Metasploit besitzt interessante interne Module, die im Zusammenspiel mit Vulnerabiliy Scanner wie Nessus oder Openvas gefundene Schwachstellen direkt angreifen kann. Auch amap erzeugt ein Format, welches Metasploit mit seinem Autopwn Modul direkt in eine sqlite3, mysql oder postgres Datenbank ablegen kann und anschließend mit automatischen Angriffen zu exploiten versucht. Einen Artikel gibts im Linux Magazin 02/2010.
Worhshops vom Autor gibts hier.
Ab Version 0.8.5 ist kvm in der Lage, Hardware des PCI Bus im Hostsystem zu deaktivieren und an den virtuellen Gast durchzureichen. Dazu dient die Option pcidevice. Einen Artikel dazu gibts im Linux Magazin 03/2010. Dort wird gezeigt, wie eine Fritz PCI ISDN Karte und/oder eine DVB Karte an ein Gastsystem durchgereicht werden kann.
MAC steht in der Linux Forensik für Modified, Accessed und Changed. Im Windows Lager bedeutet gilt Modified, Accessed und Created. Das Sleuthkit beinhaltet wichtige Werkzeuge, die dem Forensiker Auskunft darüber gibt was die Zeit geschlagen hat. Nun gibt es einen neuen Vertreter: den mac-robber.
Die beiden Programme fls und mactime liefern eine gruppierten oder ungruppierte Timeline für Dateien in einem Image. mac-robber kann anstelle von fls benutzt werden um Datei Informationen zu gemounteten Partitionen zu erstellen. Anschließend werden sie mit mactime aufbereitet.
Das Programm gibt es hier.
Installation: auspacken und mit make eine Binary erstellen. Anschließen nach /usr/local/sbin kopieren.
Ein Howto für Kursteilnehmer gibts hier.
Im Rahmen einer Durchsuchung von Root Servern bei ISPs sollten die eingegebenen Kommandozeilen Befehle gesucht und in einer Datei gesammelt werden. Zusätzlich sollte der Ort der gefundenen Dateien (.bash_history) ausgegeben werden:
find / -type f -iname “.bash_history” -print0 | xargs -0 ls -al | grep -i -H “.bash_history”
find / -type f -iname “.bash_history” -print0 | xargs -0 cat > all_hists
Will man Encase Images (.e01) ohne teuren Third Party Tools mounten, so setzt man das Python Programm mount_ewf der niederländischen Strafverfolgungsbehörden ein. Das Programm benötigt python-fuse und libewf. Libewf kann entweder als .deb, .rmp Paket oder als Tarball von der Projektseite (https://www.uitwisselplatform.nl/projects/libewf/) bezogen werden. Eine Samba Freigabe auf das gemountete Image kann dann das Image Programmen wie Live View zur Verfügung stellen. Der gesamte Artikel als PDF: Encase Images mounten
Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:
# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc
Ein geeigneter Suchbefehl um nach Images zu suchen:
find . -type f -print0 | xargs -0 file | egrep -i –color ‘(VMware4|VMware3|Qemu Image|Sun VirtualBox|innotek Virtualbox|Microsoft Virtual PC|x86 boot sector)’
Images die im Expert Witness Format (EWF) vorliegen können mit mount_ewf unter Linux gemountet werden. Dazu muss libewf und mount_ewf installiert werden. Diese Programme befinden sich nicht im Debian Repository und müssen manuell installiert werden.
Bezugsquelle: http://www.uitwisselplatform.nl/projects/libewf
libewf kann über mein Repository bezogen werden. Dazu ist folgender Eintrag in /etc/apt/sources.list notwendig:
deb http://www.hpmerkel.com/debian/ ./
mit aptitude install libewf libewf-tools können die Programme (i386) dann installiert werden.
Howto zum Download: mount_ewf.pdf
Brian Carriers Sleuthkit arbeitet auf der Kommandozeile und findet bei “Maus-Schubsern” wenig Gegenliebe. Autopsie als GUI ist eher zäh zu bedienen. Seit Ende Mai 2008 ist nun das Open Source Projekt PTK verfügbar. Es baut auf Apache2, PHP5 und Mysql-Server 5 auf. PTK steht hier zum Download bereit.
Für Debian Anwender müssen noch Perl Module nachinstalliert werden:
aptitude install libdbd-mysql-perl libdbi-perl
Live Distributionen gibt es viele. Von Knoppix über Helix zu GRML, alle sind wertvolle Hilfsmittel im Bereich Administration, Backup, Recovery und Forensik. Nicht immer steht ein CD-ROM Laufwerk zur Verfügung, der Stick will auch nicht booten. Wie wäre ein Linux im Arbeitsspeicher, einfach über die Netzwerkkarte gestartet? PXE macht’s möglich. Dieser Artikel zeigt was zu tun ist: grml_pxe.pdf
Seit Version 8.04 liefert Edubuntu keinen “out-of-the-box” Terminalserver mehr aus. Die Serverfunktionen müssen manuell nachinstalliert werden. Am Beispiel unseres Projektes Linux4Afrika wird gezeigt, wie unsere Musterlösung aufgebaut ist. Hier die Dokumentation.