Coisa bem legais por vir no 2.9.8 =)
Snort 2.9.7.6 is now available on snort.org at
http://www.snort.org/downloads in the Snort Stable Release section.
2015-08-28 - Snort 2.9.8_rc
[*] New additions
* SMBv2/SMBv3 support for file inspection.
* Port override for metadata service in IPS rules.
* AppID Lua detector performance profiling.
* Perfmon dumps stats at fixed intervals from absolute time.
* New preprocessor alert (18:120) to detect SSH tunneling over HTTP
* New config option |disable_replace| to disable replace rule option.
* New Stream configuration |log_asymmetric_traffic| to control
logging to syslog.
* New shell script in tools to create simple Lua detectors for AppID.
[*] Improvements
* sfip_t refactored to use struct in6_addr for all ip addresses.
* Post-detection callback for preprocessors.
* AppID support for multiple server/client detectors evaluating on
same flow.
* AppID API for DNS packets.
* Memory optimizations throughout.
* Support sending UDP active responses.
* Fix perfmon tracking of pruned packets.
* Stability improvements for AppID.
* Stability improvements for Stream6 preprocessor.
* Added improved support to block malware in FTP preprocessor.
* Added support to differentiate between active and passive FTP
connections.
* Improvements done in Stream6 preprocessor to avoid having duplicate
packets in the DAQ retry queue.
* Resolved an issue where reputation config incorrectly displayed
'blacklist' in priority field even though 'whitelist' option was configured.
See the Release Notes and ChangeLog for more details.
Please submit bugs, questions, and feedback to bugs@snort.org.
Happy Snorting!
The Snort Release Team
quarta-feira, 2 de dezembro de 2015
terça-feira, 24 de novembro de 2015
[Video] Making applications secure with NGINX
Vídeo com dicas interessantes, superficial mas bastante coisas pra pensarem =)
- Naxsi
- Repsheet
- IPSet
- Reputation
- Nginx modules
Happy Detection!
Rodrigo Montoro
- Naxsi
- Repsheet
- IPSet
- Reputation
- Nginx modules
Happy Detection!
Rodrigo Montoro
BLACKFRIDAY: Combo gravações cursos OSSEC + Snort com 50% OFF
Caros,
Entrando no clima da semana blackfriday, estou vendendo os dois treinamentos com 50% de desconto para quem comprar e realizar pagamento até domingo. O valor do combo que originalmente sairia por R$998 ficará apenas R$499,00
Curso OSSEC
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Curso Snort
10-) Output
- Syslog
- Unified 2
11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
- Básico
- Cabeçalho
- Opções de Regra
- Genericas
- Payload
- Non-Payload
- Após detecção / Resposta Ativa
14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais
Total de praticamente 70h de gravação bem prática, com teoria e laboratorios.
Interessado entrar em contato spooker@gmail.com
Happy Detection!
Rodrigo Montoro!
Entrando no clima da semana blackfriday, estou vendendo os dois treinamentos com 50% de desconto para quem comprar e realizar pagamento até domingo. O valor do combo que originalmente sairia por R$998 ficará apenas R$499,00
Curso OSSEC
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Curso Snort
1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
- Frag3
- Stream5
- sfPortScan
- SMTP/POP/IMAP
- Arp Spoof
- HTTP Inspect
- DCE/RPC2
- Sensitive Data
- IP Reputation
9-) Analise de performance
- Performance das regras
- Performance dos preprocessadores
- Performance pacotes
- Stream5
- sfPortScan
- SMTP/POP/IMAP
- Arp Spoof
- HTTP Inspect
- DCE/RPC2
- Sensitive Data
- IP Reputation
9-) Analise de performance
- Performance das regras
- Performance dos preprocessadores
- Performance pacotes
10-) Output
- Syslog
- Unified 2
11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
- Básico
- Cabeçalho
- Opções de Regra
- Genericas
- Payload
- Non-Payload
- Após detecção / Resposta Ativa
14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais
Total de praticamente 70h de gravação bem prática, com teoria e laboratorios.
Interessado entrar em contato spooker@gmail.com
Happy Detection!
Rodrigo Montoro!
domingo, 19 de julho de 2015
[Treinamento] - Venda gravação curso OSSEC HIDS (em português)
Caros,
Estou vendendo a gravação do treinamento de OSSEC realizado no primeiro semestre desse ano. O Curso é baseado na versão 2.8.1, seguindo o manual de referência bem como na sua maioria com muita prática. Além de tudo, o curso é bem informal e vamos criando testes de acordo com pedido dos alunos. Grade do Curso (dividido em 13 aulas):
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Investimento: R$ 499,00
Interessado entrar em contato via comentário ou e-mail spooker@gmail.com
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
Estou vendendo a gravação do treinamento de OSSEC realizado no primeiro semestre desse ano. O Curso é baseado na versão 2.8.1, seguindo o manual de referência bem como na sua maioria com muita prática. Além de tudo, o curso é bem informal e vamos criando testes de acordo com pedido dos alunos. Grade do Curso (dividido em 13 aulas):
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Investimento: R$ 499,00
Interessado entrar em contato via comentário ou e-mail spooker@gmail.com
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
quarta-feira, 1 de julho de 2015
TOP30 Emerging Threats (ET) Snort alerts e IP nos honeypots
Instalei em 3 sensores da honeynet o meu querido snort. Logicamente o Snort só detecta o que já conhece, visto que são regras de blacklist, mas acho interessante ter ele rodando em paralelo com os daemons.
Abaixo a lista das TOP30 regras que alertaram:
TOP30 IP de origem que geraram essas regras:
Pretendo colocar sensores internos em redes reais, o que acredito que adicionará outros alertas, porém é válido ativar essas regras caso não as possua.
Ainda estou em fase de testes e pretendo num futuro compartilhar essas informações de forma automatica (API) ou site.
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
Abaixo a lista das TOP30 regras que alertaram:
8241 [**] [1:2017162:2] ET SCAN SipCLI VOIP Scan [**]
5469 [**] [1:2402000:3709] ET DROP Dshield Block Listed Source group 1 [**]
4309 [**] [1:2001219:19] ET SCAN Potential SSH Scan [**]
2308 [**] [1:2011716:4] ET SCAN Sipvicious User-Agent Detected (friendly-scanner) [**]
2179 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433 [**]
2129 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306 [**]
1862 [**] [1:2008578:6] ET SCAN Sipvicious Scan [**]
1162 [**] [1:2402001:3709] ET DROP Dshield Block Listed Source group 1 [**]
1031 [**] [1:2500108:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 55 [**]
624 [**] [1:2500132:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 67 [**]
568 [**] [1:2400000:2488] ET DROP Spamhaus DROP Listed Traffic Inbound group 1 [**]
280 [**] [1:2101411:12] GPL SNMP public access udp [**]
249 [**] [1:2500028:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 15 [**]
232 [**] [1:2500106:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 54 [**]
220 [**] [1:2500066:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 34 [**]
203 [**] [1:2403350:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 26 [**]
125 [**] [1:2403346:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 24 [**]
118 [**] [1:2500138:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 70 [**]
105 [**] [1:2009699:1] ET VOIP REGISTER Message Flood UDP [**]
92 [**] [1:2500022:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 12 [**]
90 [**] [1:2101616:9] GPL DNS named version attempt [**]
84 [**] [1:2500136:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 69 [**]
84 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521 [**]
73 [**] [1:2500100:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 51 [**]
68 [**] [1:2500062:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 32 [**]
52 [**] [1:2500102:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 52 [**]
47 [**] [1:2403331:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 16 [**]
45 [**] [1:2403333:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 17 [**]
44 [**] [1:2500140:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 71 [**]
43 [**] [1:2403324:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 13 [**]
TOP30 IP de origem que geraram essas regras:
1343 43.255.189.38
1063 61.240.144.66
796 155.94.64.250
767 23.92.80.90
755 218.77.79.43
648 23.92.80.27
528 61.240.144.65
438 61.240.144.64
414 61.240.144.67
369 61.160.224.130
351 46.165.249.2
351 185.94.111.1
327 222.186.27.171
326 61.160.224.128
313 192.187.115.202
289 188.138.1.239
242 124.158.12.201
235 23.92.80.95
234 173.193.12.244
233 188.227.186.16
231 69.64.33.115
227 46.165.210.84
225 71.6.135.131
220 62.210.71.22
218 192.3.8.210
215 94.102.49.168
210 61.160.224.129
207 23.92.80.97
195 162.244.35.24
189 222.186.21.133
Pretendo colocar sensores internos em redes reais, o que acredito que adicionará outros alertas, porém é válido ativar essas regras caso não as possua.
Ainda estou em fase de testes e pretendo num futuro compartilhar essas informações de forma automatica (API) ou site.
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
quinta-feira, 25 de junho de 2015
[Dica Ferramenta] - Geolocation (País e ASN - Autonomous System Numbers) com geoip-bin
Ontem precisava rapidamente fazer Geolocation de alguns milhares de IP que coletei nos honeypots, pensei em codar algo, porém numa googleada rápida achei essa tool que já vem no repositório do Ubuntu e funciona bem legal.
Basicamente a instalação é simples
Com a ferramenta instalada, sugiro que atualizem a database de ASN e Países para ter melhores resultados
Atualizar países
Atualizar ASN
Feito isso, só usar a ferramenta:
No caso dos testes dos honeypots, alguns dados extraídos, em breve pretendo compartilhar mais.
TO10 Países
TOP10 ASN
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
Basicamente a instalação é simples
$ sudo apt-get install geoip-bin
Com a ferramenta instalada, sugiro que atualizem a database de ASN e Países para ter melhores resultados
Atualizar países
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
$ gunzip GeoIP.dat.gz
$ sudo cp GeoIP.dat /usr/share/GeoIP/
Atualizar ASN
$ wget http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
$ gunzip GeoIPASNum.dat.gz
$ sudo cp GeoIPASNum.dat /usr/share/GeoIP/
Feito isso, só usar a ferramenta:
$ geoiplookup 43.229.52.28
GeoIP Country Edition: HK, Hong Kong
GeoIP ASNum Edition: AS63857 HOT NET LIMITED
No caso dos testes dos honeypots, alguns dados extraídos, em breve pretendo compartilhar mais.
TO10 Países
466847 GeoIP Country Edition: HK, Hong Kong
133844 GeoIP Country Edition: CN, China
14341 GeoIP Country Edition: FR, France
10093 GeoIP Country Edition: US, United States
5781 GeoIP Country Edition: GB, United Kingdom
4618 GeoIP Country Edition: KR, Korea, Republic of
3585 GeoIP Country Edition: RU, Russian Federation
3569 GeoIP Country Edition: DE, Germany
2899 GeoIP Country Edition: IN, India
2321 GeoIP Country Edition: TW, Taiwan
TOP10 ASN
465302 GeoIP ASNum Edition: AS63857 HOT NET LIMITED
96216 GeoIP ASNum Edition: AS23650 AS Number for CHINANET jiangsu province backbone
12120 GeoIP ASNum Edition: AS4134 Chinanet
8376 GeoIP ASNum Edition: AS21502 NC Numericable S.A.
6191 GeoIP ASNum Edition: AS4837 CNCGROUP China169 Backbone
5510 GeoIP ASNum Edition: AS202109 Digital Ocean, Inc.
4292 GeoIP ASNum Edition: AS24445 Henan Mobile Communications Co.,Ltd
4135 GeoIP ASNum Edition: AS12876 ONLINE S.A.S.
2711 GeoIP ASNum Edition: AS9808 Guangdong Mobile Communication Co.Ltd.
2431 GeoIP ASNum Edition: AS9318 Hanaro Telecom Inc.
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
segunda-feira, 22 de junho de 2015
Logar tentativas de acesso a diretórios protegido pelo .htaccess
Domingão a noite, estava conversando sobre coisas nerds com o Robertux e ele me perguntou se conhecia algum honeypot para logar tentativas de acesso a diretório protegidos com o .htaccess. Logicamente por motivos de segurança as senhas não são salva por padrão nos logs texto que o apache gera.
De cabeça e pesquisando rapidamente não conhecia nada, mas algo que gosto de usar bastante para simular honeypots web é o próprio apache, bem mal configurado as vezes, visto que o foco é coletar infos e não ser seguro.
Pequisando e fazendo alguns testes, consegui montar algo usando basicamente essas 2 configurações:
1-) Criar o .htaccess dentro do diretório protegido com o seguinte conteúdo:
No caso, o arquivo que será redirecionado em caso de erro do login estará no root e com nome logging.php.
2-) Criar o logging.php com o seguinte código
No exemplo ele salvará as tentativas no /tmp/htaccess.log .
3-) Lembre-se de mudar o AllowOverride das configurações do diretório root de None para All, visto que ele vem como None por motivos de segurança
15-06-22/14:32:20 127.0.0.1 /honey/ admin/123
15-06-22/14:32:20 127.0.0.1 /honey/ admin/lalala
15-06-22/14:32:20 127.0.0.1 /honey/ admin/1234546
15-06-22/14:32:20 127.0.0.1 /honey/ admin/abc
15-06-22/14:32:20 127.0.0.1 /honey/ admin/test
15-06-22/14:32:20 127.0.0.1 /honey/ admin/root
15-06-22/14:32:20 127.0.0.1 /honey/ admin/teste
15-06-22/14:32:20 127.0.0.1 /honey/ admin/admin
Usei de referência essa link - http://serverfault.com/questions/460765/log-invalid-login-attempts-htpasswd
Lembrando que isso é pra função de honeypot, código pode (ou não) conter falhas, simplesmente fiz algo funcional.
Alguém conhece algo melhor ? Sugestões ? Subirei depois isso em algum node pra ver se consigo infos legais e logicamente compartilhar.
Happy Detection!
Sp0oKeR Labs
De cabeça e pesquisando rapidamente não conhecia nada, mas algo que gosto de usar bastante para simular honeypots web é o próprio apache, bem mal configurado as vezes, visto que o foco é coletar infos e não ser seguro.
Pequisando e fazendo alguns testes, consegui montar algo usando basicamente essas 2 configurações:
1-) Criar o .htaccess dentro do diretório protegido com o seguinte conteúdo:
ErrorDocument 401 /logging.php
AuthName "My Password Protected Site"
AuthUserFile /tmp/.htpasswd
AuthType Basic
Require valid-user
# Set REMOTE_USER env variable on 401 ErrorDocument
RewriteEngine On
RewriteBase /
RewriteCond %{ENV:REDIRECT_STATUS} ^401$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},E=REMOTE_USER:%{ENV:REDIRECT_REMOTE_USER}]
No caso, o arquivo que será redirecionado em caso de erro do login estará no root e com nome logging.php.
2-) Criar o logging.php com o seguinte código
if(isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])):
$fp = fopen('/tmp/htaccess.log', 'a+');
$ip = $_SERVER['REMOTE_ADDR'];
$password = $_SERVER['PHP_AUTH_PW'];
$username = $_SERVER['PHP_AUTH_USER'];
$time = date('y-m-d/H:i:s');
$request = $_SERVER['REDIRECT_URL'];
fwrite($fp, $time."\t".$ip."\t".$request."\t".$username."/".$password."\r\n");
fclose($fp);
endif;
ob_start();
header("HTTP/1.1 401 Authorization Required",1);
header("Status: 401 Authorization Required",1);
echo '401 Authorization Required Authorization Required
This server could not verify that you are authorized to
access the document
requested. Either you supplied the wrong
credentials (e.g., bad password), or your
browser doesn\'t understand how to supply
the credentials required.
';
exit();
?>
No exemplo ele salvará as tentativas no /tmp/htaccess.log .
3-) Lembre-se de mudar o AllowOverride das configurações do diretório root de None para All, visto que ele vem como None por motivos de segurança
O resultado no /tmp/htaccess.log (fiz um update no script acima que salva o IP source também) será:Options Indexes FollowSymLinks
AllowOverride all
Require all granted
15-06-22/14:32:20 127.0.0.1 /honey/ admin/123
15-06-22/14:32:20 127.0.0.1 /honey/ admin/lalala
15-06-22/14:32:20 127.0.0.1 /honey/ admin/1234546
15-06-22/14:32:20 127.0.0.1 /honey/ admin/abc
15-06-22/14:32:20 127.0.0.1 /honey/ admin/test
15-06-22/14:32:20 127.0.0.1 /honey/ admin/root
15-06-22/14:32:20 127.0.0.1 /honey/ admin/teste
15-06-22/14:32:20 127.0.0.1 /honey/ admin/admin
Usei de referência essa link - http://serverfault.com/questions/460765/log-invalid-login-attempts-htpasswd
Lembrando que isso é pra função de honeypot, código pode (ou não) conter falhas, simplesmente fiz algo funcional.
Alguém conhece algo melhor ? Sugestões ? Subirei depois isso em algum node pra ver se consigo infos legais e logicamente compartilhar.
Happy Detection!
Sp0oKeR Labs
sexta-feira, 19 de junho de 2015
Estamos de volta! Segundo semestre de muita informação para compartilhar =)
Amigo(as),
Depois de 2 anos com tentativas de mudanças de área, acertos e erros, muito aprendizado, um período sabático de 2 meses para refletir um pouco o que quero pra mim e muito pouco blogpost nesse período, estamos de volta!
Ando meio afastado do blog, bem como não colocando conteúdos de testes. Como estou voltando a área de origem (pesquisas e muita detecção de intrusos) no qual testarei e pesquisarei muito muito mais. Pretendo compartilhar quase que diariamente meus testes, vídeos, pesquisas/idéias, leituras e falhas =).
Entre os assuntos que estou com uma pilha de idéias e testes já iniciados são (só um resumo de tudo que vou blogar quase que diariamente e em "pedacinhos"):
- MHN / Honeypot no geral
A idéia é compartilhar dados dos meus sensores de testes, dar dicas, linhas de comandos para extração, configurações. Entre uma lista de nomes podemos citar:
A URL do MHN http://threatstream.github.io/mhn/ caso queira conhecer essa tool.
- Threat Intel
O mundo de inteligência em ameaças é algo totalmente dinâmico, porém lendo e acompanhando textos, existe muita informação na verdade e pouco inteligência muitas vezes. A idéia é compartilhar testes, resultados, papers e ajudar ao uso de feeds públicos (e quem sabe pagos se alguém fornecer as infos). Um projeto bem interessante que fará parte dessa parte de pesquisa será o MLSec Project, liderado pelo Alex Pinto.
- OpenSoc
Esse projeto me chamou muito atenção no que li e assisti vídeos, porém a minha meta agora é fazer algo prático e ver se é viável para pequenas estruturas, nada gigante. Será uma escola esses testes e vou compartilhando problemas, acertos e pedindo ajuda.
Site do projeto: http://opensoc.github.io/
- Host Security / Hardening / Configuration Security
Registro windows (sim, vou investir um tempo tentando entender esse mundo maluco), melhores práticas (e realidades hehehe) de configurações, guias disponíveis e uso de ferramentas como OpenScap.
Além disso diversos outros assunto, logicamente sempre vinculados com Detecção de Intrusos no geral
- Malwares Nacionais
Muitas novidades por vir em Julho.
- Sistemas Detecção de Intrusos (Snort, Suricata, OSSEC, ModSecurity, IoC, Análise de logs)
- Network Security Monitoring (NSM - Security Onion)
Além dos assunto nerds, também postarei por 2 coisas do meu interesse, logicamente em menor escala que os outros assuntos (ou não né, quem me conhece sabe que esporte atualmente é meu rivotril + ritalina + cachaça:
- Esportes (Triathlon, XTerra, Aventuras)
- Startup / Produtos (algo que não domino mas acho extremamente interessante)
Retorno ao Triathlon e pesquisas nesse segundo semestre 2015 promete!
Set nerds mode level extreme! Segue ai pessoal que semana que vem já começo =)!
Vamos que vamos!
Happy Detection.
Depois de 2 anos com tentativas de mudanças de área, acertos e erros, muito aprendizado, um período sabático de 2 meses para refletir um pouco o que quero pra mim e muito pouco blogpost nesse período, estamos de volta!
Ando meio afastado do blog, bem como não colocando conteúdos de testes. Como estou voltando a área de origem (pesquisas e muita detecção de intrusos) no qual testarei e pesquisarei muito muito mais. Pretendo compartilhar quase que diariamente meus testes, vídeos, pesquisas/idéias, leituras e falhas =).
Entre os assuntos que estou com uma pilha de idéias e testes já iniciados são (só um resumo de tudo que vou blogar quase que diariamente e em "pedacinhos"):
- MHN / Honeypot no geral
A idéia é compartilhar dados dos meus sensores de testes, dar dicas, linhas de comandos para extração, configurações. Entre uma lista de nomes podemos citar:
- Kippo
- Honeyd
- Dionaea
- Wordpot
- Shockpot
- ElasticHoney
- Outros diversos projetos existentes.
A URL do MHN http://threatstream.github.io/mhn/ caso queira conhecer essa tool.
- Threat Intel
O mundo de inteligência em ameaças é algo totalmente dinâmico, porém lendo e acompanhando textos, existe muita informação na verdade e pouco inteligência muitas vezes. A idéia é compartilhar testes, resultados, papers e ajudar ao uso de feeds públicos (e quem sabe pagos se alguém fornecer as infos). Um projeto bem interessante que fará parte dessa parte de pesquisa será o MLSec Project, liderado pelo Alex Pinto.
- OpenSoc
Esse projeto me chamou muito atenção no que li e assisti vídeos, porém a minha meta agora é fazer algo prático e ver se é viável para pequenas estruturas, nada gigante. Será uma escola esses testes e vou compartilhando problemas, acertos e pedindo ajuda.
Site do projeto: http://opensoc.github.io/
- Host Security / Hardening / Configuration Security
Registro windows (sim, vou investir um tempo tentando entender esse mundo maluco), melhores práticas (e realidades hehehe) de configurações, guias disponíveis e uso de ferramentas como OpenScap.
Além disso diversos outros assunto, logicamente sempre vinculados com Detecção de Intrusos no geral
- Malwares Nacionais
Muitas novidades por vir em Julho.
- Sistemas Detecção de Intrusos (Snort, Suricata, OSSEC, ModSecurity, IoC, Análise de logs)
- Network Security Monitoring (NSM - Security Onion)
Além dos assunto nerds, também postarei por 2 coisas do meu interesse, logicamente em menor escala que os outros assuntos (ou não né, quem me conhece sabe que esporte atualmente é meu rivotril + ritalina + cachaça:
- Esportes (Triathlon, XTerra, Aventuras)
- Startup / Produtos (algo que não domino mas acho extremamente interessante)
Retorno ao Triathlon e pesquisas nesse segundo semestre 2015 promete!
Set nerds mode level extreme! Segue ai pessoal que semana que vem já começo =)!
Vamos que vamos!
Happy Detection.
quarta-feira, 17 de junho de 2015
Gravação do Webcast sobre Treinamento Snort
Caros,
Fiz um webcast explicando sobre o treinamento Snort que ministrarei em parceria com o Treinamento Linux em Julho (início 13 de Julho com aulas de segunda a quinta noturna).
Segue abaixo o vídeo:
Caso tenham interesse, entrem em contato http://www.treinamentolinux.com.br/contato-2/
Precisando de mais dúvidas ou informações técnicas podem entrar em contato pelos comentários ou meu e-mail também spooker /at/ gmail.com
Happy Snorting!
Rodrigo Montoro
Fiz um webcast explicando sobre o treinamento Snort que ministrarei em parceria com o Treinamento Linux em Julho (início 13 de Julho com aulas de segunda a quinta noturna).
Segue abaixo o vídeo:
Caso tenham interesse, entrem em contato http://www.treinamentolinux.com.br/contato-2/
Precisando de mais dúvidas ou informações técnicas podem entrar em contato pelos comentários ou meu e-mail também spooker /at/ gmail.com
Happy Snorting!
Rodrigo Montoro
segunda-feira, 16 de fevereiro de 2015
Documentário / Filme - Defcon e The Algorithm
Sugestão caso não tenha assistido e queira curtir algo, estão ambos no Youtube, especialmente o documentário da Defcon que é "antigo" porém sensacional.
ALGORITHM: The Hacker Movie
A freelance computer hacker breaks into secret government contractor and
downloads a program. He must choose between his own curiosity and the
lives of his friends.
Esse vídeo tem legendas em pt_BR que o Crash fez =)
Happy CarnaHacking =)
Abs!
ALGORITHM: The Hacker Movie
Esse vídeo tem legendas em pt_BR que o Crash fez =)
DEFCON 20 Documentary Full Version.
Happy CarnaHacking =)
Abs!
quinta-feira, 12 de fevereiro de 2015
Curso OSSEC HIDS EaD (40 h) - Início 24/02/2015
Caros,
Iniciarei um treinamento bem completo e detalhado de OSSEC partir 24/02/2015, com aulas terças e quintas das 20:00 às 22:00.
A grade do treinamento de OSSEC será:
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Valor investimento:
Alunos de cursos anteriores - R$780,00 reais
Alunos novos - R$ 950,00
Sobre o instrutor:
Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas. Atualmente trabalha como administrator de Segurança Senior na Sucuri Security onde gerencia algumas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. Anterior trabalhou na área de pesquisa onde onde focou seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realizou pesquisas para novos métodos de detecção de atividades maliciosas . Autor de 2 patentes requeridas envolvendo uma técnica para descobrir documentos digitais maliciosos e análise de cabeçalhos HTTP para detectar tráfego malicioso. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de segurança Brasil e EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon (Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.
Rodrigo "Sp0oKeR" Montoro
Iniciarei um treinamento bem completo e detalhado de OSSEC partir 24/02/2015, com aulas terças e quintas das 20:00 às 22:00.
A grade do treinamento de OSSEC será:
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Valor investimento:
Alunos de cursos anteriores - R$780,00 reais
Alunos novos - R$ 950,00
Sobre o instrutor:
Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas. Atualmente trabalha como administrator de Segurança Senior na Sucuri Security onde gerencia algumas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. Anterior trabalhou na área de pesquisa onde onde focou seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realizou pesquisas para novos métodos de detecção de atividades maliciosas . Autor de 2 patentes requeridas envolvendo uma técnica para descobrir documentos digitais maliciosos e análise de cabeçalhos HTTP para detectar tráfego malicioso. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de segurança Brasil e EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon (Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.
Cadastro de interesse pode ser feito aqui: Formulário Cadastro
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
domingo, 8 de fevereiro de 2015
Problemas com OSSEC Windows Agent em desktops em pt_BR
Geralmente servidores rodamos em inglês e possivelmente nunca teremos problemas com o a Interface gráfica do OSSEC Agent no Windows. Porém as estações de trabalho geralmente rodamos no nosso idioma nativo, ou seja, algo não inglês.
O ambiente testado foi windows 7 instalado em pt_BR. Em primeiro momento, o ossec gerava as seguintes mensagens de problemas de permissão:
"Unable to set permissions on new configuration file"
"Unable to set permissions on auth key file".
Tentamos rodar como Administrador para verificar se não era algo de permissões e também modificamos as permissões da pasta sem sucesso.
Pesquisando na lista OSSEC, descobrimos que isso acontece devido a um problema de idiomas, pois o Agente executa 2 comandos, os que geram as messagens utilizando o usuário "administrator", sendo que caso não rode em inglês esse usuário não existe.
Olhando os logs podemos ver os comandos:
Como resolver isso ?
A entrada no client.keys precisa ser o decode do base64 que é o export do manage_agents
[root@spookerlabs ~]# cd /var/ossec/bin/
[root@spookerlabs bin]# ./manage_agents
1000 Teste_Blog 10.10.20.20 d7b2b42a0598c17f5f0702b0d9f04b79c98473d6695580722565a09912a9a5f6
Essa linha é a entrada do client.keys. No ossec.conf basta adicionar a entrada do server como mencionei, na verdade basicamente é a única configuração caso queria usar agent.conf compartilhada que farei um post no futuro =)
Espero que ajude.
O ambiente testado foi windows 7 instalado em pt_BR. Em primeiro momento, o ossec gerava as seguintes mensagens de problemas de permissão:
"Unable to set permissions on new configuration file"
"Unable to set permissions on auth key file".
Tentamos rodar como Administrador para verificar se não era algo de permissões e também modificamos as permissões da pasta sem sucesso.
Pesquisando na lista OSSEC, descobrimos que isso acontece devido a um problema de idiomas, pois o Agente executa 2 comandos, os que geram as messagens utilizando o usuário "administrator", sendo que caso não rode em inglês esse usuário não existe.
Olhando os logs podemos ver os comandos:
2015/02/07 11:58:04 ossec-agent: INFO: Service does not exist (OssecSvc) nothing to remove.
2015/02/07 11:58:05 ossec-agent: INFO: Successfully added to the service database.
2015/02/07
11:58:06 setup-windows: INFO: System is Vista or newer (Microsoft
Windows 7 Business Edition Professional Service Pack 1 (Build 7601) -
OSSEC HIDS v2.8).
2015/02/07 12:00:36
ossec-win32ui: INFO: Running the following command
(C:\Windows\system32\cmd.exe /c echo y|cacls "new-ossec.conf" /T /G
Administrators:f)
2015/02/07 12:00:59
ossec-win32ui: INFO: Running the following command
(C:\Windows\system32\cmd.exe /c echo y|cacls "client.keys" /T /G
Administrators:f)
Como resolver isso ?
Fazendo alguns testes, podemos adicionar a chave na mão no client.keys e modificar a configuração do ossec.conf onde é adicionar o IP do Servidor OSSEC manualmente, com isso rodando a Interface funcionara, ou basicamente no services recarregar o serviço OssecSvc.
A entrada no client.keys precisa ser o decode do base64 que é o export do manage_agents
[root@spookerlabs ~]# cd /var/ossec/bin/
[root@spookerlabs bin]# ./manage_agents
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: Sp0oKeRLabs-Home, IP: any
ID: 002, Name: WinAWS, IP: any
ID: 1000, Name: Teste_Blog, IP: 10.10.20.20
Provide the ID of the agent to extract the key (or '\q' to quit): 1000
Agent key information for '1000' is:
MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: Sp0oKeRLabs-Home, IP: any
ID: 002, Name: WinAWS, IP: any
ID: 1000, Name: Teste_Blog, IP: 10.10.20.20
Provide the ID of the agent to extract the key (or '\q' to quit): 1000
Agent key information for '1000' is:
MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA
3MDJiMGQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY=
** Press ENTER to return to the main menu.
Para fazer o decode do base4
** Press ENTER to return to the main menu.
Para fazer o decode do base4
echoMTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA3MDJiM
GQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY= | base64 --decode 1000 Teste_Blog 10.10.20.20 d7b2b42a0598c17f5f0702b0d9f04b79c98473d6695580722565a09912a9a5f6
Essa linha é a entrada do client.keys. No ossec.conf basta adicionar a entrada do server como mencionei, na verdade basicamente é a única configuração caso queria usar agent.conf compartilhada que farei um post no futuro =)
Alguns dias atrás o pessoal também publicou um Beta do Agent 2.9 que resolve esse problema, porém eu ainda não fiz testes.
https://github.com/ossec/
Outra solução que vi nas discussões na lista foi a criação de um grupo Administrator, porém eu não gostei muito dessa solução.
Outra solução que vi nas discussões na lista foi a criação de um grupo Administrator, porém eu não gostei muito dessa solução.
"Since the code appears to be hardcoded in the executables I can't fix
the problem at the roots. But I've created the group and added an
administrative account I use to install OSSEC to that new
'Administrators' group and then the installation succeeded."
Lembrando que partir 24/02/2015 iniciaremos a turma do treinamento OSSEC HIDS online, caso tenha interesse entrem em contato spooker@gmail.com e mais info http://spookerlabs.blogspot.com.br/2014/09/treinamento-intrusion-detection-snort.html .
Lembrando que partir 24/02/2015 iniciaremos a turma do treinamento OSSEC HIDS online, caso tenha interesse entrem em contato spooker@gmail.com e mais info http://spookerlabs.blogspot.com.br/2014/09/treinamento-intrusion-detection-snort.html .
Espero que ajude.
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
terça-feira, 20 de janeiro de 2015
Videos: 2012 Red Hat Summit: Achieving top network performance
Hoje assisti esse vídeo sobre performance e alguns testes que fazem na Redhat e achei bem interessante compartilhar.
Na palestra ele comenta de testes de tuning de kernel, uso do netperf, Numa, lspci para usar o slot correto com o hardware, ferramentas como dropwatch, básico do sar para ver onde está possível gargalo além da rede, cstates / power management.
Vale a pena investir os 50 min da palestra.
Abs!
Rodrigo "Sp0oKeR" Montoro
Na palestra ele comenta de testes de tuning de kernel, uso do netperf, Numa, lspci para usar o slot correto com o hardware, ferramentas como dropwatch, básico do sar para ver onde está possível gargalo além da rede, cstates / power management.
Vale a pena investir os 50 min da palestra.
Abs!
Rodrigo "Sp0oKeR" Montoro
quinta-feira, 8 de janeiro de 2015
Vídeos: Behavior Based Security with Repsheet: Aaron Bedra @nginxconf 2014
Prometi que assisterei várias horas de palestras, vídeos da área TI/Segurança por mês e compartilharei o que assistir aqui. Postarei links do que assistir, algumas vezes resumos ou simples comandos que achar interessante.
Hoje pela manhã assisti esse vídeo da NGINX conference (quero ir nela em 2015, ano passado foi a primeira) bem interessante falando sobre Behavior para detectar usuários maliciosos. Peguei alguns insights interessante que tentarei usar para o meu mundo, visto que na Sucuri atendemos múltiplos clientes e não tenho como ser tão especifico como ele no site do Groupon.
O projeto pode ser acessado aqui: https://github.com/repsheet/
Esse ano postarei bastante, acompanhem o blog =)
Happy Detection!
Hoje pela manhã assisti esse vídeo da NGINX conference (quero ir nela em 2015, ano passado foi a primeira) bem interessante falando sobre Behavior para detectar usuários maliciosos. Peguei alguns insights interessante que tentarei usar para o meu mundo, visto que na Sucuri atendemos múltiplos clientes e não tenho como ser tão especifico como ele no site do Groupon.
O projeto pode ser acessado aqui: https://github.com/repsheet/
Esse ano postarei bastante, acompanhem o blog =)
Happy Detection!
Assinar:
Postagens (Atom)