A semanas atrás fizemos (tradução do blog do VRT) o post no snort-br sobre o lançamento do novo pré-processador dcerpc2 no RC do snort 2.8.4 em http://snort.org.br/index.php?option=com_content&task=view&id=76&Itemid=43
Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.
http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html
Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules
Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2
Reportar Falso positivos ?
O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras
http://www.snort.org/vrt/falsepos.html
Qual o motivo de citar o Conficker ?
A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.
Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede
Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html
Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)
Happy Snorting!
Rodrigo Montoro (Sp0oKeR)
sexta-feira, 27 de fevereiro de 2009
quinta-feira, 26 de fevereiro de 2009
Sp0oKeR Virtual World
english
I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.
Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br
Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)
pt_BR
Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:
Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br
Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.
Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br
Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)
pt_BR
Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:
Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br
Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
quarta-feira, 25 de fevereiro de 2009
Novo blog / New blog
pt_BR
Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.
Espero contar com os leitores do outro blog (isso se voces existirem eheheh).
Continuem acompanhado e espero postar bastante novidades aqui.
english
After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".
I hope to keep readers from other blog here too (if anyone read that ) .
Keep following my blog and I hope to have news .
Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.
Espero contar com os leitores do outro blog (isso se voces existirem eheheh).
Continuem acompanhado e espero postar bastante novidades aqui.
english
After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".
I hope to keep readers from other blog here too (if anyone read that ) .
Keep following my blog and I hope to have news .
Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Assinar:
Postagens (Atom)