domingo, 31 de janeiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 1 (25 Jan 2010/31 Jan 2010)

Começarei com esse post uma serie semanal que pretendo postar todo domingo ou segunda-feira de cada semana comentando sobre os updates realizados pelo Emerging-Threats e as regras do VRT (Oficiais da Sourcefire). Aqui não farei comentários de updates de regras antigas ou algo relacionado e também pretendo adicionar links de referência de for o caso .

Inicialmente vamos a update do VRT lançado em 28/01/2010

http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-01-28.html

O update possui

3 regras com alta criticidade
1 regra de baixa criticidade

Analisando as regras a que mais chamou atenção apesar foi a 16391 <-> SPECIFIC-THREATS Gozi Trojan connection to C&C attempt (specific-threats.rules, High) pois olhadando a referência que era a analise do sample da mesma a detecção dos AntiVirus foi 0 de 40 o que cada vez mais demonstram a fragilidade dos AV's e necessidade crescente de multiplos pontos de proteção . Vejam a referência citada na regra AQUI .


Sobre o Emerging-threats vocês podem acompanhar as mudanças da semana assinando a lista ou vendo o archive da lista . O desta semana pode ser visto em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005939.html

Algumas regras que achei interessante

ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk (emerging-policy.rules) - devido ao 0day correndo pela internet e alguns grandes portais falando que não suportarão mais o mesmo é legal voce habilitar essa regra . Logicamente se no seu parque possuir muitas maquinas com IE ainda e for do seu conhecimento será um PESSIMO negocio habilitar a mesma .

ET TROJAN Oficla Russian Malware Bundle C&C instruction response with runurl (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
ET TROJAN Oficla Checkin (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)

O Oficla foi o nome dado aos problemas de um possivel C&C que o Aurora formaria. Essas quatros regras detectam essa possivel comunição avisando para maquinas da sua rede que façam parte da botnet .

Existem algumas regras que iniciam com "ET EXPLOIT FTP" no qual eu não usuaria visto que o snort possuem o pre-processador FTP/TELNET e no caso eles alegam que seria a detecção de comando FTP sem o usuário ter se logado o que eu acho que temos que detectar o exploit/falha que possibilitou a realização dos comandos e não o pos-detection (mas como frisado essa é minha opinião) .

Ao contrario do VRT o ET possui um ruleset que costumo dizer que é de administrador pra administrador pegando ameaças mais atuais e do dia a dia sendo que possui updates bem maiores de regras frequentemente mas vale frisar que sem um QA de performance o que obriga voce a usá-lo com maior cuidado .

Sempre vale frisar que não é porque a regra é crítica ou baixa ela deva ser habilitada ou não, vale muito analisar se sua rede esta sujeita aos ataques visto que muitas regras podem comprometer a melhor performance do seu IDS/IPS.

Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .

Até o próximo SRW .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

sexta-feira, 29 de janeiro de 2010

whois atualizado para 1/8 alocado para APNIC

Como muitos sabem o range 1.0.0.0/8 foi alocado para APNIC . A alguns dias atrás o whois ainda estava desatualizado mas agora já esta ok =) . Como comentaram no twitter será legal quem possuir o ip 1.2.3.4 nem de DNS precisara heheheh.

Whois realizado dia 24/01/2010

spooker@notsecure:~$ whois 1.2.3.4

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2010-01-21 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
spooker@notsecure:~$

Whois realizado hoje 29/01/2010

spooker@notsecure:~$ whois 1.2.3.4

OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: APNIC-1
NetHandle: NET-1-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS2.LACNIC.NET
NameServer: NS-SEC.RIPE.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:
Updated: 2010-01-27

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net

# ARIN WHOIS database, last updated 2010-01-28 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html


Found a referral to whois.apnic.net.

% [whois.apnic.net node-3]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 1.2.3.0 - 1.2.3.255
netname: Debogon-prefix
descr: APNIC Debogon Project
descr: APNIC Pty Ltd
country: AU
admin-c: AP16-AP
tech-c: AP16-AP
mnt-by: APNIC-HM
mnt-routes: MAINT-APNIC-DEBOGON
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20100122
status: ASSIGNED PORTABLE
source: APNIC

route: 1.2.3.0/24
descr: APNIC debogon project testing
origin: AS12654
country: AU
mnt-by: MAINT-APNIC-DEBOGON
changed: hm-changed@apnic.net 20100122
source: APNIC

person: Arth Paulite
nic-hdl: AP16-AP
e-mail: arth@apnic.net
address: PO BOX 2131
address: 4064 QLD
phone: +617-38583188
fax-no: +617-38583199
country: AU
mnt-by: MAINT-APNIC-HELPDESK
changed: hm-changed@apnic.net 20080917
source: APNIC


spooker@notsecure:~$

Mais info:

http://seclists.org/nanog/2010/Jan/776

http://tech.slashdot.org/story/10/01/24/2139250/IPv4-Free-Pool-Drops-Below-10-10008-Allocated?art_pos=1

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

quarta-feira, 27 de janeiro de 2010

Brasileiros/Segurança no twitter - Update 30/01/2010

Baseado no post de nossos hermanos Argentinos resolvi postar sobre os security brazukas twiteiros que estão perdidos por ai =)


Last Update: 30/01/2010 - 16:00 am

Lembrando que o Anchises fez um post com vários profissionais também em http://anchisesbr.blogspot.com/2010/01/seguranca-72-perfis-de-profissionais-de.html

Update 30/01/2010
@brinhosa - Rafael Brinhosa
@WeberRess - Weber Ress
@danielcid - Daniel Cid
@tbordini - Thiago Bordini
@kynder1 - Hudson G M Figueredo
@lymas - Joao Lyma
@1bogus - Rubens Hilcko
@chm0dz - Cristiano Fernandes
@AlexandreFiori - Alexandre Fiori
@rainer_alves - Rainer Alves
@gsilos - Fabiano Silos
@djserdan - Cassiano Serdan
@coelhobruno - Bruno Coelho Costa
@lookbeat - Pedro Ortale Neto
@thmusa - Thiago Musa
@rncury - Roberto Cury Jr.
@elmalmeida - Emanuel Almeida
@b1n - Marcio Ribeiro
@felipesalum - Felipe Salum
@wolmergodoi - Wolmer Godoi
@alanjumpi - Alan Jumpi
@caloni - Caloni
@besecure - Pedro Bueno
@cnacorrea - Carlos 'Bill' Nilton
@vpereira - Vitor Pereira
@marcelotoledo - MarceloToledo
@arnaldostream - Arnaldo Pereira
@consultorlinux - Alberto Reis
@dverzolla - David Verzolla
@gustavorobertux - Gustavo Roberto
@egodinho - Edu Godinho
@anchisesbr - Anchises de Paula

Lista Inicial

@spookerlabs - Rodrigo Montoro
@mphx2 - Bruno Gonçalves
@ronaldotcom - Ronaldo Vasconcellos
@elduardo - Luiz Eduardo
@wcaprino - Willian Caprino
@jczucco - Jeronimo Zucco
@nelsonmurilo - Nelson Murilo
@welias - Wagner Elias
@ivocarv - Ivo Carvalho
@efjgrub - Edison Figueira Junior
@stdiasp - Sergio Dias
@juliocesarfort - Julio Cesar Fort
@evcneves - Eduardo Camargo Neves
@suffert - Sandro Süffert
@_eth0_ - Eduardo Serrano Neves
@clebeer - Cleber Brandão
@zaninotti - Thiago Zaninotti
@usscastro - Ulisses Castro
@nnovaes - Nelson Novaes
@julioauto - Julio Auto
@gustavoid - Gustavo Scotti
@nbrito - Nelson Brito
@altieres - Altieres Rohr
@rodrigoantao - Rodrigo Antao
@luizcabuloso - Luiz Cabuloso
@jespinhara - Joaquim Espinhara
@segfault - Carlos E. Santiviago
@aramosorg - Anderson Ramos
@bsdaemon - Rodrigo Rubira Branco
@famatte - Fernando Amatte
@filipebalestra - Filipe Balestra
@viniciuskmax - Vinicius K-Max
@alexandrosilva - Alexandro Silva
@joaorodolfo - João Rodolfo
@lzanardo - Luiz Zanardo
@fmilagres - Francisco Milagres
@leocm - Leonardo Cavallari
@assolini - Fabio Assolini
@fernandofonseca - Fernando Fonseca
@prenato - Paulo Renato
@lucasdonato - Lucas Donato
@rodrigojorge - Rodrigo Jorge


Eventos / Papers / Podcasts / Blogs / Grupos / Empresas

@ystscon - You Shot the Sheriff Conference
@istspodcast - Podcast You Shot The Sheriff
@thebugzine - The Bug! Magazine
@risesecurity - Rise Security Group
@h2hconference - Hackers 2 Hackers Conferente
@hcfbr - Hacker For Charities Brazil
@linhadefensiva - Linha Defensiva
@nstalker - Nstalker Web Security Scanner
@issabrasil - ISSA Brasil

Logicamente faltam pessoas nessa lista visto que não tive paciencia pra olhar todos os que sigo . Me enviem sugestões por favor para completa-la =).

Podemos também dividir isso em área que atuam como pentesters, network security, pesquisadores, auditores ...


Happy Hacking!

Rodrigo Montoro (Sp0oKeR)