Malware: Scanning com Adobe Malware Classifier/Clamav por possível Malwares em PDF

Sei que tem muitos pesquisadores em segurança ao longo do mundo falando sobre Análise de Malware em PDF, mas nessa parte ainda estou começando e por sinal é muito legal.

Um deles que conheço é o Rodrigo Sp00ker, qual ainda não tive oportunidade de assistir alguma palestra dele, neste assunto e sei que está pesquisando sobre isso com mais profundidade.

Reparei que há um projeto chamado Adobe_Malware_Classifier, senão me engano no sf.net em: http://sourceforge.net/projects/malclassifier.adobe/files/

Não sei ainda se é de algum pesquisador da Adobe, mas achei interessante.  O uso conforme o próprio help é:

usage:

AdobeMalwareClassifier.py [-h] [-f filename] [-n model] [-v [verbose]]

Classify an unknown binary as MALWARE or CLEAN. optional arguments:

-h, –help show this help message and exit

-f filename The name of the input file

-n model The ordinal for model classifier: 0=all (default) | 1=J48 | 2=J48Graft | 3=PART | 4=Ridor

-v [verbose] Dump the PE data being processed

Você poderia usar como modo Verbose e um arquivo por vez, por exemplo:

$ python AdobeMalwareClassifier.py -v -f apostila.pdf

Detalhe: é necessário 2 dependências do python, para este scanner, como:

– Python pefile
– Python argparse

O problema está quando você tem um diretório com milhares destes arquivos. Então pode-se criar um script shell ou algo em python (que não fiz ainda) e automatizar o scan.

Detalhe: Essa tool só faz um scan, não retira o malware ou shellcode que estiver embutido.

Me lembrei que no clamav há uma opção para arquivos suspeitos, como por exemplo:

$ sudo clamscan –detect-pua /home/pdfs/

OBS: O que vou tentar fazer é um script que separe os arquivos infectados dos não-infectados e use o clamav para fazer o scanning no diretorio de pdfs infectados.

Fica para outro post.

@firebitsbr

Network Security Engineer (140-12)

Esta vaga fora do Brasil, menciona que o profissional deve ter no mínimo 3 anos em Segurança, mas creio o que background deve ser de uns 10 anos ou mais para dominar toda essa informação ou ter oportunidades de contato com essas tecnologias de forma focada e dedicada, que também dá, se não tiver muitas interrupções. Fora que o profissional provavelmente ter que ser um pouco”Workaholic“. Outro detalhe, que no Brasil em algumas empresas há profissionais que já trabalham nesse ritmo desta vaga, com  a posição da função como “Pleno” ou “Senior” e no caso da vaga, é para “Engenheiro”.

Network Security Engineer (140-12)

Plan, implement, upgrade, or monitor security measures for the protection of computer networks and information. May ensure appropriate security controls are in place that will safeguard digital files and vital electronic infrastructure. May respond to computer security breaches and viruses.

Research into the latest in security engineering hardware and software such as latest IDS/IPS, IOS, firewalls, virus detection, scanning tools, etc. to continuously improve network security and address new and evolving threats
Secure disposal of the security/network appliances
Incident responses as required
Patch management
Vulnerability mitigation as required
Anti-virus signatures and maintenance
Backup-up of security devices
Administer network and computing devices/systems that enforce security policies and audit controls in Windows environment
Formulate security architecture recommendations and design security services
Implement technical solutions to contractual requirements supporting FISMA,
Assist in responses to external audits, penetration tests and vulnerability assessments
Recommend and coordinate the application of fixes, patches, disaster recovery procedures in the event of a security breach
Research emerging technologies in support of security enhancement and development efforts
Conduct risk assessments, penetration tests and diagnose internet/extranet security, intrusion attempts, and cyber-crime response
Perform project leadership tasks on select security projects
Solid familiarity with application and network security.
Must be able to perform hands-on support for a wide range of security technologies including, but not limited to: SEIM, IDS/IPS, HIDS, malware analysis and protection, content filtering, logical access controls, identity and access management, and data loss prevention, content filtering technologies, application firewalls, vulnerability scanners, LDAP, forensics software, security incident response, Identity Management (IdM)

Required Skills

Proven project management and organizational skills, specifically managing multiple concurrent projects
Excellent analytical, problem solving and decision making skills, applied with a solution-focused attitude
Excellent written communication skills, demonstrating the ability to write with purpose, clarity, and accuracy
Strong self-directed work habits, exhibiting initiative, drive, creativity, maturity, self-assurance and professionalism
Excellent teamwork skills
Familiar with Cisco ASA 5500 series firewalls, Fortinet Fortigate, Palo Alto, Trustwave Web Defend

Nessus scanner for vulnerability assessment

Experience Required

Three (3) years in a system administration (e.g., Network, Windows) role.
Five or more years’ experience in IT security
Experience in working with compliance and regulatory program requirements.
Experience analyzing network, event and security logs, and/or IDS alert logs.
Current security clearance a big plus
Past experience working in Federal IT security environment

Please apply directly at:
http://aac-openhire.silkroad.com/epostings/submit.cfm?fuseaction=app.dspjob&jobid=26&company_id=16688&jobboardid=194

UNIX: Onde encontrar rapidamente arquivos de senhas em ataques LFI

No caso seria para Post-Explaration:

Versão Path Token
—————————————————————–
AIX 3 /etc/security/passwd !
or /tcb/auth/files//
A/UX 3.0s /tcb/files/auth/?/*
BSD4.3-Reno /etc/master.passwd *
ConvexOS 10 /etc/shadpw *
ConvexOS 11 /etc/shadow *
DG/UX /etc/tcb/aa/user/ *
EP/IX /etc/shadow x
HP-UX /.secure/etc/passwd *
IRIX 5 /etc/shadow x
Linux 1.1 /etc/shadow *
OSF/1 /etc/passwd[.dir|.pag] *
SCO Unix #.2.x /tcb/auth/files//
SunOS4.1+c2 /etc/security/passwd.adjunct ##username
SunOS 5.0 /etc/shadow

System V Release 4.0 /etc/shadow x
System V Release 4.2 /etc/security/* database
Ultrix 4 /etc/auth[.dir|.pag] *
UNICOS /etc/udb *

@firebitsbr

Contéudo na Internet

Infelizmente na internet, se você não escrever nada a respeito à um determinado assunto, fica uma leve impresssão que você não tem aquele conhecimento.

E quando alguém escreve sobre determinado assunto, nas pesquisas por exemplo no Google os primeiros que aparecem, numa ordem cronológica (por ex: por ano) dá impressão que o autor que escreveu primeiro.

Já produzi artigo baseados em conhecimentos de outros autores e fiz situações ou não (quando não sabia a fonte), mas não quer dizer que por exemplo, sou o primeiro a saber aquele conhecimento.

Por isso, estou começando a escrever coisas que visualizei há 10, 5 ou até 3 anos atrás, com ou sem fonte, conforme o caso.