Latest Security News

GEO IP - שימוש ב PERL לזיהוי מקורות שמות אתרים וכתובות IP



לא אחת אני נזקק לזיהוי מקור עולמי של כתובות IP המתקיפות את הארגון או זיהוי מידע הנשלח מהארגון .
נכון להיום אין לי כלי מסחרי היודע לנתח את נתוני ה FW ,PROXY וכו ולהראות מיפוי עולמי של גישות אלו.

קיימות מספר חבילות PERL שדרכם ניתן לפרסר כתובות IP ושמות DOMAIN ולזהות את ארץ המקור
אני אתמקד בחבילה: Geo::IPfree
את החבילה ניתן להוריד בקלות דרך ה PACKEGE MANAGER של ה ACTIVE PERL ,החבילה כוללת מספר יכולות אשר ניתן ללמוד עליהם כאן:
http://search.cpan.org/~bricas/Geo-IPfree-1.101650/lib/Geo/IPfree.pm
בנוסף החבילה מגיעה עם קובץ DAT המהווה למעשה את ה DB המקומי של הרשתות בעולם .
את הקובץ רצוי לשדרגאחת לשבוע עד חודש  כאן:
http://software77.net/geo-ip/?DL=4&x=Download
יש למקם אותו בספרית ה PERL במקום הקובץ המקורי המגיע עם החבילה:












 סקריפט לדוגמא הקורא מקובץ CSV את העמודה הראשונה - בודק אותה מול ה GEOIP ומחזיר קובץ CSV חדש בתוספת העמודה הגאוגרפית:

ניתן לשנות ולשהתמש בחלקים בהערה במקום הקיים

להורדת הסקריפט:
https://docs.google.com/leaf?id=0B2RudizokeYDMzhjMjQ4NTQtM2RlMi00YzBlLTkwMGUtNGVmYWY4NWE1YThh&sort=name&layout=list&num=50



















Stuxnet - וירוס חדש +ZERO DAY חדש



רימה חדשה נחתה ביולי 2010 .בכינויים:stuxnetStuxnet (McAfee) , RTKT_STUXNET.A (Trend Micro) , Win32/Stuxnet.A (CA)  .
שני דברים מעניינים בתולעת הזאת ושעבורם הגוף שהזמין את התולעת שילם ה ר ב ה  כסף  להאקר:
  1. התולעת מתקינה שני דרייברים (עבור הROOTKIT) הנראים חתומים בחיתום חוקי של חברת  Realtek ,מעניין איך זה קרה...
  2. שימוש ב ZERODAY חדש הפועל על כל סוגי מערכות ההפעלה חלונות :CVE-2010-2568 המנצל פגיעות בקיצור דרך ,קבצי .LNK.
התולעת מתרבה דרך התקני USB ושיתופים ברשת וזאת ללא שימוש במנגנון ה AUTORUN הידוע לשימצה ונחסם ברוב הארגונים.

לבדיקת ה ZERODAY מול מערכות ההגנה הארגוניות :

מידע נוסף: