Conocimiento libre para todos....yo picho...: Nepenthes on debian

Saludos raza......con la novedad y como buen torreonence novedoso, instale el nepenthes en mi maquina....ahi les va como le hice y los resultados obtenidos...

Primero:
"Cosa mas sencilla mi negro...."

apt-get install nepenthes

Una vez instalado, edita /etc/nepenthes/nepenthes.conf y quita la documentacion de la linea "submitnorman.so", "submit-norman.conf", "" para usar Norman sandbox. El contenido del archivo submit-norman.conf deberia verse asi:


submit-norman
{
        // this is the adress where norman sandbox reports will be sent
        email   "my.email@example.com";
};

Esto enviara cada sumisión (submission) hacia la caja de arena (Norman's sandbox),el cual reportara en tiempo real un analisis y enviara una copia de resultados al correo. Esto puede darte informacion muy valiosa sobre los que el binario hace sin tener que executarlo en tu maquina virtual, ,o tener que hacer ingenieria inversa.

Cuando tu tienes a Nepenthes arriba y correindo, deberian de estar un gran numero de puertos comunes de TCP/IP escuchando, esto se puede ver asi:

#lsof -i

nepenthes 1824 nepenthes 6u IPv4 28453 TCP *:pop3 (LISTEN)
nepenthes 1824 nepenthes 7u IPv4 28454 TCP *:imap2 (LISTEN)
nepenthes 1824 nepenthes 8u IPv4 28455 TCP *:imap3 (LISTEN)
nepenthes 1824 nepenthes 9u IPv4 28456 TCP *:ssmtp (LISTEN)
nepenthes 1824 nepenthes 10u IPv4 28457 TCP *:imaps (LISTEN)
nepenthes 1824 nepenthes 11u IPv4 28458 TCP *:pop3s (LISTEN)
nepenthes 1824 nepenthes 12u IPv4 28459 TCP *:2745 (LISTEN)
nepenthes 1824 nepenthes 13u IPv4 28460 TCP *:6129 (LISTEN)
nepenthes 1824 nepenthes 14u IPv4 28461 TCP *:loc-srv (LISTEN)
nepenthes 1824 nepenthes 15u IPv4 28462 TCP *:microsoft-ds (LISTEN)
nepenthes 1824 nepenthes 16u IPv4 28463 TCP *:1025 (LISTEN)
nepenthes 1824 nepenthes 17u IPv4 28465 TCP *:https (LISTEN)
nepenthes 1824 nepenthes 18u IPv4 28466 TCP *:17300 (LISTEN)
nepenthes 1824 nepenthes 19u IPv4 28467 TCP *:2103 (LISTEN)
nepenthes 1824 nepenthes 20u IPv4 28468 TCP *:eklogin (LISTEN)
nepenthes 1824 nepenthes 21u IPv4 28469 TCP *:2107 (LISTEN)
nepenthes 1824 nepenthes 22u IPv4 28470 TCP *:3372 (LISTEN)
nepenthes 1824 nepenthes 23u IPv4 28471 UDP *:ms-sql-m
nepenthes 1824 nepenthes 24u IPv4 28472 TCP *:3127 (LISTEN)
nepenthes 1824 nepenthes 25u IPv4 28473 TCP *:netbios-ssn (LISTEN)
nepenthes 1824 nepenthes 26u IPv4 28474 TCP *:3140 (LISTEN)
nepenthes 1824 nepenthes 27u IPv4 28475 TCP *:5554 (LISTEN)
nepenthes 1824 nepenthes 28u IPv4 28476 TCP *:1023 (LISTEN)
nepenthes 1824 nepenthes 29u IPv4 28477 TCP *:27347 (LISTEN)
nepenthes 1824 nepenthes 30u IPv4 28478 TCP *:5000 (LISTEN)
nepenthes 1824 nepenthes 31u IPv4 28479 TCP *:webmin (LISTEN)
nepenthes 1824 nepenthes 32u IPv4 28480 TCP *:nameserver (LISTEN)
nepenthes 1824 nepenthes 33u IPv4 28481 TCP *:www (LISTEN)

En este momento ya empezo a mostrase al exterior como una compu con todo abierto, si no se levanto Nepenthes en la instalacion puedes ir a:

#cd /etc/init.d

y correr

./nepenthes start

o para detenerlo

./nepenthes stop

Ahora los binarios capturados los puedes ver en:

# ls /var/lib/nepenthes/binaries/
742091799095068cd3b92b55d608206c  9f3c12eb543da6b24bd5d4f28f402449
94d66f9f38afd3e61a6b6d3e7cf7e631  dd5a39c1281a7a7cb0a1978aa5412fd8

# ls /var/lib/nepenthes/hexdumps
1017f0cc46712c297b8fad2ee3822667.bin  92261ac1d2be8b6a0c5fd246beb47996.bin
16d10ffc141cf929e742d9471e041ae4.bin  96463e6dbbf013ec33d71ebea2edd168.bin
1b3e10cd3d848491aab673cd72f0da28.bin  9a170fdd26368c4e8b1585e628b4da47.bin
245fe9bf02a396973243e533b8d58e71.bin  9a254f0cc3c6d3370bc83a61329f4652.bin
2472048167643e983d8064a3202eb80d.bin  9b4b68b78f970c13144db544bd56202d.bin
..........

Los archivos log tambien indican quien y de donde cada binario es obtenido:

#cd /var/log/nepenthes

#ls

logged_downloads logged_submissions

Para ver el contenido:

compu:/var/log/nepenthes# pico logged_dowloads

[2007-08-20T10:21:26] ftp://1:1@148.243.59.30:5574/Netsystem.exe
[2007-08-20T12:20:58] ftp://1:1@148.243.61.57:13134/eraseme_13750.exe
[2007-08-20T12:36:49] ftp://1:1@148.243.90.82:18765/eraseme_81675.exe
[2007-08-20T12:49:00] ftp://1:1@148.243.90.157:31482/eraseme_47128.exe
[2007-08-20T13:21:44] ftp://anonymous:guest@nohostyet:21/mmf32.exe
[2007-08-20T14:22:02] ftp://1:1@148.243.61.197:32727/eraseme_14128.exe
[2007-08-20T14:58:01] ftp://reviv:hxedb0x42@ssffttpp.jackill07.biz:31/msv.exe
[2007-08-20T15:04:11] ftp://1:1@148.243.61.197:32727/eraseme_68871.exe

y

compu:/var/log/nepenthes# pico logged_submissions

[2007-08-22T00:11:45]link://148.243.90.123:27852/jI1bjQ==dd5a39c1281a7a7cb0a1978aa5412fd8
[2007-08-22T00:51:07]link://148.243.90.123:27852/jI1bjQ==dd5a39c1281a7a7cb0a1978aa5412fd8
[2007-08-22T01:01:15]link://148.243.90.123:27852/jI1bjQ==dd5a39c1281a7a7cb0a1978aa5412fd8
[2007-08-22T17:52:10]ftp://1:1@148.243.61.160:33312/setup_33865.exe 94d66f9f38afd3e61a6b6d3e7cf7e631
[2007-08-22T17:57:14]ftp://1:1@148.243.61.160:33312/setup_78765.exe 94d66f9f38afd3e61a6b6d3e7cf7e631

De aqui puedes checar tu los archivos que se estan bajando a tu red, y de ahi buscar el mejor antivirus que te pueda ayudar, o blockear las direcciones en tu firewall.

Espero que se comprenda la redaccion, cualquier duda, comentario o correcion lo agradecer bastante...hasta luego

2 comentarios:

Unknown dijo...: Excelente referencia de nepenthes.

Salu2.; 27/7/08, 20:44
Anónimo dijo...: hola por favor tengo un problema corriendo el nepenthes me dice lo siguiente: [ crit mgr module ] Failed to load library "/usr/lib/nepenthes/submitnepenthes.so": /usr/lib/nepenthes/submitnepenthes.so: cannot open shared object file: No such file or directory
[ crit mgr module ] ERROR LOADING MODULE /usr/lib/nepenthes/submitnepenthes.so: SHUTTING DOWN
dame una mano que puede ser? o dame tu mail para escribirte saludos; 17/8/09, 18:16