Thursday, April 11, 2013

HITB2013AMS

Сегодня выступали на конференции.К сожалению, Федор не смог приехать, поэтому только с Володей.
Презентация доступна здесь.
Все используемые в презентации тулзы достпны в GIT репозитории. В будущем, все новые версии также будут попадать туда.

Хочется сказать огромное спасибо моим друзьям, коллегам и близким, без помощи и поддержки которых все это было бы невозможно. Прежде всего Федору и Владимиру, которые наполнили контентом презентацию, снова Федору за ryocrawler, моему коллеге и другу Игорю за тестирование и допиливание рулей SEC-а, моему предыдущему работодателю, работая у которого у меня оставалось время писать и поддерживать update_macs и многие другие штуки (которые, немного спустя реально облегчали мне работу, а следовательно, делали ее более эффективной), здесь пока не доступные, моей супруе и детям, которые весьма терпеливо относились к моим ночным посиделкам в обнимку с ноутом, когда я выпиливал и допиливал proxy_analyzer и материал слайдов презентации, также доступной в GIT.

Несколько слов о структуре GIT-репозитория:
presentation/ - содержит презентацию.
proxy_analyzer/ - содержит скрипт proc_log_v07.pl и всяческие примеры конфигов. Чтобы понять, как там все работает, самое простое - посмотреть код, ничего волшебного там нет.
ryocrawler/ - содержит краулер URL к которому прикручены yara-правила. Соль краулера в том, что он перед тем как применять yara-правила делает деобфускацию java script-а jsunpack-ом.
SEC-rules/ - содержит примеры правил SEC-а, упомянутые (и не упомянутые) в презентации.
update_macs/ - содержит тул для корреляции IDs пользователя (login-ip-mac-switch-port) и отслеживания истории изменений (~ истории перемещений). Проблема этого тула, что он сильно кастомизируется под инфраструктуру => его настройка может занять очень продолжительное время. Другая, не менее важная проблема, что приведенные в update_macs/www/ cgi-ки не лишены всякого рода sqli (о чем я честно заметил в презентации, устно), поэтому используйте их с осторожностью, только с авторизацией.
lab/pcap/ - содержит дамп трафика, упомянутый в презентации.
lab/proc_logs/logs_samples.7z - примеры логов, которые можно попарсить скрптом proc_logs*.pl
lab/proc_logs/run_commands.txt - содержит примеры запуска
lab/proc_logs/proc_log_configs/ - содержит варианты конфигов для лабораторного запуска.
mlogparser/ - оболочка для logparser-а для складывания логов в базу.


2 comments:

Anonymous said...

При переходе по ссылке на презентацию выпрыгивает уведомление про Blackhole. Это прикол такой?

Sergey Soldatov said...

Там в презе есть фрагменты логов, которые SlideShare доблестно выкусил :-)
Пофиксим заменой 'http' на 'hxxp'