Esta semana tivemos como de costume várias regras adicionadas para proteção client-side tanto do VRT como do ET . Isso mostra como os atacantes estão cada vez mais criando formas de explorar o lado mais fraco da segurança, os usuários . Embora eu estivesse um pouco offline tentei me manter antenado nas regras e notícias da semana .
O VRT lançou os seguintes updates durante essa semana:
16453 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 1 (specific-threats.rules, Medium)
16454 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 2 (specific-threats.rules, Medium)
16455 <-> SPYWARE-PUT Keylogger egyspy keylogger 1.13 runtime detection (spyware-put.rules, Medium)
16456 <-> SPYWARE-PUT Rogue-Software ang antivirus 09 runtime detection (spyware-put.rules, High)
16457 <-> BACKDOOR Trojan.Downloader.Win32.Cutwail.AI runtime detection (backdoor.rules, High)
16458 <-> WEB-CLIENT Autonomy KeyView SDK Excel file SST parsing integer overflow attempt (web-client.rules, High)
16459 <-> SPECIFIC-THREATS Trojan command and control communication attempt (specific-threats.rules, High)
16460 <-> WEB-MISC text/html content-type without HTML - possible malware C&C (web-misc.rules, Medium
Os sid 16453 e 16454 são regras para proteção do cve,2009-3676 no qual ele busca um pacote na porta 445 com tamanho de 4 bytes que causaria DoS na negociação do protocolo SMB v1 e v2 . Se você usa o sensor em parte da rede que possui compartilhamento de arquivos ambas as regras devem ser utilizadas visto a facil exploração do DoS via scapy por exemplo.
Como sempre várias regras de Spywares , Backdoors e ameças especificas que como sempre saliento são interessantes para rodar caso seu sensor monitore seus usuários .
Para entendimento em especial da assinatura "WEB-MISC text/html content-type without HTML - possible malware C&C" recomendo que leiam esse ÓTIMO post feito pelo VRT da Sourcefire sobre Zeus/Zbot http://labs.snort.org/papers/zeus.html . Realmente essa regra é mandatória habilita-la mas cuidando para falsos positivos pois a regra pode gerar alertas para web sites mal desenvolvidos .
Lista completa das mudanças do VRT http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-03-04.html
O Emerging-Threats por sua vez realizou as seguintes mudanças:
2010862 - ET WEB_SPECIFIC_APPS Possible APC Network Management Card Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010863 - ET WEB_SERVER LANDesk Command Injection Attempt (emerging-web_server.rules)
2010864 - ET WEB_SERVER HP OpenView /OvCgi/Toolbar.exe Accept Language Heap Buffer Overflow Attempt (emerging-web_server.rules)
2010865 - ET WEB_SPECIFIC_APPS IBM Possible Lotus Domino readme.nsf Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010866 - ET CURRENT_EVENTS Hostile domain, NeoSploit FakeAV google.analytics.com.*.info (emerging-current_events.rules)
2010867 - ET CURRENT_EVENTS Potential FakeAV download Setup_103s1 or Setup_207 variant (emerging-current_events.rules)
2010868 - ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile (emerging-user_agents.rules)
2010869 - ET POLICY PE EXE or DLL Windows file download (2) (emerging-policy.rules)
2010870 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (kav) (emerging-current_events.rules)
2010871 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (nte) (emerging-current_events.rules)
2010872 - ET TROJAN Pragma\: hack Detected Outbound - Likely Infected Source (emerging-virus.rules)
2010873 - ET WEB_CLIENT Opera User-Agent Flowbit Set (emerging-web_client.rules)
2010874 - ET WEB_CLIENT Possible Opera Web Browser Content-Length Buffer Overflow Attempt (emerging-web_client.rules)
2010875 - ET TROJAN Blackenergy Bot Checkin to C&C (2) (emerging-virus.rules)
Outras várias que foram adicionadas para monitorar tráfego
2400009 - ET DROP Spamhaus DROP Listed Traffic Inbound (emerging-drop.rules)
2404052 - ET DROP Known Bot C&C Server Traffic TCP (group 27) (emerging-botcc.rules)
2404053 - ET DROP Known Bot C&C Server Traffic UDP (group 27) (emerging-botcc.rules)
2406660 - ET RBN Known Russian Business Network IP TCP (331) (emerging-rbn.rules)
2406661 - ET RBN Known Russian Business Network IP UDP (331) (emerging-rbn.rules)
A regra ET POLICY PE EXE or DLL Windows file download embora muito interessante acredito que ocorra muito falso positivo visto que a mesma alertara para download de EXE válidos . Um regra legal é a que comentamos no último post "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" http://spookerlabs.blogspot.com/2010/03/possivel-executavel-windows-enviado.html .
Outra regra que monitora User-Agent anomalos seria a ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile . Infelizmente monitorar User-Agent é algo complicado visto que existe milhares de UA e um simples espaço pode bypassar a regra devido a maiora das regras de UA não possuirem pcre por performance.
As regras de Current_Events podemos considerar algo para ameças momentaneas e ativa-las sempre pode identificar algo na sua rede =) .
Uma regra que li uma matéria muito legal foi sobre o Black Energy versão Trojan http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487 no qual o ET criou a regra "ET TROJAN Blackenergy Bot Checkin to C&C (2)" . Se lerem o artigo poderão ver qual fantástico é a idéia da botnet e resultado final. Embora a mesma tenha em meta bancos da Russia e Ucrania a sua máquina pode ser útil para o possível ataque de DDoS, ou seja, não custa muito ativar a regra e ver o que ela pegara .
Analisando o post sobre Blackenergy2 http://www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2 enviei também para o ET duas sugestões de regras que foram aceitas :
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 126
Pragma: no-cache
sksgh=E22EA13DA2170ACCC10CBA67C12ED8CB83774E032FC65BAEC5FA5CD826694619FABBF69297335C5A91BD02B2C7BB1E5AA0649991F2D6613888AD6749
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x HTTP Request with Encrypted Variables"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"sksgh="; distance:0; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
BlackEnergy v2.x Plugin Download Request
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 43
Pragma: no-cache
getp=ddos&id=xCOMP_3FA21CD8&ln=en&cn=US&nt=2600&bid=1
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x Plugin Download Request"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"getp=";content:"id=";content:"ln=";content:"bid=";content:"nt=";content:"cn=";classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
Lista completa de mudanças do ET em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-March/006657.html
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Nenhum comentário:
Postar um comentário