Vi esse post demonstrando facilmente como pegar o binário através do pcap. Com certeza isso é MUITO interessante, até como exemplos podemos criar regras no snort para logar o tráfego de binários exe em portas http por exemplo, para depois fazermos a analise. Logicamente poderiamos fazer isso para outros protocolos, correlacionar com a politica de seguranca, usar da maneira que imaginar .
Por exemplo uma regra BEM simples para tráfego SMTP, não utilizem em ambientes de produção, caso queira podemos refinar num futuro, so mandar e-mail
alert $HOME_NET any -> $SMTP_SERVER 25 (msg:"Arquivo EXE para servidor de e-mail, possivel virus"; sid:100000000; content:".exe";nocase;)
Ou simplemesnte um GET web
alert $ HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Arquivo EXE recebido via GET porta 80";sid:10000000001;uricontent:".exe";nocase;)
Como citei, regras extremamente simples , so para ilustrar as possibilidades =)
O link para o artigo em inglês: "Pulling Binaries from pcap"
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Nenhum comentário:
Postar um comentário