Metasploit besitzt interessante interne Module, die im Zusammenspiel mit Vulnerabiliy Scanner wie Nessus oder Openvas gefundene Schwachstellen direkt angreifen kann. Auch amap erzeugt ein Format, welches Metasploit mit seinem Autopwn Modul direkt in eine sqlite3, mysql oder postgres Datenbank ablegen kann und anschließend mit automatischen Angriffen zu exploiten versucht. Einen Artikel gibts im Linux Magazin 02/2010.
Worhshops vom Autor gibts hier.
Ab Version 0.8.5 ist kvm in der Lage, Hardware des PCI Bus im Hostsystem zu deaktivieren und an den virtuellen Gast durchzureichen. Dazu dient die Option pcidevice. Einen Artikel dazu gibts im Linux Magazin 03/2010. Dort wird gezeigt, wie eine Fritz PCI ISDN Karte und/oder eine DVB Karte an ein Gastsystem durchgereicht werden kann.
MAC steht in der Linux Forensik für Modified, Accessed und Changed. Im Windows Lager bedeutet gilt Modified, Accessed und Created. Das Sleuthkit beinhaltet wichtige Werkzeuge, die dem Forensiker Auskunft darüber gibt was die Zeit geschlagen hat. Nun gibt es einen neuen Vertreter: den mac-robber.
Die beiden Programme fls und mactime liefern eine gruppierten oder ungruppierte Timeline für Dateien in einem Image. mac-robber kann anstelle von fls benutzt werden um Datei Informationen zu gemounteten Partitionen zu erstellen. Anschließend werden sie mit mactime aufbereitet.
Das Programm gibt es hier.
Installation: auspacken und mit make eine Binary erstellen. Anschließen nach /usr/local/sbin kopieren.
Ein Howto für Kursteilnehmer gibts hier.
Update:
Durch den Aufruf haben sich genügend Zeugen gemeldet. Deswegen wurden die Kontaktdaten editiert. Geschädigte, die auf diesen Aufruf nunmehr aufmerksam geworden sind, werden bei Strafverfolgungsinteresse gebeten, bei ihrer örtlichen Polizeidienststelle eine Strafanzeige zu erstatten. Die Anzeigen werden dann durch die aufnehmenden Dienststellen an die Kieler Polizei weitergeleitet.
Guten Tag!
Ich melde mich hiermit als Mitarbeiter der Kriminalpolizei Kiel nach Rücksprache mit der zuständigen Staatsanwaltschaft Kiel in diesem Forum an. Hintergrund ist, daß im Rahmen eines umfangreichen Strafverfahrens gegen die Betreiber der Firmenkomplexe MINTNET ( Flensburg ) und MOBILE SOLUTIONS ( Kiel ) Zeugen und Geschädigte gesucht werden.
Durch die oben genannten Firmen wurden kostenintensive fünfstellige Voice- Premium- Rufnummern angemietet, ferner 0900- er- und 0137- er Nummern, welche hier nicht in vollem Umfang genannt werden können.
Mit diesen wurde dann wie folgt verfahren:
1.) Es wurden in Zeitungen und im Internet Anzeigen geschaltet, in welchen Autos weit unter dem Marktpreis angeboten wurden, so daß ein hohes Interesse seitens autosuchender Personen zu erwarten gewesen sein dürfte. Hier wurde eine Handynummer in den Inseraten genannt. Auf dieser war allerdings stets nur die Mailbox zu erreichen, welche mitteilte, daß man unter einer 0137- er- Rufnummer zu erreichen sei . Nach Ende der Bandansage vergingen dann mehrere Sekunden, bis ein Hinweis auf die Kostenpflichtigkeit in Höhe von 1 Euro pro Anruf erging. Es ist allerdings niemand bekannt geworden, der hier jemals durchgekommen wäre. Bei Anruf auf der 0137-er- Rufnummer erklang eine Bandansage mit dem Inhalt, daß derzeit keiner erreichbar sei und man es zu einem späteren Zeitpunkt neuerlich versuchen solle. Zu diesem Zeitpunkt allerdings erfolgte schon die die Abrechnung wegen Kostenpflichtigkeit. Gleichermaßen ist zu erkennen, daß es die Autos nicht gegeben haben dürfte, da in der Anzeige genannte technische Details von den Autoherstellern in keinem gängigen Modell kombiniert waren. Dies diente vermutlich nur dem Zweck, kaufwillige Interessenten dazu zu bewegen, hier – möglichst auch mehrfach – anzurufen.
In analoger Begehung ist es hier auch zur Nutzung von 0900-er- Rufnummern gekommen.
2. Über die Internetseite whois: [Link nur für registrierte Mitglieder sichtbar. ] wird ein Singleforum vorgetäuscht, in dem kontaktwillige Personen, welche sich auf der Suche nach Partnerschaft befinden, mit anderen Singles in Kontakt gelangen könnten. Die Kommunikation erfolgte allerdings ausschließlich über Moderatoren der Firmen, welche über eine lange Zeit versuchten, Kontaktwillige in eine Kommunikation per SMS einzubinden, wobei jede an die Kurzwahl geschickte SMS mit einem Betrag von 1,99 Euro abgerechnet wurde. Es darf hierbei bezweifelt werden, daß es auf dieser Internetseite überhaupt Kontaktwillige gegeben hat, da zu vermuten steht, daß jegliche Kommunikation über die Moderatoren abgewickelt wurde, weshalb es auch nie zu Treffen zwischen zwei reellen Personen gekommen sein dürfte. Die Werbung der möglichen Kunden erfolgte hierbei über die Auswertung von Internetforen und Konaktanzeigen, in denen Handynummern angegeben waren. Diese wurden durchsucht und die Handynummern unaufgefordert kontaktiert, verbunden mit der Maßgabe, Antworten an eine fünfstellige Kurzwahlnummer zu senden . Gleichermaßen ist denkbar, daß die Kurzwahlnummer in eine Mobilfunknummer eines Netzbetreibers eingearbeitet wurde. Hierzu wird eine Kurzwahl durch zwei Ziffern verlängert und mit einer entsprechenden Netzvorwahl versehen. Technisch gesehen wird dann die Kurzwahlnummer angerufen, obgleich man mutmaßlich eine Handynummer anwählte oder eine SMS auf diese verschickte.
Die derzeit bekannten Servicenummern der Firma MINTNET und / oder der MOBILE SOLUTIONS lauten ( nicht vollständig aufgeführt ):
22040, 22324, 30333, 31333, 33777, 43444, 44433, 44664, 45444, 55444, 55544, 55577, 55599, 57555, 72777, 77722, 77744, 77755, 40050, 44660, 77776
Die Kriminalpolizei Kiel hat in dieser Angelegenheit nunmehr folgende Fragen:
- Sind Sie möglicherweise auf eine der oben genannten Arten geschädigt worden ?
- Haben Sie aufgrund der genannten Anzeigen Kontakt zu einer kostenpflichtigen Service- Rufnummer gesucht, ohne daß Ihnen hierbei klar war, daß zum einen erhebliche Kosten entstehen würden und Sie evtl. auch nicht mit einer tatsächlich existenten Person kommunizieren würden?
- Haben Sie aus derartiger Kommunikation noch SMS auf dem Handy oder Rechnungen mit Einzelverbindungsnachweisen vorliegen?
- Haben Sie sich gegebenenfalls bei einer dieser Firmen um eine Beschäftigung beworben und diese nachher abgelehnt?
- Können Sie sachdienliche Hinweise jeglicher Art zu den geschilderten Sachverhalten geben?
Dieser Aufruf dient dem Zweck, weitere Geschädigte für dieses Verfahren zu ermitteln, welche sich möglicherweise aufgrund einer geringen Schadenshöhe nicht zu einer Anzeigenerstattung entschlossen haben, um hier eine vollständige Strafverfolgung durchführen zu können.
Das hier geführte Verfahren bezieht sich ausschließlich auf den Bereich SMS-Chat und erstreckt sich nicht auf andere Sachverhalte wie z.B. Premium-Abos für angebliche Frei-SMS oder ähnliches.
Sofern Sie mit den o.g. Sachverhalten konfrontiert worden sind, werden Sie gebeten, sich unter der folgenden Erreichbarkeit zu melden:
Link: http://www.antispam.de/forum/showthread.php?t=22300
Im Rahmen einer Durchsuchung von Root Servern bei ISPs sollten die eingegebenen Kommandozeilen Befehle gesucht und in einer Datei gesammelt werden. Zusätzlich sollte der Ort der gefundenen Dateien (.bash_history) ausgegeben werden:
find / -type f -iname “.bash_history” -print0 | xargs -0 ls -al | grep -i -H “.bash_history”
find / -type f -iname “.bash_history” -print0 | xargs -0 cat > all_hists
Will man Encase Images (.e01) ohne teuren Third Party Tools mounten, so setzt man das Python Programm mount_ewf der niederländischen Strafverfolgungsbehörden ein. Das Programm benötigt python-fuse und libewf. Libewf kann entweder als .deb, .rmp Paket oder als Tarball von der Projektseite (https://www.uitwisselplatform.nl/projects/libewf/) bezogen werden. Eine Samba Freigabe auf das gemountete Image kann dann das Image Programmen wie Live View zur Verfügung stellen. Der gesamte Artikel als PDF: Encase Images mounten
Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:
# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc
Ein geeigneter Suchbefehl um nach Images zu suchen:
find . -type f -print0 | xargs -0 file | egrep -i –color ‘(VMware4|VMware3|Qemu Image|Sun VirtualBox|innotek Virtualbox|Microsoft Virtual PC|x86 boot sector)’
Images die im Expert Witness Format (EWF) vorliegen können mit mount_ewf unter Linux gemountet werden. Dazu muss libewf und mount_ewf installiert werden. Diese Programme befinden sich nicht im Debian Repository und müssen manuell installiert werden.
Bezugsquelle: http://www.uitwisselplatform.nl/projects/libewf
libewf kann über mein Repository bezogen werden. Dazu ist folgender Eintrag in /etc/apt/sources.list notwendig:
deb http://www.hpmerkel.com/debian/ ./
mit aptitude install libewf libewf-tools können die Programme (i386) dann installiert werden.
Howto zum Download: mount_ewf.pdf
Brian Carriers Sleuthkit arbeitet auf der Kommandozeile und findet bei “Maus-Schubsern” wenig Gegenliebe. Autopsie als GUI ist eher zäh zu bedienen. Seit Ende Mai 2008 ist nun das Open Source Projekt PTK verfügbar. Es baut auf Apache2, PHP5 und Mysql-Server 5 auf. PTK steht hier zum Download bereit.
Für Debian Anwender müssen noch Perl Module nachinstalliert werden:
aptitude install libdbd-mysql-perl libdbi-perl
Live Distributionen gibt es viele. Von Knoppix über Helix zu GRML, alle sind wertvolle Hilfsmittel im Bereich Administration, Backup, Recovery und Forensik. Nicht immer steht ein CD-ROM Laufwerk zur Verfügung, der Stick will auch nicht booten. Wie wäre ein Linux im Arbeitsspeicher, einfach über die Netzwerkkarte gestartet? PXE macht’s möglich. Dieser Artikel zeigt was zu tun ist: grml_pxe.pdf