Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 45 След.
Анализ инфицированного .doc файла
 
Цитата
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Ворд вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним явно вирус. Запускаю файл на виртуальной машине, после запуска запросы ни к каким левым сайтам не идут,определить, создались ли после запуска какие-нибудь "левые" файлы тоже не получилось (скорее всего плохо искал ). Соответственно olly доковский файл не открыть на прямую. Читал статьи по макровирусам, под описание вроде не подходит. Подскажите пожалуйста как в такой ситуации анализировать вирус, буду очень признателен.

Современные версии пакета Microsoft Office (2007/2010) не позволяют таким зловредам исполняться соответствующим уведомлением, по умолчанию они отключены. Макросы характерны только для старых систем, либо отдельных систем с некорректными настройками безопасности самого Office'a (http://office.microsoft.com/en-us/excel-help/enable-or-disable-macros-in-office-documents-HA010031071.aspx).

Цитата
да есть и не только макросы, скажем *.js, *vbs скрипты, также функции Word'a, скажем давно известно что Exel'e для атаки испоьзовали функцию Host(),....

Цитата
Как тогда используются уязвимости Microsoft Word по переполнению буфера, в смысле как в сам файл дописывается вредоносный код, hex-редактор?

Как раз все это и есть содержимое макроса, только реализовывать макросы можно в виде проекта VBA, никак иначе. В содержимом конечно можно предусмотреть распаковку и запуск JS, но это из другой серии. Это OpenOffice позволяет писать макросы на Java Script. В добавок, у Excel нет функции "Host()". Зная структуру документа и описание формата, можно создать вредоносный документ, который бы воздействовал на клиента, эксплуатируя ту ил иную уязвимость.    

Для анализа можно использовать утилиту от самой компании Microsoft - Offviz, которая может парсить как старый бинарный формат, так и новый, который по сути представляется простым XML. Для обнаружения вредоносного кода - универсальное решение вряд ли найдется, есть конкретные продукты, которые ищут сигнатуры известных багов в Office (OfficeMalwareScanner, известные антивирусные решения), но обнаружают их не всегда корректно по причине возможности обфускации кода, а так же использование в самом содержимом Office-документа сторонних технологий (например, Adobe Flash).
Специалист по «reverse engineering», Вакансия в отдел анализа защищенности (НТЦ "Станкоинформзащита")
 
Обязанности:

   * Диззасемблирование, документирование, анализ свежих заплаток (Patch) в популярном ПО.
   * Анализ вредоносного кода.
   * Участие в деятельности исследовательской группы НТЦ "Станкоинформзащита".
   * Поиск уязвимостей в ПО.

Требования:

   * Хорошее знание IDA, WinDbg/OllyDbg, Softice.
   * Знание Assembler x86 и навыки в области "reverse engineering".
   * Понимание природы уязвимостей в ПО, опыт написания Exploit'ов.
   * Хорошее знание архитектуры ОС Windows и/или UNIX.
   * Опыт отладки как пользовательских приложений, так и ядра ОС.
   * Хорошее знание C/C++, Python (как плюс, возможно предложение вакансии "C/C++ developer with good reverse engineering skills").
   * Опыт работы с fuzzing frameworks (Peach, Paimei, Sulley) будет большим плюсом.
   * Умение разработки концептуальных методов выявления уязвимостей в ПО;
   * Умение создавать собственный эксплуатирующий код.

Условия:
   * Полная занятость;
   * Месторасположение м.Рижская, м.Электрозаводская;
   * Оформление по ТК РФ;
   * Работа в команде дружного коллектива;
   * Возможность реализации своих идей и участия в развитии организации;
   * Заработная плата по результатам собеседования и согласования формы сотрудничества с нашей организацией;
   * Могут быть рассмотрены кандидаты, желающие совмещать процесс получения высшего образования с трудовой деятельностью. При этом к ним предъявляются отдельные требования к их технической квалификации;
   * Возможен существенный рост заработной платы и карьерного роста по итогам испытательного срока работы, участия в аккордных работах НТЦ "Станкоинформзащита".

Зарплата от 60 000 рублей по результатам собеседования, при достойной работе обеспечен высокий карьерный рост.

Контакты: komarov[at]itdefence.ru или ПМ для вопросов и уточнений.
Специалист по тестам на проникновение, Вакансия в отдел анализа защищенности (НТЦ "Станкоинформзащита")
 
Требования:

   * Желательно наличие высшего технического образования в сфере ИБ, либо наличие документов государственного образца о повышении квалификации в сфере защиты информации или компьютерной информации аттестованного учебного центра;
   * Экспертные знания в одном из сопряжённых направлений знаний (ОИБ СУИБ, ОИБ ОС, ОИБ проводных сетевых инфраструктур, ОИБ беспроводных сетевых инфраструктур, анализ защищённости "client-side" приложений, "server-side" приложений), «reverse engineering»;
   * Наличие опыта участия в мероприятиях по анализу защищённости (желательно, в качестве ведущего аудитора или специалиста по тестам на проникновение, координатора проекта) является большим плюсом;
   * Свободное владение существующим инструментарием по анализу защищённости информационных систем и ПО в составе современных дистрибутивов по анализу защищённости (BackTrack, NST, pentoo, Metasploit), так и коммерческими программными продуктами (CoreImpact, Immunity Canvas, Metasploit Express, SAINT);
   * Умение реализовать собственное программное средство выявления уязвимости или проверки её наличия с использованием одного или нескольких языков программирования;
   * Свободное владение методиками проведения традиционных сетевых атак, понимание их спектра воздействия в различных средах;
   * Умение разработки средств анализа защищённости, отдельных алгоритмов проверок, написания эксплуатирующего программного кода ("эксплоиты"), понимание существующих методик эксплуатации;
   * Приветствуется опыт использования сертифицированных ФСТЭК РФ программных средств аттестации ресурсов объектов информатизации;
   * Приветствуется опыт в обнаружении программных брешей, их последующего анализа и написания "боевого" эксплоита;
   * Приветствуется опыт написания тематических статей, программно-методической документации по тематике анализа защищённости АС;
   * Приветствуется знания существующих зарубежных "лучших практик" проведения тестов на проникновение, подходов к анализу защищённости;
   * Приветствуется наличие собственного научно-технического задела в данной предметной области, желание совершенствоваться и стремление к развитию карьерного роста;
   * Аккуратность и ответственное отношение к проектной работе;
   * Желание самостоятельно развивать собственный научно-технический задел;
   * Грамотная речь, умение излагать свои мысли, участие в командной разработке;
   * Приветствуется знание английского языка (технический).
     
Обязанности:

   * Участие в мероприятиях по анализу защищённости АС.        

Условия:
   * Полная занятость;
   * Месторасположение м.Рижская, м.Электрозаводская;
   * Оформление по ТК РФ;
   * Работа в команде дружного коллектива;
   * Возможность реализации своих идей и участия в развитии организации;
   * Заработная плата по результатам собеседования и согласования формы сотрудничества с нашей организацией;
   * Могут быть рассмотрены кандидаты, желающие совмещать процесс получения высшего образования с трудовой деятельностью. При этом к ним предъявляются отдельные требования к их технической квалификации;
   * Возможен существенный рост заработной платы и карьерного роста по итогам испытательного срока работы, участия в аккордных работах НТЦ "Станкоинформзащита".

Зарплата от 60 000 рублей по результатам собеседования, при достойной работе обеспечен высокий карьерный рост.

Контакты: komarov[at]itdefence.ru или ПМ для вопросов и уточнений.
Хелп. Обход Фаерволла.
 
Код
Думаю часть работы будет посвящена именно этому. С помощью Snort'a выявить атаку на фаерволл. А если она была удачной и не была детектирована, то по логам выяснить как происходило всё.
"Сломать и починить". 


Snort, размещённый перед FW, у Вас решает задачи выявления и уточнения природы сетевых аномалий, а непосредственно FW - блокирование реализации соответствующих угроз, которые их породили. Другой вопрос, что многие продукты в настоящее время интегрируют модули IDS/FW в совокупный продукт (например, Cisco IOS Firewall Intrusion Detection System).
ARP spoofing
 
Цитата
На mail.ru нет стандартной HTTP авторизации. Той которую ждет каин и тому подобные dsniff-ы. Логин и пасс ты увидишь tcpdump-ом с опцией '-A'. Или любым другим сниффером в ASCII режиме просмотра пакетов.

Цитата
Но никакие данные не ловится вот уже 2 часа где то. все поле пароли - пустые..
может что то не то я делал?

Configure -> HTTP Fields (в данном поле требуется актуализировать поля, в которых потенциально будут логин и пароль Mail.ru (Login, Password).

Нада написать простенький сниффер под КПК, не попадались ли кому исходники под Win Mobile
 
Какие? Если Вы не в режиме "монитора" - конечно нет.
Нада написать простенький сниффер под КПК, не попадались ли кому исходники под Win Mobile
 
Код
Не не, инжекта пакетов и ненада, фрейм реассоциации узла я могу послать? И принять потом пакеты?


Каким образом и для чего? Если клиента отключить, сделать это можно несколькими способами, скорее всего Вы будете использовать Deauthentication frame (type = 0x00 (Management), subtype = 0x0C), который говорит о том, что точка доступа отключает клиента (-ов) перед завершением работы или перезагрузкой, иными причинами. Если себя реассоциировать, согласен, можно собрать соответствующий пакет и послать в сеть, но для этого Вам потребуется возможность инжекта в сеть. Принять фреймы Вы не сможете потом - отсутствует возможность перехода в "монитор", сможете только получить сетевые пакеты, если уже попадёте в сеть, находясь в режиме "неразборчивый режим".

Цитата
Или все же лучше брать Linux платформу под КПК и с ней и работать?

Для того, чтобы Вы задумали, однозначно более удачный вариант.
Изменено: Андрей Комаров - 18.06.2010 02:57:43
Нада написать простенький сниффер под КПК, не попадались ли кому исходники под Win Mobile
 
До инжекта пакетов и режима "монитора" на Windows Mobile точно не дойдёт, потому что отсутствует соответствующий драйвер для этого. "Неразборчивый" режим - пожалуйста, а так названный функционал вполне доступ на устройствах под управлением Maemo.
САЗ и уязвимости, Ложные срабатывания и пропуски
 
Цитата
1.Какими методами\способами определялись пропуски или ложные срабатывания сканеров?

Например, эмуляцией заведомо известных уязвимостей ПО и фиксирование их результата обнаружения сканнером. Создание ложных сигнатур служб и сервисов, WEB-приложений, по которым может "ориентироваться" сканнер и наращивать свою логику работы. Специальная эмуляция "открытости" всех портов, при некорректной обработке даже существующие сканнеры существенно "тупят", кто от использования "TreeView" и его ограничений, кто от чего-то другого :)

Цитата
Если был создан тестовый стенд, какое оборудование и какое ПО использовалось?

VMWare + свободная рабочая/серверная станция для организации виртуальных стендовых площадок. Соответственно, там же гетерогенные ОС и всевозможные сервисы, в том числе эмулируемые ханипотами, аналогичными Flester.

Цитата
Известны ли конкретные случаи ложных срабатываний или пропусков в Nessus?

Конечно, известны, пример - далее. Некоторые скрипты на NASL, которые отвечают за обнаружения конретной уязвимости в конкретном проекте, очень часто не учитывают возможности его обновлённости (некоторое ПО ставит обновление с сохранением старой версии, указывая Владельцу только на существующие в системе патчи и хотфиксы).

https://discussions.nessus.org/message/5479;jsessionid=257B401298EB4C66128D61842B43F533
Графическая топология сети
 
Собственно, графический фронтенд к NMAP это умеет (ZenMap), другой вопрос, что есть существенные проблемы с большим количеством хостов и масштабированием (ПО заметно виснет при хостах в количестве больше 256).
Нада написать простенький сниффер под КПК, не попадались ли кому исходники под Win Mobile
 
Цитата
определять параметры беспроводной сетки.

Тогда для чего Вам "сниффинг"? Этого можно добиться стандартным активным сканированием беспроводной сети, например, используя функционал .NET Compact Framework - http://msdn.microsoft.com/en-us/library/aa446491.aspx
Нада написать простенький сниффер под КПК, не попадались ли кому исходники под Win Mobile
 
Цитата
А что собственно нужно снифить?
Насколько мне не изменяет память Wifi снифинг уже давно открыто обсуждается на большинстве ресурсов с публикацией програмного обеспечения.

Не изменяет, да только это программное обеспечение совсем не адаптировано к портативным платформам, за исключением тех, что функционируют на базе отрытого исходого кода (Maemo). NOKIA серии N900, N810 и так далее, поддерживающие данную платформу, позволяют устанавливать порт Kismet и спокойно переходить в режим монитора. Другой вопрос, что уже находясь в сети сниффинг вполне возможен (airscanner mobile sniffer, Sniffi, WinMsoft Handy Sniffer, VxSniffer, CeSniffer) из программного окружения КПК. Если вопрос в этом - WinPcap for WinCE Вам поможет, если вопрос в захвате непосредственно пакетов стека 802.11, то здесь будут проблемы, потому что на данный момент такого средства просто нет. Другими словами - в "неразборчевый" режим Вы перейдёте, а в режим "монитора" - нет.

Цитата
Ну чтож, для начала неплохо бы узнать какая ось на вашем КПК, если mobile windows, то качайте SDK тут http://msdn.microsoft.com/en-us/library/bb158509.aspx  и не забудьте поделиться готовым кодом, когда все будет готово

Это здесь причем? Если Вы внимательно почитаете то, что советуете, в штатном SDK для Windows Mobile нет ни одного предложения о взаимодействии с беспроводным интерфейсом Wi-Fi.
Изменено: Андрей Комаров - 16.06.2010 00:47:46
Вопрос о РД ФСТЭК
 
Очень чувствую, что подразумевается ГТ или специальные информационные системы обработки ПДн :)

Если Вы говорите о СПСИ и аттестации помещения, то модель угроз может существенно повлиять на необходимость их проведения. Например, когда ущерб в отношении данных субъекта из-за применения соответствующих средств ТЗИ может быть в разы больше, чем их непосредственное снятие (медицина и шумогенераторы).

Другой вопрос, как у Вас спланирована контролируемая зона. Используйте типовые модели злоумышленников, самим же проще будет выступать перед регуляторами и обосновывать разработанную модель угроз. Если Вы сможете выделить каких-то злоумышленников, которых сейчас нет в РД "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", буду рад посмотреть :)

Цитата
4. Модель нарушителя в АС

4.1. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

4.2. Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

4.3. В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
Список сайтов, размещённых на сервере, Как определить?
 
Цитата
У меня что-то был тупняк - никак не мог определить как у гугла спросить smile:)

Цитата
Я сам незнаю как это сделать(пользуюсь 2ip)

Reverse-IP-Lookup / Reverse-DNS-Lookup
Изменено: Андрей Комаров - 09.04.2010 12:05:44
перехват GPRS
 
Кстати в тему эмуляции базовых станций - интересный проект OpenBTS на базе открытого исходного кода, последняя версия распространяется на очень узкой подписке целевой аудитории :)
Про систему контроля доступа Wi-Fi, вопрос администраторам
 
Случается - например приведу пример ещё, Motorola AirDefense Personal Lite (есть триалка), можно изучить.

То, что вы написали - это использование VPN-туннеля, если о сравнимости - наверное похоже.
Изменено: Андрей Комаров - 05.03.2010 14:32:58
Про систему контроля доступа Wi-Fi, вопрос администраторам
 
Кроме WIDS, существуют ещё и персональные средства защиты, вроде Hotspot Shield / HotSpot (Defense) Kit (забыл про второе, как точно называется, делала группа Shmooo в рамках одного из докладов), которые это контролируют (могут контроллировать).
Изменено: Андрей Комаров - 05.03.2010 10:38:11 (Опечатка)
Про систему контроля доступа Wi-Fi, вопрос администраторам
 
Я хотел понаблюдать развитие топика :)

Цитата
Ребят, а где хранится этот файл сертификата? в какой папочке? доступен ли он программно, а если писать прикладную утилитку и запускать ее с правами администратора на локальной машине. А поясните что значит локально дампит, т.е нада запускать данную утилиту Cain непосредственно с машины включенной в эту беспроводную сеть и имеющей сертификат и он извлекет его? так?

Файл сертификата - это файл расширения .crt, который подписывается корневым (серверным, тот, что в хранилище). Как правило, на Windows - привычнее видеть сертификат в формате PKCS#12. Cдампить его можно программно, документированными методами в случае, если он помечен как экспортируемый :) Не только беспроводную.

Код
а если сигнал неавторизованой ТД не виден средствам контроля сети, используется например узкая диаграмма направленности ?


Реассоциации клиентов отслеживаются многими WIDS.

Цитата
Например, есть сеть которая защищена протоколом WPA-2 + EAP-TLS Free Radius на базе Windows Server 2008 R. По сети передается информация, злоумышленник имеет ключ к сети и сертификат извлеченный на одном из компьютеров разгильдяя пользователя. Сможет ли он расшифровать то что передается по сети?

Да.

Советую ознакомиться с:
http://www.ixbt.com/comm/prac-wpa-eap_3.shtml
http://www.ixbt.com/comm/prac-wpa-eap_4.shtml
Про систему контроля доступа Wi-Fi, вопрос администраторам
 
Очень распространённая ситуация - приближаясь к цели и не понимая масштабы территории отслеживания WIDS, злоумышленник позабыл отключить WZC из-за чего попадёт в учёты раньше времени, прежде чем запускать пассивные инструменты анализа (Kismet есть и под Windows, держит адаптер Airpcap).

Другой вопрос, если он действительно профессиональный, владеет представлениями о том, что необходимым будет являться снизить выходную мощность беспроводного адаптера (некоторые карты это сделать позволяют), знает периметр, а так же сразу же включает адаптер в monitor mode. Выявить его в таких условиях на практике - практически невозможно, так как находясь в таком режиме беспроводной адаптер ничего в эфир не вещает.

Может. Например, если не происходит проверка подлинности сертификата ("When connecting: Validate server certificate)" в настройках Protected EAP Properties. Злоумышленник разворачивает такую же беспроводную инфраструктуру, FreeRADIUS, хранилище, выписывает соответствующий серт, после чего после устанавливает связь с жертвой принудительной диссоциацией или в других обстоятельствах.  

Можно, если речь о Radius Shared-Key, то его хэш дампит локально Cain, про сертификат - не понял.

Насколько я помню, описание подобных видов атак на беспроводные сети есть в книге С.Гордейчика и ЗАРАЗы :)
Изменено: Андрей Комаров - 03.03.2010 15:57:29
Составить ICMP Redirect host сообщение.
 
Цитата
В системе не выключено ничего. Это только всякие там брандмауэры ограничивают.

Цитата
Как ни странно, lkesh прав. За все системы ручаться не буду, но вот из дефолтной Дженты:
cat /proc/sys/net/ipv4/conf/all/accept_redirects
1
И в sysclt.conf есть строка для отключения, но она закомменчена - то есть требуются телодвижения, чтобы это отключить:
# Disable redirects
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv4.conf.default.accept_redirects = 0

# Disable secure redirects
#net.ipv4.conf.all.secure_redirects = 0
#net.ipv4.conf.default.secure_redirects = 0

Не очень понял Вас - и в XP SP3 опция EnableICMPRedirect (1) включена, и чтобы её отключить надо произвести модификацию реестра, о чём я и написал выше. На любой современной системе, где есть возможность отладить сетевой стек, существует возможность задать соответствующие опции, повышающие его безопасность (начиная от QNX, заканчивая Windows Server 2008).
Изменено: Андрей Комаров - 03.03.2010 14:51:01
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 45 След.