Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Análisis y Diseño de Malware => Abril negro => Mensaje iniciado por: animanegra en 27 Abril 2017, 15:20 PM

Título: [Abril negro] SSHReflecter
Publicado por: animanegra en 27 Abril 2017, 15:20 PM
    Nombre del autor: animanegra
    Nombre de la herramienta: SSHreflecter
    Lenguaje(s) en los que está diseñado: python

    Descripción del trabajo:

    La herramienta se ejecuta como un servicio. Necesita la ruta a una clave RSA generada con ssh-keygen.
    Esta orientada en el contexto en el que estamos, en el que los gusanos automaticos basados en
    diccionarios sencillos consiguen tomar el control de equipos que hacen ataques a terceros. De esta manera la idea es simple, reflejar las credenciales al atacante para ver si alguna hace login en su host.
    En principio si se ha infectado con un gusano básico implica que la base de datos usada por defecto funcionará tambien para entrar en el.
    La "suite" se compone de dos herramientas, la primera lo que permite es mostrar la IP un usario valido y un password valido en la maquina del atacante. EL programa se queda escuchando y utiliza el ssh para intentar logearse en el atacante. Si las credenciales son validas, muestra por pantalla el usuario y la password, si no no.

    Ejecucion:

                    python SSHreflecter.py path_to_rsa_key_file

  Por contra el segundo programa es solo pasivo, y lo que hace es simplemente mostrar por pantalla los usuarios y passwords utilizados por los atacantes para intentar entrar.

   Ejecución:

                     python SSHreflecterDBgen.py path_to_rsa_key_file

    Link de descarga:  https://github.com/4nimanegra/SSHreflecter (https://github.com/4nimanegra/SSHreflecter)
Título: Re: [Abril negro] SSHReflecter
Publicado por: animanegra en 16 Mayo 2017, 13:13 PM
NOTA:

He ampliado la suite reflecter con servicio de FTP, SMTP y TELNET. Son programas .py aparte asi que creo que se ve bien cuales formaban parte del programa original y cuales no.

Solo he hecho por ahora la version honeypot que no realiza ataque, simplemente se queda con la direccion IP usuario y passwords que han intentado utilizar en el ataque y lo saca por pantalla.

El servicio de reflexion de usuarios y password igual no tiene sentido en ftp o smtp asi que no hare version que ataca con esos servicios. Pero si del telnet que parece que tiene sentido que una maquina que te ataque dicho servicio pueda haber sido atacada del mismo modo.

Saludos.