Taggat med: Kali Linux

Kali Purple från OffSec

Kali Purple

Förutom att Offensive Security numera går under namnet OffSec så har företaget även släppt en ny version av Kali Linux som heter Kali Purple.

Som det nya namnet lite avslöjar så handlar det om en Linux-distribution som är anpassad för Purple-Teaming eller Blue-Teaming, dvs mer defensiv cybersäkerhet än offensiv som Kali Linux är mest känt för.

Och givetvis så är Kali Purple proppad med över 100 st olika verktyg, och för att nämna några:

  • Arkime full packet capture (tidigare Moloch)
  • Cyberchef
  • Elasticsearch SIEM
  • GVM vulnerability scanner
  • TheHive incident response platform
  • Malcolm
  • Suricata IDS
  • Zeek IDS

Även så följer alla andra verktyg som vi är bekanta med från Kali Linux med också.

Menystrukturen följer NIST CSF:

  1. Identify
  2. Protect
  3. Detect
  4. Respond
  5. Recover

Med följer även Kali Autopilot som låter dig bygga olika attackscenarion samt en community Wiki som låter dig läsa på om olika defensiva verktyg och hur du använder dessa.

Skärmdumpar

Kali Autopilot

Kali Autopilot

SOC-in-a-box

Kali Purple Soc in a box

Test av nya Kali Linux 2019.4

Det har precis släppts en ny version av Kali Linux som går under namnet 2019.4 och är således den fjärde upplagan i år.

Jag testade att uppgradera min Vagrant-installation genom att köra:

vagrant box update

Och sedan köra en vagrant destroy samt vagrant up så lirade allt. Givetvis går det även att uppgradera genom att köra apt dist-upgrade.

Jag stöter dock på en hel del strul: Första gången jag startar webbläsaren så krashar den virtuella maskinen. Samt när skärmsläckaren går igång så låser sig hela VM:en, vet inte om detta är relaterat till VirtualBox.

Nyheter i Kali Linux 2019.4 inkluderar följande:

  • Ny skrivbordshanterare: Xfce
  • Nytt GTK3-tema
  • Nytt läge för “Kali Undercover”
  • Nytt dokumentationssystem som använder git
  • Public Packaging – getting your tools into Kali
  • Kali NetHunter KeX – Fullständig Kali desktop på Android-baserade enheter
  • BTRFS-filsystem (b-tree) under setup
  • Stöd för PowerShell
  • Kernel är uppgraderad till Linux 5.3.9
  • Samt mängder av uppdateringar och buggfixar

Att man gått bort från Gnome till fördel för Xfce beror bl.a på prestandaförbättringar och att Xfce nu kan köras på flertalet plattformar som Kali stödjer såsom ARM.

Skärmdump från nya fönsterhanteraren Xfce:

Inloggningsfönstret:

Stöd för nytt ”Undercover mode” som gör att du som vill använda Kali på mer publika miljöer inte ska sticka ut allt för mycket:

Kali Linux Undercover Mode

Gillar det du läser? Stöd mig gärna via Patreon, alla bidrag hjälper.

Jag testade även att installera Microsoft PowerShell version 6.2.2 genom att köra:

apt install powershell

Och sedan testade jag att ladda hem en fil efter att ha startat ett PowerShell Shell med pwsh:

Testa lösenord med THC Hydra v8.2

hydraHydra tillsammans med ncrack och medusa är ett av de mer populära verktygen för att fjärrmässigt testa lösenord, exempelvis över Internet. Hydras första version kom ut 2001 och grundades av van Hauser från hacker-gruppen THC (The Hacker’s Choice).

Denna nya version som nyss släpptes heter v8.2 och har stöd för bl.a. TLS SNI vilket gör det möjligt att skicka med domännamn i TLS/SSL-förbindelser. Något som alla moderna webbläsare gör i dagsläget, så inte ett SSL-certifikat behövs per IP-adress.

Test av Hydra 8.2

Vi laddar hem den senaste versionen 8.3-dev från Github och testar att forcera lösenordet till användaren IEUser via ssh:

THC Hydra 8.3

Observera att hydra är beroenden av en mängd tredjepartsbiblioteket såsom openssl, libssh och zlib. Din kompilering kan lyckas men när du ska testa något protokoll så kan du få ett meddelande att den modulen inte finns inkompilerad.

När jag testar med Remote Desktop (RDP-modulen) så lyckas inte Hydra identifiera rätt lösenord konstigt nog. Enbart crowbar lyckas med detta, och medusa som följer med Kali Linux har inte rdp.mod (RDP modulen) med som standard.

Hela listan med protokoll som stöds är:

 Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.