sábado, 6 de fevereiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 2 (01 Fev 2010/07 Fev 2010)

O VRT da Sourcefire não realizou nenhum update essa semana mas pode prepara que na próxima semanas certamente lançaram várias regras visto a grande quantidade de updates que sairão no Patch Tuesday da Microsoft.

O Emerging Threats como citei sempre terá regras visto o foco um pouco diferente do VRT da Sourcefire . Abaixo a listagem de novas regras que sairam nessa semana .

ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX stack overfow Function call Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX Buildpath method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX GetDriveName method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DriveExists method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DeleteFile method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
ET DOS IBM DB2 kuddb2 Remote Denial of Service Attempt (emerging-dos.rules)
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET WEB_CLIENT VLC Media Player Aegisub Advanced SubStation (.ass) File Request flowbit set (emerging-web_client.rules)
ET WEB_CLIENT VLC Media Player .ass File Buffer Overflow Attempt (emerging-web_client.rules)
ET EXPLOIT Xerox WorkCentre PJL Daemon Buffer Overflow Attempt (emerging-exploit.rules)
ET WEB_CLIENT Possible Gracenote CDDBControl ActiveX Control ViewProfile Method Heap Buffer Overflow Attempt (emerging-web_client.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery UserCommand Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Ping UserCommand Attempt (emerging-web_specific_apps.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
ET TROJAN Zalupko/Koceg/Mandaph HTTP Checkin (2) (emerging-virus.rules)
ET POLICY Proxy TRACE Request - inbound (emerging-policy.rules)
ET POLICY TRACE Request - outbound (emerging-policy.rules)
ET WEB_SERVER Open-Proxy ScannerBot (webcollage-UA) (emerging-user_agents.rules)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
ET WEB_SPECIFIC_APPS HP System Management Homepage Input Validation Cross Site Scripting Attempt (emerging-web_specific_apps.rules)



Eu particularmente gosto das regras que monitoram botnet especialmente em grandes redes pois isso pode se transformar num grande problema visto que se uma máquina foi infectada por algo que seu AntiVirus não detectou o que não seria nenhuma novidade, possivelmente todo seu parque podera estar vulneravel e a detecção pro-ativa facilitara e dominuira seu trabalho certamente . Eu sugiro as regras abaixo a serem utilizadas.

ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)


Essas regras se analisarem são BEM similares até enviarei um e-mail pro Matt Jonkman sugerindo uma regra mais generica . Aproveitando um link de referência bem interessante sobre analise do Sasfis botnet pode ser visto em www.fortiguard.com/analysis/sasfisanalysis.html .


Outra regra interessante de ser utilizada é a regra abaixo que explora mais falhas do IE . Vale lembrar que as maiorias de regras que pegam ataques client-side precisam que seu snort.conf possua a configuração no pre-processador http_inspect de flow_depth 0, pois sem essa configuração somente será analisado os 300 primeiros bytes de resposta da requisição (porém tem que cuidar para performance). Escreverei algo em breve sobre client-side e snort =)

ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)


Outra falha que acho legal monitorar é o CSRF , nesse caso saiu para o Zenos como podem ver nessa regra "Zenoss Cross Site Request Forgery" . O CSRF geralmente é um ataque bem dificil de ser percebido por quem sofreu o que torna esse monitoramento caso utilize Zenoss interessante. Logicamente lembrando que a melhor solução é sempre utilizar a versão mais atual sem a falha mas monitorar nunca é demais =) .

Para ver as mudanças completas da semana no ET acesse: http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006081.html

Eu enviei algumas regras para alertas sobre Chat no Facebook mas ainda não fizeram comentários e quem sabe na próxima na estara por lá, de qualquer forma segue as regras sugeridas para quem quiser utilizar :

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (sending message)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/send.php";content:"facebook.com";sid:101010;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (buddy list)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/buddy_list.php";content:"facebook.com";sid:101011;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (settings)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/settings.php";content:"facebook.com";sid:101012;)

** Lembre de modificar o sid caso for utilizar .


Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .


Até o próximo SRW que certamente será cheio de novas regras especialmente para cobrir as novas correções do MS Patch Tuesday .

Happy Snorting


Rodrigo Montoro(Sp0oKeR)