Scribd Logo
Unggah

Selamat datang di Scribd!

  • Snort Slackshow

    Diunggah oleh

    tristaodearagao
    16 tayangan33 halaman

    Judul Asli

    snort-slackshow

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    16 tayangan33 halaman

    Snort Slackshow

    Diunggah oleh

    tristaodearagao

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 33

    Criando Regra para o Snort

    baseado no Malware

    Rodrigo Montoro (Sp0oKeR)


    About me
    • Analista de Intrusão @ CLM

    • Certificados
    – RHCE (Redhat Certified Engineer)
    – LPI Nível I (Linux Professional Institute)
    – SnortCP ( Snort Certified Professional)
    – MCSO (Módulo Certified Security Officer)

    • Membro
    – Snort-br , slackware-br , OSSEC HIDS , ISSA Brasil ,
    Owasp-br, CISSP-BR ...
    Agenda

    • Como funciona snort


    • Malwares
    • Entendendo as regras do snort
    • Analisando o Malware
    • Criando a regra para o downloader
    • Snort Brasil / Projeto Malwares-BR
    Estrutura Snort

    • Captura Pacotes
    • Decoders
    • Pré-Processadores
    • Engine de Detecção
    • Plugins de Saída
    • Manipuladores de Logs
    Fluxo Snort
    Decoders

    • Validação dos protocolos


    • Separa o header do payload
    – IP
    – TCP
    – UDP
    – MPLS ( 2.8.3 Beta)
    Pré-processadores

    • Normalização tráfego
    • Detecção Ataques
    • Fragmentação
    • Remontagem Pacotes
    • Mais conhecidos
    – http_inspect
    – rpc_decode
    – sfPortscan
    – Outros …
    Plugins de Saída

    • E-Mail
    • Banco de Dados
    • Resposta Ativa
    • Correlacionador de Logs
    Malwares

    • Spywares
    • Trojans
    • Worms
    • Vírus
    • Dialers
    • Adwares
    Hall of Fame

    • Blaster
    • Nimda
    • Code Red
    • SQL Slammer
    • Zobot
    Formato
    Snort Rules

    • General
    • Payload
    • Non-Payload
    • Post Detection
    General

    • msg
    • reference
    • sid
    • rev
    • classtype
    Payload
    • content
    • uricontent
    • pcre
    • offset
    • depth
    • rawbytes
    • byte_test
    • byte_jump
    Non-payload

    • flow
    • flowbits
    • flags
    • ip_proto
    • dsize
    Post-detection

    • session
    • resp
    • react
    • activates
    • activated_by
    • logto
    Exemplo Malware
    (Phising)
    From: WebCard Terra <webcards@terra.com.br>
    Date: 2008/8/18
    Subject: FW: Você é mais que especial para mim..

    Olá,
    Existe um presente especial esperando por você no site de cartões
    do Terra.
    Para recebê-lo, vá até o endereço abaixo no seu navegador.
    http://paginas.terra.com.br/XXXXXXXX/terracards2008/Cartoes.html?21:5

    Cartão valido por 10 dias


    Cartão enviado dia 18/8/2008 / 21:51:23
    Sandbox
    • Simulador da execução do Malware
    • Simular tráfego gerado (gerar pcap)
    • Exemplos:
    – CWSandbox Web
    – Norman Sandbox Web
    – chroot
    – vmware
    – Qemu
    – Xen
    CWSandbox
    Atividades na Rede
    Dados acessados …
    • http://213.13.145.4/brad.jpg (213.13.145.4)
    http://213.13.145.4/nossa.jpg (213.13.145.4)
    http://213.13.145.4/pnet.jpg (213.13.145.4)
    http://213.13.146.180/ (213.13.146.180)
    http://213.13.145.4/hiper.jpg (213.13.145.4)
    http://213.13.145.4/brasil.jpg (213.13.145.4)
    http://213.13.145.4/Ibama.jpg (213.13.145.4)
    http://213.13.145.4/sec.jpg (213.13.145.4)
    http://213.13.145.4/azul.jpg (213.13.145.4)
    http://213.13.145.4/paisagem.jpg (213.13.145.4)

    • SMTP: 212.55.154.44:587
    Criando a(s) Regra …
    - Uma para cada malware

    alert tcp $HOME_NET any -> 213.13.145.4 80 (msg:“Regra Download


    Malware (sapo.pt) Criada via analise sandbox”;flow:established;
    uricontent:“brad.jpg”;nocase; sid:1000001;rev:1);

    - PCRE usando somente uma regra

    alert tcp $HOME_NET any -> 213.13.145.4 80 (msg:“Regra Download


    Malware (sapo.pt) Criada via analise sandbox”;flow:established;
    content: “GET”; nocase; uricontent:“jpg”;nocase; pcre: “/(brad|nossa|
    brasil)\.jpg/i”;sid:1000001;rev:1);
    Regra Pós Infecção

    • Baixar o malware (downloader o fará)


    • Enviar Sandbox novamente
    • Analisar o comportamente novamente e
    criar assinatura
    • Mais complexo que a primeira regra
    • Máquina já infectada =/
    Mais Exemplos Sandbox
    Mas …. ?

    • Antivirus
    • Filtro de Conteúdos
    • Firewall
    Motivadores

    • Segunda Auditoria
    – AntiVirus
    – Firewalls
    – Proxies
    • Violação de Politicas
    • “Virtual Pacthing”
    Sobre Snort-BR

    • “Iniciada” Janeiro 2005


    • Membros
    – Site
    – Lista de E-mail ( mais de 500 participantes)
    • IRC (média 7 pessoas canal - #snort-br)
    • Encontros / Conferências / Webminars
    • Novo Site http://www.snort.org.br
    Projeto Malwares-BR
    • Conjunto de Regras de Malwares nacionais
    ( TIM , Vivo , Receita Federal, Cartões Terra,
    INSS , etc etc )

    • Como participar ?
    – Envio de link de malwares
    – Criação de regras baseado em pcap de sandboxes
    – Testes das regras usando em seus ambientes
    – Tunning de regras feita por outros
    Referências
    • http://www.clm.com.br
    • http://www.snort.org.br
    • http://www.snort.org
    • http://www.cwsandbox.org
    • http://www.spooker.com.br
    • http://www.norman.com
    • http://www.offensivecomputing.net
    Dúvidas ?

    http://www.spooker.com.br
    http://www.snort.org.br
    http://www.clm.com.br

    spooker@gmail.com

    Anda mungkin juga menyukai