Aktualizacja w każdy: Poniedziałek

• Validin
• DNSViz
• DNS recon & research
• DNS History
• SecurityTrails
• ViewDNS
• dnsSPY
• Open Data

• SSL Server Test
• Certificate Transparency Search
• Certificate Search

• urlDNA
• URL and website scanner
• URL Query
• Phishcheck
• URLbase
• Site Shot
• Screenshot Guru

• Lookup Tool
• WHOIS
• Reverse WHOIS #1
• Reverse WHOIS #2
• McAfee Sitelookup
• Trend Micro Site Safety Checker
• ScamAdviser
• DShield API for Recent Domains

• RIPEstat
• BGP Tools
• IPify
• IPinfo
• InfoByIP
• AbuseIPDB
• FireHOL
• CrowdSec
• Spamhaus
• BotScout
• APIvoid
• I know what you download
• Scamalytics
• Sicehice
• IPQualityScore

• Shodan
• Censys
• RSECloud
• Hunter
• Full Hunt
• ZoomEye
• FOFA
• BinaryEdge
• Netlas
• ONYPHE
• CriminalIP
• LeakIX
• PublicWWW
• PulseDive
• ThreatBook Intelligence
• SilentPush
• GreyNoise
• WiGLE

• Udger
• Spur
• Proxy Detection Test

• Phishing Army
• OpenPhish
• Phish Report
• Phishtank
• PhishHunt
• PhishStats
• CheckPhish
• URLabuse
• Report unsafe site
• Google Safebrowsing
• Phishing.Database

• VirusTotal
• CrowdStrike Falcon Sandbox
• Recorded Future Triage
• FileScan
• MalShare
• Malcore
• UnpacMe
• Intezer
• YARAify
• Malware Bazaar
• Pandora
• Docguard
• ANY.RUN
• Antimalware analysis

• VirusExchange
• VirusShare
• Malware Traffic Analysis
• VX-Underground
• MWDB System

• Threat Vault
• IP & Domain Reputation Center
• ThreatMiner
• Intelligence X
• OTX ALIENVAULT
• ThreatFox
• IBM X-Force Exchange
• Malpedia Library
• The DFIR Report
• SURBL intelligence

• Otwarte Źródła
• OSINT Framework

• CyberChef
• Translation Engine for Rules
• JavaScript Deobfuscator

• Exposed
• HackedList
• Hudson Rock
• Have I Been Pwned

Ostatnia aktualizacja: 27.01.2025 21:50

Z

narzędziem utmpdump spotkaliśmy się pierwszy razy przy okazji ściągawki z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa. W tym wpisie rozwinę trochę użycie tego narzędzia i pokażę jak można go użyć od strony defensywnej, jak i ofensywnej. Pozornie nieznane przez wielu polecenie utmpdump jest doskonałym narzędziem do wykrywania manipulacji na plikach logowań. Jeśli chodzi o system Linux to często możemy polegać na następujących trzech artefaktach w celu określenia czynności logowania i wylogowywania użytkowników:

• /var/run/utmp – plik utmp pozwala odkryć informacje o tym, kto aktualnie korzysta z systemu.
• /var/log/wtmp – plik wtmp rejestruje wszystkie logowania i wylogowania. Jego format jest dokładnie taki jak utmp, z tą różnicą, że pusta nazwa użytkownika wskazuje na wylogowanie z powiązanego terminala. Co więcej, nazwa terminala “~” z nazwą użytkownika “shutdown” lub “reboot” wskazuje na zamknięcie lub ponowne uruchomienie systemu.
• /var/log/btmp – plik btmp zawiera wszystkie złe próby logowania do systemu.

Ponieważ pliki utmp, wtmp i btmp zawierają dane logowania wszystkich użytkowników, są one głównym celem modyfikacji lub usuwania wpisów przez intruzów i złośliwe oprogramowanie. Wiele rodzajów malware dla systemu Linux po prostu usunie te pliki i zastąpi je plikami o zerowej długości bajtów. Bardziej wyrafinowani napastnicy podejmują próbę wyczyszczenia poszczególnych wpisów jednak jest to trudniejszy sposób na zacieranie śladów i łatwo go zauważyć.
[ czytaj całość… ]