BusyBox - ничего лишнего.

Всем привет. 

Системные администраторы и пользователи Linux-систем, несомненно, привыкли к работе со своей любимой командной оболочкой и к стандартным программным средствам. Но их повсеместное использование не всегда возможно. И тогда на помощь приходит BusyBox – упрощенный shell с набором компактных системных средств.

BusyBox: что это такое и кому это нужно?

Несмотря на безудержный рост графических оболочек и «дружелюбных» интерфейсов, представить себе UNIX без командной строки и основных утилит в наши дни невозможно. Многочисленные интерпретаторы и базовые системные утилиты не стоят на месте, растут и развиваются, что неизбежно ведет и к увеличению их объема. В то же время существуют сферы деятельности, в которых компактность любых приложений по очевидным причинам очень важна, например, во встраиваемых устройствах. Вместе с тем во многих случаях не требуется значительная часть той функциональности, которая присуща базовым утилитам «общего назначения».

Для решения этих проблем еще в середине 90-х Брюсом Перенсом (Bruce Perens) был создан пакет BusyBox. Сейчас проект позиционируется как «швейцарский нож для встраиваемых Linux-систем» и в первую очередь ориентирован на использование в небольших дистрибутивах GNU/Linux. Распространяется под второй версией лицензии GNU GPL.

BusyBox представляет собой единственный исполняемый файл, при запуске которого загружается полноценный командный интерфейс. Как гласит официальная документация BusyBox, для формирования минимальной версии GNU/Linux к этому достаточно добавить лишь ядро ОС и каталоги /etc, /dev.

OpenWRT как Linux в каждом устройстве.

Всем привет.

Сейчас на рынке получили широкое распространение различные модели маршрутизаторов и точек доступа к беспроводным WiFi-сетям для небольшого количества пользователей. Практически в любой квартире или доме есть беспроводная точка доступа, выполняющая также роль межсетевого экрана. Тем не меннее частенько их функционал оставляет желать лучшего.

В своей книге "Собираем устройства для тестов на проникновение", ДМК Пресс, 2018, Бирюков А.А. предлагает небольшой обзор этих недорогих устройств которые можно самостоятельно перепрошить, для того чтобы улучшить их функционал.

На данный момент по мнению автора наиболее популярными прошивками считаются:

ОреnWRT - пожалуй, самая известная из альтернативных прошивок. Возможности ее включают, например, FS с функцией записи (как правило, реализуется путем создания раздела jffs2 и использования overlays для объединения со squashfs), пакетный менеджер opkg с репозиторием, в котором более 3000 пакетов, и способностью использовать внешний накопитель для увеличения свободного пространства в /. При этом основная часть прошивки очень маленькая. Фактически это даже не прошивка, а полноценный дистрибутив для роутеров с соответствующими возможностями.

DD-WRT - тоже достаточно популярная прошивка. В отличие от предыдущей, заточена для тех, кто не хочет ковыряться в конфигурационных файлах, устанавливать программы... Разумеется, там есть возможность это сделать, но придется столкнуться с некоторыми затруднениями.

LibreWRT - совершенно свободная прошивка от ESF. Как водится, LibreWRT отпочковалась от ОpenWRT и практически ничем, кроме отсутствия проприетарных драйверов, от последней не отличается. Прошивка примечательна тем, что из-за нее ESF немного изменил свои принципы: если до этого одним из условий "свободы" была необходимость иметь возможность компиляции приложения на том же устройстве, на котором оно запускается, то теперь это необязательно.

Tomato предназначена для роутеров на чипе Broadcom. Одно из преимуществ данной прошивки - то что при обновлении сохраняется старая конфигурация.

Консольный вариант сниффера.

Всем привет.

Когда нам нужен сниффер для сетевого трафика первое что приходит в голову это Wireshark. Круто? Несомненно, но новичку придется повозится час другой чтобы его начать эффективно использовать. К тому же нередко задача стоит такая чтобы отловить определенный пакет и не более. Т.е. администратора больше заинтересовал бы консольный вариант утилиты.

Верно, Wireshark имеет и такую возможность, но в  этом случае можно обойтись и встроенными средствами Windows с помощью PowerShell и даже просто bat-файла.. Такие скрипты пригодятся в сценариях автоматизированного анализа трафика.

Ниже пример трассировки  RDP сессий.

@echo off

rem запускаем трассировку
netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 tracefile=trace.etl > nul
rem ждем 5 секунд
timeout 5 > nul

rem останавливаем трассировку
netsh trace stop > nul

rem конвертируем файл .etl в удобный .txt, чтоб не открывать Microsoft Message Analyzer
netsh trace convert input=trace.etl output=trace.txt dump=txt > nul

rem посмотрим, кто у нас занимается RDP
type trace.txt | findstr "3389"

rem убираем временные файлы
:del trace*

Помимо создания формата .etl  можно ещё и сконвертировать файл трассировки в удобные форматы вроде .txt и .html.

С CMD самое большое неудобство в том, что без дополнительных утилит не так просто выполнить запуск скрипта, поэтому PsExec.exe или команду WMIC стоит держать под рукой:

wmic /user:"username" /password:"password" /node:"computer" process call create "sniffer.bat > log.txt"

Microsoft Teams и GPU.

Всем привет.

Microsoft Teams - новое рабочее пространство на базе чата в Office 365. Microsoft Teams - это совершенно новый тип рабочего пространства, который помогает вам и вашим коллегам еще эффективнее справляться с задачами. В нем вы сможете установить связь с нужными людьми, начать беседу или найти необходимые инструменты и контент. Эта служба легко интегрируется со знакомыми вам приложениями Office и специально разработана для использования в глобальном безопасном облаке Office 365.

В общем все хорошо, только вот Microsoft Teams в состоянии покоя по дефолту берет для себя до 500 Мб ОЗУ. Можно поправить эту ситуацию и отключить аппаратное ускорение GPU. Это можно сделать или в настройках самого Teams.

Или добавить ключик disable-gpu в реестре автозапуска Teams:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"com.squirrel.Teams.Teams"="C:\\Users\\UserName\\AppData\\Local\\Microsoft\\Teams\\Update.exe --processStart Teams.exe --disable-gpu"

Удачи.

Oracle VM VirtualBox и его дополнения.

Всем привет.

В расширении возможностей Oracle VM VirtualBox принимают участие два важных дополнения: Guest Additions и Еxtension package. Причем отвечают они за разный функционал.

Еxtension package, он же пакет расширений, устанавливается один для Oracle VirtualBox Manager. Он поддерживает следующие функции для всех созданных ВМ:
-The virtual USB 2.0 (EHCI) device.
-The virtual USB 3.0 (xHCI) device.
-VirtualBox Remote Desktop Protocol (VRDP) support.
-Host webcam passthrough.
-Intel PXE boot ROM.
-Experimental support for PCI passthrough on Linux hosts, PCI Passthrough.
-Disk image encryption with AES algorithm.

А вот более знакомый нам Guest Additions в виде ISO монтируется и инсталируется для каждой ВМ отдельно для поддержки следующих функций:
-Shared folders
-Shared clipboard
-Drag and Drop
-Mouse pointer integration
-Better video support
-Seamless windows
-Generic host/guest communication channels
-Time synchronization
-Automated logins

Обычно чаще других востребованы первые три функции для передачи файлов между хостом и ВМ.

Увидимся.

Сомневаешься - выбрасывай!

Всем привет.

Хочу сказать что время сейчас самый дорогой ресурс для человека. Наше время это наша жизнь. К великому сожалению мы его тратим не на то, ради чего стоило бы Жить. Да, существуют огромная куча рецептов по тайм-менеджменту, но они, как правило, работают не всегда. Другими словами этих рецептов должны придерживаться не только вы, но и те которые вас окружают, особенно на работе. Иначе вы сможете управлять только тем временным отрезком который остается вам на выходные.

Но что вы можете сделать на работе сегодня? Вам нужно сосредоточиться на тех задачах которые для вас важны. Ваша недостаточная сосредоточенность - результат не только внешних прерываний (клиенты, шеф, звонки). Мы и сами виноваты - мы включаем музыку, на экране наших компьютеров пляшут анимированные изображения, прокручиваются сообщения из чата, интернет-тизеры пытаются привлечь наше внимание. Все это отвлекает глаз и, в конечном счете, мозг. Отвлекающие факторы порождает и беспорядок на рабочем столе как физическом, так и компьютерном. Меня всегда удивляли люди которые просто заваливали свой стол чем попало, но при этом утверждали что у них все под контролем. Существует четкая зависимость между организацией того что на экране компьютера и порядком мыслей в голове человека за ним работающего.

Попробуйте, потратьте несколько минут, наведя порядок на рабочем месте. Лично для меня это очень трудная задача, так что я всегда прибегаю к заклинанию: Сомневаешься  - выбрасывай!

Using Python for Network Forensics #2.

Hi all.

Today I would like to present second chapter of excerpt from book "Mastering Python Forensics", Copyright © 2015 Packt Publishing, written by authors Dr. Michael Spreitzenbarth and Dr. Johann Uhrmann. The first chapter is here.

So, now we are using Scapy during an investigation. Let's go.

Another great Python-based tool to analyze and manipulate the network trafic is Scapy. According to the developer website, http://www.secdev.org/projects/scapy/:
"Scapy is a powerful interactive packet manipulation program. It is able to forge or decode packets of a wide number of protocols, send them on the wire, capture them, match requests and replies, and much more."

Scapy differs from the standard tools (and also from Dshell) by providing an investigator with the ability to write small Python scripts that can manipulate or analyze the network trafic-either in a recorded form or in real-time. Furthermore, Scapy has the ability to perform deep packet dissection, passive OS fingerprinting, or plotting via third-party tools, such as GnuPlot, as built-in features are already available.

The following Python script, which is taken from Grow Your Own Forensic Tools: A Taxonomy of Python Libraries Helpful for Forensic Analysis, SANS Institute InfoSec Reading Room, is a very brief example of how powerful Scapy is:

import scapy, GeoIP
from scapy import *
geoIp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE)
def locatePackage(pkg):
  src=pkg.getlayer(IP).src
  dst=pkg.getlayer(IP).dst
  srcCountry = geoIp.country_code_by_addr(src)
  dstCountry = geoIp.country_code_by_addr(dst)
  print src+"("+srcCountry+") >> "+dst+"("+dstCountry+")\n"
try:
  while True:
    sniff(filter="ip", prn=locatePackage, store=0)
except KeyboardInterrupt:
  print "\n" + "Scan Aborted!"

Вечная любовь к апдейтам.

Всем привет.

Вы наверняка читали спич "Как я начал бояться и разлюбил Windows 10".

Могу со своей стороны только подтвердить что Windows 10 обладает всеми перечисленными странностями.

Кроме всех названных в статье чудных вещей происходит еще много интересного: слетают разрешения приложений для доступа к камере и микрофону, начинаются циклы многократной перезагрузки и проблемы с драйверами (печать и видео в первую очередь). И это при том, что Windows 10 не стесняется прерывать вашу работу для своих нужд, или встречать после обеда сообщениями на синем фоне вида "Почти готово" или "Не выключайте ваш компьютер из розетки"...

Регулярные всплески мелких и не очень проблем приводят к тому, что пользователи матерятся потому что твердо уверены что это все происки техподдержки, а сама техподдержка судорожно подумывает об откате на предыдущие версии Windows. С техподдержкой, как правило, не согласно высшее начальство, которое настаивает на красивых показателях по системе, т.е. "Все работают только на Windows 10". Хотя само давно пересело на свои смартфоны.

Штатное обновление, к примеру,  с Windows 7 на Windows 10 содержит свои сюрпризы. Да, можно, как автор, резко разлюбить Windows и обратить свои взоры на Linux. Но, как показала жизнь, та девушка еще менее дружелюбна. И сюрпризов для долгих взаимоотношений таит в себе не меньше.

Вот так любовь к апдейтам постепенно сравняла user-frendly двух "враждующих" ОС.

Увидимся.

Using Python for Network Forensics #1.

Hi all.

Today I would like to present for us excerpt from book "Mastering Python Forensics", Copyright © 2015 Packt Publishing, written by authors Dr. Michael Spreitzenbarth and Dr. Johann Uhrmann. It's concerning using Python for network forensics. You are welcome!

In this chapter, we will focus on the parts of the forensic investigation that are specific to the network layer. We will choose one of the most widely used Python packages for the purpose of manipulating and analyzing network trafic (Scapy) as well as a newly released open source framework by the U.S. Army Research Laboratory (Dshell). For both the toolkits, we have selected the examples of
interesting evidence. This chapter will teach you the following:
•  How to search for IOC in network traffic
•  How to extract files for further analysis
•  How to monitor accessed files through Server Message Block (SMB)
•  How to build your own port scanner

So, how we are using Dshell during an investigation.

Dshell is a Python-based network forensic analysis toolkit that is developed by the U.S. Army Research Laboratory and released as open source at the end of 2014. It can help in making the forensic investigations on the network layer a little easier. The toolkit comes with a large number of decoders that can be used out of the box and are very helpful. Some of these decoders are as follows:
•  dns: Extracts and summarizes DNS queries/responses
•  reservedips: Identifies the DNS resolutions that fall in the reserved IP space
•  large-flows: Displays the netflows that have at least transferred 1MB
•  rip-http: Extracts the files from the HTTP traffic
•  protocols: Identifies non-standard protocols
•  synrst: Detects failed attempts to connect (SYN followed by a RST/ACK).

Dshell can be installed in our lab environment by cloning the sources from GitHub at, https://github.com/USArmyResearchLab/Dshell and running install-ubuntu.py.
This script will automatically download the missing packages and build the executables that we will need afterwards. Dshell can be used against the pcap files that have been recorded during the incidents or as a result of an IDS alert. A packet capture (pcap) file is either created by libpcap (on Linux) or WinPcap (on Windows). In the following section, we will explain how an investigator can make use of Dshell by demonstrating the toolkit with real-world scenarios that are gathered from
http://malware-traffic-analysis.net.

Методы персистентности кода.

Всем привет.

Часто злоумышленники хотят, чтобы их вредоносная программа оставалась на взломанных компьютерах даже после перезагрузки Windows. Это достигается с помощью различных методов: они позволяют злоумышленнику оставаться во взломанной системе без повторного заражения. Существует много способов запуска вредоносного кода при каждом запуске Windows. 

Все эти методы называются методами персистентности зловредного кода. Некоторые из методов вам знакомы давно и вы ими пользуетесь из благих намерений, а вот другие используются намного реже. Часть методов даже позволяют выполнять вредоносный код с повышенными привилегиями.

Известный специалист инфобеза Монаппа К. А. в своей книге "Learning Malware Analysis" приводит 10-ть методов персистентности:

1 Запуск ключа реестра

2 Запланированные задачи

3 Папка запуска

4 Записи реестра Winlogon

5 Параметры выполнения файла изображения

6 Перехват специальных возможностей (клавиатура, диктор, лупа, распознавание речи)

7 Метод AppInit_DLLs

8 Захват порядка поиска DLL

9 Захват COM-объекта

10 Перехват Службы.

Уверен, что каждому второму пользователю Windows знакомы первые 4. А вот остальные заслуживат более пристального внимания.

Сегодня скажу пару слов про "Параметры выполнения файла изображения".

Параметры выполнения файла изображения (Image File Execution Options – IFEO) позволяют запускать исполняемый файл прямо под отладчиком. Это дает разработчику возможность отладки своего программного обеспечения для исследования проблем в коде запуска исполняемого файла. Разработчик может создать подраздел с именем своего исполняемого файла в следующем разделе реестра и задать в качестве значения отладчика путь к отладчику:

Key: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

<executable name>"

Value: Debugger : REG_SZ : <full-path to the debugger>

Easy to install Zabbix Proxy.

Hi Everybody.

What a Zabbix Proxy ?

Zabbix proxy is a process that may collect monitoring data from one or more monitored devices and send the information to the Zabbix server, essentially working on behalf of the server. All collected data is buffered locally and then transferred to the Zabbix server the proxy belongs to.

Deploying a proxy is optional, but may be very beneficial to distribute the load of a single Zabbix server. If only proxies collect data, processing on the server becomes less CPU and disk I/O hungry.

A Zabbix proxy is the ideal solution for centralized monitoring of remote locations, branches and networks with no local administrators.

Zabbix proxy requires a separate database.

Why use Zabbix Proxy ?

For understand, a Zabbix proxy can be used to:

• Monitor remote locations
• Monitor locations having unreliable communications
• Offload the Zabbix server when monitoring thousands of devices
• Simplify the maintenance of distributed monitoring

I'm sure that installation and configururation of Zabbix Proxy is easy. For example, I can show it for Ubuntu 18.04 Bionic.

Install Package
# wget https://repo.zabbix.com/zabbix/4.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.0-2+bionic_all.deb
# dpkg -i zabbix-release_4.0-2+bionic_all.deb
# apt update

To install Zabbix proxy with MySQL support:
# apt install zabbix-proxy-mysql

Представьте себе интернет-маугли.

Всем привет.

Возможные пути развития и тенденции в глобальной Сети традиционно вызывают большой интерес у рядовых пользователей Интернета. Сеть изменяет не только нашу жизнь и мышление, но и человечность в нас самих. На эту тему журнал «Системный администратор» беседовал с социологом исследовательской компании «Радость Понимания» Дмитрий Соловьев. 

Вы можете посетовать на то что его интервью под лихим названием-утверждением "В Сети сложно вести двойную игру" опубликовано 8 лет тому. Но я уверен что после прочтения вы быстро убедитесь что оно все еще актуально. Его можно было рассказать хоть вчера потягивая свой кофе.

Весьма емкое интервью без единой доли пафоса. С автором  сложно спорить, от себя лишь могу добавить что двойную игру ведут многие и сознательно и случайно, правда ее сложно вести по отношению к тому же Facebook или Google, но не к обычным пользователям сети. В связи с этим в сети появилось много информационного мусора, и дворника к нему нет. Репосты, лайки, комментарии, селфи ... это все информационная пыль, которая часто не несет ни смысловой ни даже эстетической нагрузки.

Поэтому читайте, думайте, излагайте свои мысли, а не чужие. И живите не только одним интернетом!

Microsoft Office Alerts.

Всем привет.

Случается что приложения MS Office себя ведут непредсказуемо. Ситауция напрягает когда надо выяснить причину сбоя апостеори. Но насколько я помню в старых версиях MS Office создавал свои журналы событий в Windows из которых можно было извлечь хоть какую то информацию.

2007
(Get-EventLog -LogName "OSession" -Source "Microsoft Office 12 Sessions" -EntryType "Information" -Message "*Microsoft Office*session lasted*" -Newest 1).TimeGenerated;

Не увидев этих  журналов в Windows 8/10 я уж было решил что все события ложаться в один их журналов самой Windows. Но к счастью ситуация изменилась не так кардинально. Просто теперь журнал MS Office один и находится глубже:

Журналы приложений и служб/Microsoft Office Alerts
а файл его такой
%SystemRoot%\System32\Winevt\Logs\OAlerts.evtx

Обращайте внимание на имя источника событий в зависимости от версии MS Office:
2010
(Get-EventLog -LogName "OAlerts" -Source "Microsoft Office 14 Alerts" -EntryType "Information" -Newest 1).TimeGenerated;

2013
(Get-EventLog -LogName "OAlerts" -Source "Microsoft Office 15 Alerts" -EntryType "Information" -Newest 1).TimeGenerated;

2016
(Get-EventLog -LogName "OAlerts" -Source "Microsoft Office 16 Alerts" -EntryType "Information" -Newest 1).TimeGenerated;

А вот и пример события из журнала. Самые безобидные события могут вам сказать какой файл обрабатывался на вашем ПК и когда:
Имя журнала:   OAlerts
Источник:      Microsoft Office 16 Alerts
Дата:          10.11.2019 20:58:37
Код события:   300
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     Prongeng
Описание:
Microsoft Word
Вы хотите сохранить изменения в ReviewMuseum.docx?
P1: 200054
P2: 16.0.4266.1001

Это, кстати, не единственный  источник такой информации.)
Успехов.

McAfee из командной строки.

Всем привет.

В новом  McAfee ENS 10.7 много нового и полезного:

• Enhanced Remediation – отчет изменений подозрительных процессов (Rollback)

• Real Protect enhanced script scanning – улучшенная защита от fileless атак

• Story Graph – визуализация сработок на атаки (еРО\Threat Event Log)

• Command Line Scanner (amcfg) – запуск ODS с CLI / bat / MAR / EDR

• Update command line interface (amcfg) – обновления с CLI / bat / MAR / EDR

• On-demand scan CPU throttling – настройка утилизации CPU при сканировании

• Reputation source configuration – выбор между GTI + TIE либо один из двух

• Log all files scanned by ODS – лог файлов проверенных ODS

Меня лично порадовало наличие механизма  CLI для выполнения ряда задач. Например ситуация - используя модуль Application Cоntrol мы имеем полный контроль над запуском сторонних процессов, которые не входят в белый список. Но для обновления штатного софта это список надо либо пополнять либо временно отключать  Application Cоntrol. Что имеем? Обычно выполняются программы только из белого списка и известные McAfee по репутационной базе, которая сверяется с mcafee.com. Т.е., к примеру, обновления для Windows будут устанавливаться без проблем, а вот обновления для MEDoc – нет.

Для обновления MEDoc нужно перевести его хост в режим обновления, после этого все новые программы попадут в Белый список.

Перевести в режим Update можно 2-мя способами - из ePO и из командной строки. Сегодня оценим простоту выполнения это операции из командной строки.