baseado no Malware
• Certificados
– RHCE (Redhat Certified Engineer)
– LPI Nível I (Linux Professional Institute)
– SnortCP ( Snort Certified Professional)
– MCSO (Módulo Certified Security Officer)
• Membro
– Snort-br , slackware-br , OSSEC HIDS , ISSA Brasil ,
Owasp-br, CISSP-BR ...
Agenda
• Captura Pacotes
• Decoders
• Pré-Processadores
• Engine de Detecção
• Plugins de Saída
• Manipuladores de Logs
Fluxo Snort
Decoders
• Normalização tráfego
• Detecção Ataques
• Fragmentação
• Remontagem Pacotes
• Mais conhecidos
– http_inspect
– rpc_decode
– sfPortscan
– Outros …
Plugins de Saída
• E-Mail
• Banco de Dados
• Resposta Ativa
• Correlacionador de Logs
Malwares
• Spywares
• Trojans
• Worms
• Vírus
• Dialers
• Adwares
Hall of Fame
• Blaster
• Nimda
• Code Red
• SQL Slammer
• Zobot
Formato
Snort Rules
• General
• Payload
• Non-Payload
• Post Detection
General
• msg
• reference
• sid
• rev
• classtype
Payload
• content
• uricontent
• pcre
• offset
• depth
• rawbytes
• byte_test
• byte_jump
Non-payload
• flow
• flowbits
• flags
• ip_proto
• dsize
Post-detection
• session
• resp
• react
• activates
• activated_by
• logto
Exemplo Malware
(Phising)
From: WebCard Terra <webcards@terra.com.br>
Date: 2008/8/18
Subject: FW: Você é mais que especial para mim..
Olá,
Existe um presente especial esperando por você no site de cartões
do Terra.
Para recebê-lo, vá até o endereço abaixo no seu navegador.
http://paginas.terra.com.br/XXXXXXXX/terracards2008/Cartoes.html?21:5
• SMTP: 212.55.154.44:587
Criando a(s) Regra …
- Uma para cada malware
• Antivirus
• Filtro de Conteúdos
• Firewall
Motivadores
• Segunda Auditoria
– AntiVirus
– Firewalls
– Proxies
• Violação de Politicas
• “Virtual Pacthing”
Sobre Snort-BR
• Como participar ?
– Envio de link de malwares
– Criação de regras baseado em pcap de sandboxes
– Testes das regras usando em seus ambientes
– Tunning de regras feita por outros
Referências
• http://www.clm.com.br
• http://www.snort.org.br
• http://www.snort.org
• http://www.cwsandbox.org
• http://www.spooker.com.br
• http://www.norman.com
• http://www.offensivecomputing.net
Dúvidas ?
http://www.spooker.com.br
http://www.snort.org.br
http://www.clm.com.br
spooker@gmail.com