Novo Pré-Processador dcerpc2 e ruleset / Falso positivos / Conficker

A semanas atrás fizemos (tradução do blog do VRT) o post no snort-br sobre o lançamento do novo pré-processador dcerpc2 no RC do snort 2.8.4 em http://snort.org.br/index.php?option=com_content&task=view&id=76&Itemid=43

Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.

http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html

Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules

Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2

Reportar Falso positivos ?

O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras

http://www.snort.org/vrt/falsepos.html

Qual o motivo de citar o Conficker ?

A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.

Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede

Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html


Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)


Happy Snorting!

Rodrigo Montoro (Sp0oKeR)