ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 X-Tools91PHP-ШЕЛЛАвтор: Emilio Pinna Система: Windows/Linuxepinna.github.com/WeevelyWeevely — скрытый и миниатюрный PHP-вебшелл,который предоставляет SSH-подобнуюконсоль управления. Незаменим на этапе постэксплуатациивеб-приложения. Также может бытьиспользован как backdoor в системе. Сам шеллсостоит из более чем 30 модулей, которые автоматизируюткак административные, так и постэксплуатационныезадачи:• выполнение команд и просмотр удаленнойфайловой системы, даже с ограничениямибезопасности PHP;• аудит общих неправильных настроек сервера;• запуск SQL-консоли на целевой машине;• проксирование своего HTTP-трафика черезжертву;• монтирование жертвы к себе;• передача файлов с машины жертвы;• порождение reverse и direct TCP-шеллов;• перебор SQL-аккаунтов через системныхпользователей жертвы;• запуск сканирования портовс машины жертвы.Также отдельно хочется отметить, что общениес шеллом обфусцировано и позволяет обходитьсигнатурное обнаружение, используемоеNIDS. Также сам backdoor имеет полиморфныйPHP-код, который позволяет избежать обнаруженияHIDS AV. Проект, кстати, уже 23 раза fork'нулина GitHub: если покопаться, то можно найти интересныемодификации.Автор:Phil YoungСистема:Linuxgithub.com/mainframed/MainframedАвторы: DmitrijsSolovjovs, TobiasLeitenmaier, Daniel MayerСистема: Windows/Linuxgithub.com/HSASec/ProFuzz4 5 6Автор: PeterKacherginsky (iphelix)Система:Windows/Linuxthesprawl.org/projects/packЦЕЛЬ — МЕЙНФРЕЙМСейчас очень модно ломать браузеры, мобильныедевайсы, SCADA-системы и спутники.И все, кажется, забыли о таких махинах,как мейнфреймы.Для тех, кто не знает, мейнфрейм — это высокопроизводительныйкомпьютер со значительнымобъемом оперативной и внешней памяти,предназначенный для организации централизованныххранилищ данных большой емкости и выполненияинтенсивных вычислительных работ.Его отличительные черты — высокое среднеевремя наработки на отказ (12–15 лет), повышеннаяустойчивость системы, большая пропускнаяспособность, встроенные в аппаратуру возможностизащиты.Mainframed представляет собой наборскриптов, JCL и программ для аудита безопасностимейнфреймов на z/OS. z/OS — это проприетарная64-битная серверная операционнаясистема, разработанная компанией IBMдля мейнфреймов собственного производства.В итоге в данный набор аудитора мейнфреймавходят:• TSO Brute;• TSO User/Pass Sniffer;• NMAP Patch;• Netcat для USS/OMVS.Эта тема сейчас не особенно обсуждается,но при этом очень интересна. Для того чтобыболее подробно узнать о безопасности мейнфреймов,анализе их безопасности, подходящихинструментах, крайне рекомендую посетитьmainframed767.tumblr.com.ФАЗЗИМ SCADAОбратимся к теме безопасности SCADA, а именнопротоколу PROFINET. Хотя его еще нет в top-3протоколов США, но PROFINET уже сейчас широкоиспользуется как ICS (Industrial Control System)протокол в Европе, особенно в производственномсекторе. Россия не исключение.PROFINET — открытый промышленный стандартдля автоматизации Ethernet PROFIBUS &PROFINET International (PI). Где можно встретитьданный протокол? Например, компания Siemensделает PROFINET-чипы и широко используетих в своих девайсах. Короче говоря, если взятькакой-нибудь крупный промышленный объект,где есть управляемое оборудование и SCADAсистемы,то этот протокол используется для передачиданных между ними.Цель ясна, теперь перейдем к инструменту.ProFuzz — это фаззер PROFINET-стека. Основанон на небезызвестном фреймворке Scapy.ProFuzz на данный момент способен фаззить следующиетипы PROFINET-фреймов:• afr (Alarm Frame Random);• afo (Alarm Frames Ordered);• pnio (Cyclic RealTime);• dcp (DCP Identity Requests);• ptcp (Precision Transparent Clock Protocol —BETA).На самом деле хотелось бы, чтобы данныйфаззер использовали при тестировании разработчики,которые пишут свой собственныйPROFINET-стек, а не хакеры, — а то мало личто еще взлетит на воздух :).УМНЫЕ СЛОВАРИPACK (Password Analysis and Cracking Toolkit) —это набор утилит, предназначенных для анализапарольных словарей и улучшения их качествана основе умных правил генерации. Важно понять,что сам данный набор не способен взламыватьпароли, а предназначен для повышения эффективностивзлома паролей программами-брутфорсерами.Весь набор состоит из четырех основныхскриптов: rulegen.py, dictstat.py, maskgen.py, policygen.py.Rulegen предназначен для анализа паролейи генерации правил для Hashcat. Скрипт исследуетуже взломанные пароли и на основе их строитмаску для генерации новых паролей, что можетбыть очень эффективно против еще не взломанныххешей в корпоративной системе. Как нетруднодогадаться, это необходимо для Hashcat RuleBased Attack.Dictstat и maskgen предназначены для анализапаролей и генерации масок для Hashcat соответственно.Они анализируют пароль или списокпаролей и выдают статистику на основе масок,которые представлены с помощью четырех категорийсимволов: символы нижнего регистра, символыверхнего регистра, цифры и специальныесимволы. Функциональность в первую очередьпредназначена для Hashcat Mask Attack.Policygen предназначен для генерированиясловаря на основе политики: минимальное количествосимволов каждого типа и общая длинапароля. Словарь идеально подходит для переборапаролей из какой-нибудь корпоративной сети,так как именно в них чаще всего применяются парольныеполитики.