyslog, чтобы изменения вступили в силу:



/etc/init.d/rsyslog restart


Таким образом, события, полученные Сервером OSSIM от Сервера и содержащие "bw_lists" будут записаны в файл /var/log/SR/bw-list-log.log. Далее настроим разбор событий из этого файла самим OSSIM.



3.2 Настройка разбора (парсинга) и отображения полученных событий в OSSIM


Процесс настройки разбора событий в OSSIM разделяется на два этапа:




  • создание конфигурационного файла-парсера журналов событий;

  • добавление информации о парсере и типе(ах) событий в базу данных OSSIM;

  • включение плагина.



Первый файл отвечает за парсинг самого журнала и распределение полученной информации по полям схемы описания событий, используемой OSSIM, второй — для отображения типов и классов событий в интерфейсе OSSIM, а также для назначения приоритетов событиям.

Для описания событий OSSIM использует схему, состоящую из нескольких десятков полей, таких как: date, sourceIP, destinationIP, username, userdata1-9 и т.д. Подробно схема приведена в офф. документации OSSIM.



3.2.1 Создание конфигурационного файла-парсера журналов событий


Файлы-парсеры располагаются на сервере OSSIM в директории /etc/ossim/agent/plugins/

Создадим новый файл с именем bwlistlog.cfg (имя можно выбрать произвольное, оно ни на что не влияет и более нигде не фигурирует. Однако, имя обязательно должно соответствовать формату <букво-цифро сочетание без пробелов>.cfg).

В каждом файле должны быть выделены несколько секций (названия секций заключаются в квадратные скобки), а именно:



[DEFAULT]

В данной секции присутствует номер plugin'а. По рекомендации вендора, номер plugin'а необходимо выбирать из диапазона 9000 — 10000. Данный номер должен быть уникальным для данной инсталляции OSSIM.

Выяснить занят ли выбранный Вами номер для plugin'а можно следующим образом:

grep "plugin_id=<номер plugin'а>" /etc/ossim/agent/plugins/*

Например



grep "plugin_id=9002" /etc/ossim/agent/plugins/*


[config]

В этой секции указывается:




  • тип plugin'а;

  • включен ли он;

  • тип источника сообщений;

  • файл, в котором хранятся сообщения;

  • настройки процессов, генерящих события (это нужно для plugin'ов типа monitor).



[translation]

В этой секции можно задать "перевод" значений определенных полей события в числа. Далее эти числа можно использовать для задания классов событий, для наглядности в графическом интерфейсе. Подробнее в разделе 3.2.2



Последняя секция, называемая в примере [bwlistlog] является первым правилом разбора сообщений. Названия секций — правил могут носить произвольный формат. Рекомендуется задавать его следующим образом: [ <номер> — <имя источника> ], например [ 1 — applog ], [ 2 — applog ] и т.д.

Дело в том, что в рамках одного plugin'а можно задать несколько правил, т.е. схем разбора сообщений. Сделано это для того, чтобы обрабатывать события, имеющие разную структуру (если невозможно все события от источника разобрать с помощью одного правила парсинга).

При наличии нескольких правил OSSIM сравнивает сообщение с каждым из них по-очереди, причем очередь выстраивается по алфавитному порядку. Пример — есть 3 правила с именами [a-rule], [b-rule], [c-rule]. Первым проверится соответствие правилу a-rule, затем b-rule и т.д. Поэтому, более общие правила лучше именовать таким образом, чтобы они срабатывали последними в очереди.

Содержание файла bwlistlog.cfg с комментариями:



[DEFAULT]
# уникальный номер парсера (в терминологии OSSIM - plugin.)
plugin_id=9002

[config]
# тип plugin'а. Они бывают двух типов - detector и monitor. Для приема по syslog используется тип detector
type=detector
# тумблер включения
enable=yes

# тип лога. log - текстовый файл. может также быть database (чтение данных из БД), sdee (для cisco), snortlog (логи snort), wmi (для безагентского сбора с машин под управлением ОС Windows поддерживающих протокол wmi)
source=log
# расположение файла с логами, который будет разбирать данный парсер.
location=/var/log/SR/bw-list-log.log

# должен ли OSSIM создать файл в случае его отсутствия. Я не менял данную опцию
create_file=true

# блок инструкций по перезапуску сервисов при старте-остановке агента OSSIM. Для источников, располагающихся не на Сервере OSSIM, как в нашем случае, рекомендуется оставить все по-умолчанию
process=
start=no
stop=no
startup=
shutdown=

# раздел в котором можно задать "перевод" значений полей
[translation]
ACCEPT=1
DENY=2

# название первого (и, в данном случае, единственного) правила парсера.
[bwlistlog]
# тип события. менять не нужно
event_type=event
# регулярное выражение, согласно которому происходит парсинг событий
regexp="^((?P\S+\s+\d+\s+\d+:\d+:\d+)\s+(?P\S+)\s+bw_lists\[(?P\d+)\]\:\s+user\:(?P\S+)\s+ip\:(?P\S+)\s+ip_tko\:(?P\S+)\s+IN\:(?P.*)\s+OUT\:\s+Res\:\s+(?P\S+).*)"
# далее задается соответствие полей, обозначенных с помощью парсера полям, предусмотренным для событий в схеме OSSIM. Подробнее в разделе 3.2.3
device={$sr_node}
date={normalize_date($date)}
plugin_sid={translate($result)}
src_ip={$tko_node}
username={$user}
userdata1={$message}
userdata2={$session}


В данном регулярном выражении мы выделяем (с помощью круглых скобок) ту информацию, которую хотим извлечь и назначаем ей произвольный тег (с помощью знака вопроса, буквы Р и скобок ?P<>), по которому потом можем к ней обращаться. Пример:



(?P\S+\s+\d+\s+\d+:\d+:\d+)


означает, что информация в начале строки, которая попадает под выражение \S+\s+\d+\s+\d+:\d+:\d+ будет адресоваться по тегу "date". Далее мы сообщаем, что в поле "date" схемы OSSIM мы хотим положить значение нашего поля "date" предварительно выполнив его нормализацию (OSSIM умеет преобразовывать дату в разных форматах к своему единому):



date={normalize_date($date)}


Для тестирования регулярных выражений можно использовать, например, вот этот инструмент. Имейте ввиду, что данный инструмент с тегами работать не умеет. Поэтому, оттестировав свое регулярное выражение в нем, их нужно будет добавить.

Также необходимо пояснить поле "plugin_sid". События от одного источника — с одним и тем же "plugin_id" — могут принадлежать разным классам, например "ACCEPT" и "DENY" для нашего примера. "plugin_sid" как раз указывает на идентификатор класса, а строка:



plugin_sid={translate($result)}


говорит парсеру о том, что нужно обратиться в раздел [translate] для выполнения трансляции информации, полученной тегом "result". "ACCEPT" транслируется в единицу, "DENY" — в двойку. Как и зачем назначать классы событий — в следующем разделе.

Да, "plugin_sid" можно назначить и вручную для каждого правила парсинга, указав, например:



plugin_sid=1


3.2.2 Добавление информации о парсере и типе(ах) событий в базу данных OSSIM


После написания конфигурационного файла парсера необходимо добавить информацию о нем в БД OSSIM.

Это делается посредством написания mysql скрипта и его запуска. Примеры скриптов лежат на Сервере OSSIM в папке:

/usr/share/doc/ossim-mysql/contrib/plugins/

Имя скрипта можно выбирать произвольное.

Для наглядности, сразу приведу скрипт из нашего примера:



DELETE FROM plugin WHERE id = "9002";
DELETE FROM plugin_sid where plugin_id = "9002";
INSERT IGNORE INTO plugin (id, type, name, description) VALUES (9002, 1, 'bw-lists', 'Bash filtering');

INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 1, NULL, NULL, 'Command Accepted');
INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 2, NULL, NULL, 'Command Denied');


Первые три строки вычищают все старые упоминания о "plugin_id" под номером 9002 из БД и создают его заново.

Следующие две как раз описывают классы событий.

Как вы помните из предыдущего раздела, "plugin_sid" вычисляется посредством соотнесения информации, полученной из события с помощью парсера под тегом "result" (может быть "ACCEPT" и "DENY") и последующего преобразования ее в секции [translate] (в конфигурационном файле парсера). Таким образом имеем два класса событий 1 — "ACCEPT", 2 — "DENY".

Именно об этих классах событий сообщают БД OSSIM строки:



INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 1, NULL, NULL, 'Command Accepted');
INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 2, NULL, NULL, 'Command Denied');


Знакомые с синтаксисом "mysql" с легкостью их поймут. Для остальных поясню, что события, классифицированные как "ACCEPT" в интерфейсе OSSIM будут появляться с названием "Command Accepted", а "DENY", соответственно — "Command Denied". Здесь также можно задать параметры категорирования событий этого типа источников (category_id, class_id).

После создания скрипта необходимо загрузить его в БД OSSIM командой:



# ossim-db < /usr/share/doc/ossim-mysql/contrib/plugins/bw-lists.sql


3.2.3 Включение плагина


Включить созданный плагин можно следующим образом:

1) подключиться к Серверу OSSIM по SSH, зайти в меню: "Configure sensor" — "Configure Data Source Plugins";

2) найти в списке плагин "bw-lists" и поставить возде него "*", нажать "ОК";

3) вернуться в корневое меню кнопкой "Back";

4) выбрать опцию "Apply all Changes".

Новый плагин готов к обработке журналов событий.

Однако, если события поступают, а в интерфейсе OSSIM, задав сортировку по типу плагина, вы их не видите, то ....

4. Устранение неполадок



1) проверьте, что лог файл, указанный в конфигурационном файле парсера существует и в нем обновляются записи — т.е. журналы поступают;

2) проверьте, что формат событий подходит под написанное Вами регулярное выражение;

3) проверьте файл /var/log/alienvault/agent/agent.log на предмет ошибок, связанных с Вашим плагином:



grep ERR /var/log/alienvault/agent/agent.log|grep 9002
grep Discard /var/log/alienvault/agent/agent.log|grep 9002
grep Warn /var/log/alienvault/agent/agent.log|grep 9002

Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/271319/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<информационная безопасность - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda