ITrig

Die Sommerpause neigt sich langsam den Ende zu, darum hier ein kleiner Hinweis auf die PDF Poster vom SANS Institut (SysAdmin, Networking und Security).

Die Genossenschaft hat mit SIFT (SANS Investigative Forensic Toolkit) nicht nur eine eigene Security Distribution im Programm, sondern veröffentlich auch regelmäßig Übersichten in Form von PDF Postern. Hier werden verschiedene Themen Rund um IT Sicherheit behandelt.

Das Poster Securing Web Application Technologies (SWAT) listet beispielsweise die wichtigsten Schritte zum Absichern einer Web Anwendung auf.

Windows Forensiker werden mit der Infografik Windows Forensic Analysis an die richtige Vorgehensweise zum Aufspüren von Malware und dem Sichern von Beweisen herangeführt.

Ebenfalls interessant ist der Überblick verschiedener Web Frameworks, Techniken und Tools, welche sich ganz der Sicherheit von Anwendungen widmen und die Möglichkeit bieten das eigene Wissen zu verbessern.

In der schnelllebigen IT Zeit sind sicherlich nicht mehr alle Informationen up2date, dennoch bieten sich einige Poster für die Pinnwand im Büro an, da sie einen guten Überblick bieten.

Die komplette Auswahl findet ihr auf der SANS Seite.

Seit der letzten Meldung über Forensik/Sicherheits Distributionen sind ein paar Tage vergangen, somit wird es Zeit ein neues System vorzustellen.

Pentoo - Schweizer Forensik Taschenmesser

Aus der Schweiz stammt die Pentoo Distribution, basierend auf Gentoo.
 

Die Kernfunktionen des Linux Systems weichen nicht groß von Mitbewerbern wie Kali oder BackBox ab. Es lässt sich als Live CD nutzen, aber auch fest installieren und ist in 64bit, sowie 32bit verfügbar.

Laut den Entwicklern wurden folgende Modifikationen am System vorgenommen.

• Hardened Kernel with aufs patches
• Backported Wifi stack from latest stable kernel release
• Module loading support ala slax
• Changes saving on usb stick
• XFCE4 wm
• Cuda/OPENCL cracking support with development tools
• System updates if you got it finally installed

Nach dem Bootvorgang erhält der Nutzer eine gewohnte Linux Oberfläche, wobei die Pentoo Oberfläche sich abermals von anderen Distros wenig unterscheidet.

Das Startmenü enthält einen eigenen Pentoo Bereich, welcher alle Tools vom Analyzer über Fuzzers bis zu VoIP in insgesamt 17 Kategorien auflistet.
Alle Tools hier zu erwähnen würde den Rahmen sprengen.

Kleine Bemerkung am Rande, ich persönlich finde das Hintergrundbild herausragend.

Rollendes Linux

Ähnlich wie bei den Kali Kollegen, wird Pentoo als Rollings Release vertrieben. Es werden allerdings Snapshots von bestimmten Releases erstellt. Die letzte Veröffentlichung stammt vom Dezember 2015 und wird als 2015.0 RC4.6 vertrieben.

Installation

Eine Installation zur Nutzung des Systems ist nicht nötig. Sollte Pentoo dennoch einen Weg auf die Platte finden, muss das System über mindestens 1,5GB RAM verfügen.

Fazit

Pentoo reiht sich nahtlos in vorhandene forensische Distributionen ein. Um eine genauere Aussage treffen zu können ist sicherlich ein tieferer Einblick in das System notwendig. Wie immer orientiert sich die Entscheidung für ein System an den Anforderungen der Aufgabe.

Da Pentoo wie viele andere Distributionen nicht auf Debian/Ubuntu basiert, stellt das System sicherlich eine Alternative zu den Platzhirschen dar.

Überblick forensische Sicherheitsdistributionen

Eine Gesamtübersicht der bereits erwähnten Systeme.

Das könnte dich auch interessieren

7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

Lynis 2.2.0 - Neue Version zur Linux Systemhärtung verfügbar

NST 22 - Network Security Toolkit - Sicherheits- und Analyse Live CD

CAINE 7.0 - DeepSpace - Windows Forensik Tools und mehr als Live CD veröffentlicht

Kurze Meldung für Pentester und IT Forensiker. BackBox Linux wurde auf 4.3 aktualisiert. 

BackBox 4.3

Welche Bereiche im Detail in der neuen Version geändert wurden, kann leider nicht genau festgstellt werden, da sich der Changelog nicht viel von der Vorgängerversion unterscheidet.

Es darf aber davon ausgegangen werden, dass alle Programme und Tools aktualisiert wurden. So werden im Changelog auch ein paar neue Helferlein gelistet, wie beef-project, btscanner, dirs3arch, metasploit-framework, ophcrack, setoolkit, tor, weevely, wpscan.

Update auf Backbox 4.3

Ein Update einer bestehenden Version ist schnell über die Kommandozeile erledigt.

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -f
sudo apt-get install linux-image-generic-lts-utopic linux-headers-generic-lts-utopic linux-signed-image-generic-lts-utopic
sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
sudo gem cleanup
sudo rm -rf /var/lib/gems/1.*
sudo apt-get install backbox-default-settings backbox-desktop backbox-tools --reinstall
sudo apt-get install beef-project metasploit-framework whatweb wpscan setoolkit --reinstall
sudo apt-get autoremove --purge

Ein Download den neuen Images ist aber ebenso möglich.

Eine der meistverwendeten Blogsysteme im Netz ist sicherlich Wordpress. Wie so oft bei beliebter Software, ist Wordpress auch ein begehrtes Angriffsziel für Hacker und Co.

Um diesen vorzugreifen ist ein regelmäßiger Test auf Sicherheitslücken sinnvoll. Ein perfektes Tool für solche Penetrationstests ist WPScan. Der WordPress Security Scanner ist auf bekannten Sicherheitsdistributionen wie Kali Linux oder BackBox vorhanden, lässt sich aber auch recht einfach auf einem Ubuntu Server 14.04 in Betrieb nehmen.

Installation WordPress Security Scanner auf Ubuntu Server 14.04 LTS

Zunächst wird Ruby benötigt. Damit die Installation aktuell ist, wird dazu das Brightbox Repository verwendet. Danach werden weitere Pakete installiert, um dann den WPScanner via git zu laden.

Installation

sudo apt-get install software-properties-common
sudo apt-add-repository ppa:brightbox/ruby-ng
sudo apt-get update
sudo apt-get install ruby2.2 ruby2.2-dev git libxml2 libxml2-dev libxslt1-dev libcurl4-gnutls-dev
 

WPScan von Github herunterladen

sudo git clone https://github.com/wpscanteam/wpscan.git
cd wpscan/
sudo su
   gem install bundler && bundle install --without test

Successfully installed bundler-1.8.3
Parsing documentation for bundler-1.8.3
Done installing documentation for bundler after 3 seconds
1 gem installed
Don't run Bundler as root. Bundler can ask for sudo if it is needed, and installing your bundle as root will break this application for all non-root users on this machine.
Fetching gem metadata from https://rubygems.org/.........
Fetching version metadata from https://rubygems.org/..
Resolving dependencies...
Installing addressable 2.3.7
Installing ffi 1.9.6
Installing ethon 0.7.3
Installing json 1.8.2
Installing mini_portile 0.6.2
Installing nokogiri 1.6.6.2
Installing ruby-progressbar 1.7.1
Installing terminal-table 1.4.5
Installing typhoeus 0.7.1
Using bundler 1.8.3
Bundle complete! 10 Gemfile dependencies, 10 gems now installed.
Gems in the group test were not installed.
Use `bundle show [gemname]` to see where a bundled gem is installed.

Update der WPScan Datenbank

sudo ./wpscan.rb --update
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 2.6
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[i] Updating the Database ...
[i] Update completed.

Schwachstellen Scan auf installierte Themes oder Plugins

Die Überprüfung einer vorhandenen Wordpress Installation erfolgt über den Befehl --"url" gefolgt von der Scan Methode "--enumerate vt" überprüft in diesem Fall Templates auf Schwachstellen (momentan über 300).

Das "v" steht für den Verbose Mode und gibt etwas mehr Infos auf der Kommandozeile aus.

Ein Scan auf installierte Plugins würde beispielsweise mit dem Schlüssel "--enumerate -vp" gestartet. Hier befinden sich zurzeit über 2000 in der Datenbank.

Als Beispiel habe ich einen Scan auf Sicherheitslücken installierter Themes gewählt.

sudo ./wpscan.rb --url www.url.de --enumerate vt
 
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 2.6
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[+] URL: http://www.url.de/
[+] Started: Thu xxx x xxx:xx:xx xxxx

[+] robots.txt available under: 'http://www.url.de/robots.txt'
[!] The WordPress 'http://www.url.de/readme.html' file exists exposing a version number
[!] Full Path Disclosure (FPD) in: 'http://www.url.de/wp-includes/rss-functions.php'
[+] Interesting header: SERVER: nginx/x.x.x
[+] Interesting header: X-POWERED-BY: PHP/x.x.x
[+] XML-RPC Interface available under: http://www.url.de/xmlrpc.php
[i] This may allow the GHOST vulnerability to be exploited, please see: https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner

[+] WordPress version 4.0.1 identified from rss generator

[+] Enumerating plugins from passive detection ...
 | 3 plugins found:

[+] Name: 2-click-socialmedia-buttons - v1.6.4
 |  Location: http://www.url.de/wp-content/plugins/2-click-socialmedia-buttons/
 |  Readme: http://www.url.de/wp-content/plugins/2-click-socialmedia-buttons/readme.txt

[+] Name: font-awesome - v3.2.1
 |  Location: http://www.url.de/wp-content/plugins/font-awesome/
 |  Readme: http://www.url.de/wp-content/plugins/font-awesome/readme.txt

[+] Name: redactor - v3.1.45
 |  Location: http://www.url.de/wp-content/plugins/redactor/
 |  Readme: http://www.url.de/wp-content/plugins/redactor/readme.txt

[+] Enumerating installed themes (only vulnerable ones) ...

   Time: 00:01:10 <=================================================================================================================================================> (325 / 325) 100.00% Time: 00:01:10

[+] We found 309 themes:
[+] Name: 5star
 |  Location: http://www.url.de/wp-content/themes/5star/
 |  Style URL: http://www.url.de/wp-content/themes/5star/style.css
 |  Description:

[+] We could not determine a version so all vulnerabilities are printed out

[!] Title: 5star - Templatic Theme CSRF File Upload Vulnerability
    Reference: https://wpvulndb.com/vulnerabilities/7484
    Reference: http://1337day.com/exploit/22091

Troubleshooting

Fehlende Rechte bei der Installation von bundler, bringen folgende Meldung zu Tage.

Gelöst werden kann dies beispielsweise mit dem Wechsel in die Root Umgebung.

??? ERROR REPORT TEMPLATE ???????????????????????????????????????????????????????
- What did you do?
- What did you expect to happen?
- What happened instead?

Error details

    Errno::EACCES: Permission denied @ dir_s_mkdir - /scan/wpscan/.bundle
    /usr/lib/ruby/2.2.0/fileutils.rb:252:in `mkdir'
    /usr/lib/ruby/2.2.0/fileutils.rb:252:in `fu_mkdir'
    /usr/lib/ruby/2.2.0/fileutils.rb:226:in `block (2 levels) in mkdir_p'
    /usr/lib/ruby/2.2.0/fileutils.rb:224:in `reverse_each'
    /usr/lib/ruby/2.2.0/fileutils.rb:224:in `block in mkdir_p'
    /usr/lib/ruby/2.2.0/fileutils.rb:210:in `each'
    /usr/lib/ruby/2.2.0/fileutils.rb:210:in `mkdir_p'

Fazit

Wer Wordpress im Einsatz hat, sollte die Installation aktuell halten, Sicherheitsplugins installieren und auf vorhandene Lücken testen. Mit WPScan ist ein brauchbares OpenSource Tool auf Github für einen Penetrationstest vorhanden.

Im Zuge der Defcon 2014 wurde eine aktualisierte Version des Digital Evidence & Forensic Toolkit, kurz DEFT veröffentlicht. Das kleine Update auf Version 8.1 der forensischen Lubuntu live DVD enthält die aktualisierte Variante der Tool Sammlung Dart 2 (Digital Advanced Response Toolkit).

Leider ist immer noch keine VMware Version der Distribution verfügbar. 

Weiter zeigt der File Manager des Livesystem nun an, in welcher Form Festplatten gemountet wurden. Außerdem wird Bitlocker nun voll unterstützt.

Folgende Tools und Funktionen wurden ebenfalls aktualisiert oder sind neu dabei:

• The Sleuthkit 4.1.3
• Digital Forensics Framework 1.3
• Full support for Android and iOS 7.1 logical acquisitions (libmobiledevice & adb)
• JD GUI 
• Skype Extractor 0.1.8.8
• Maltego 3.4 Tungsten
• Neue Version des OSINT Browser

Download DEFT 8.1

Übersicht IT Forensik System I

Übersicht IT Forensik Systeme II 

[Update]

DEFT 8.1 ist nun auch als virtuelle Maschine für VMware verfügbar. Download