Essa semana embora mesmo sem os updates da Microsoft tanto Emerging-threats como VRT lançaram bastante regras novas. A grande maioria foi pra client-side o que mostra que as ameaças estão cada vez mais crescentes para os usuários .
O VRT durante essa semana lançou 2 updates das regras com novos conteudos listados abaixo.
16438 <-> ORACLE WebLogic Server Node Manager arbitrary command execution attempt (oracle.rules, High)
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
16443 <-> CHAT deny Gmail chat DNS request (chat.rules, High)
16444 <-> SPECIFIC-THREAT HP StorageWorks storage mirroring double take service code execution attempt (specific-threats.rules, High)
16445 <-> SPECIFIC-THREATS Digium Asterisk IAX2 ack response denial of service attempt (specific-threats.rules, Medium)
16446 <-> RPC portmap Solaris sadmin tcp request (rpc.rules, Medium)
16447 <-> RPC portmap Solaris sadmin udp request (rpc.rules, Medium)
16448 <-> RPC portmap Solaris sadmin tcp adm_build_path overflow attempt (rpc.rules, Medium)
16449 <-> RPC portmap Solaris sadmin udp adm_build_path overflow attempt (rpc.rules, Medium)
16450 <-> SQL Jive Software Openfire Jabber Server SQL injection attempt (sql.rules, High)
16451 <-> WEB-CLIENT Palm WebOS 1.2.0 floating point exception denial of service attempt (web-client.rules, Medium)
Anúncio completo 23/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-23.html
16452 <-> WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High)
Anúncio completo 26/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-26.html
O VRT baseado na crescente ameaça do Zeus Botnet agora conhecida como Kneber e como citado no post anterior ( http://spookerlabs.blogspot.com/2010/02/zeus-botnet-snort-e-falsos-negativos.html ) lançou 4 regras adicionais para essa ameaça baseado no user-agent. Eu particularmente não sei como estas regras tem se comportado mas caso você tenha informações por favor nos informe. Como sugerido no outro post ativar essas regras é bem interessante:
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
Tirando a regra do gmail "CHAT deny Gmail chat DNS request" que é mais generica (ele detecta a resposta negativa da requisição do DNS do chatenable.mail.google.com ) e talvez do seu interesse caso precise bloquear o uso do mesmo na sua empresa do resto é muito espefico a produtos o que so torna o uso necessário caso tenham alguns dos produtos .
A falha especial que mandaram o update no dia 26 para WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High) me chamou atenção por nao ter um reference. Basicamente ele procura pelo conteúdo vbscript e que a extensão seja .hlp com \ no match também . Seria algo novo que pegaram em seu laboratorio ? Muito bom ativar ela e ver o que acontece .
Regras da semana do Emerging Threats
2010831 - ET TROJAN Fake AV - Downloader likely malicious payload download src=xrun) (emerging-virus.rules)
2010832 - ET TROJAN Fake AV Generic Download landing) (emerging-virus.rules)
2010833 - ET WEB_SPECIFIC_APPS Joomla intuit component intuit.php approval Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010834 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010835 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010836 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010837 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010838 - ET TROJAN WScript/VBScript XMLHTTP downloader likely malicious get?src= (emerging-virus.rules)
2010839 - ET WEB_CLIENT Possible Rising Online Virus Scanner ActiveX Control Scan() Method Stack Buffer Overflow Attempt (emerging-web_client.rules)
2010840 - ET WEB_CLIENT Viscom Software Movie Player Pro SDK ActiveX 6.8 Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010841 - ET WEB_CLIENT DX Studio Player Firefox Plug-in Command Injection Attempt (emerging-web_client.rules)
2010842 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010843 - ET WEB_SPECIFIC Joomla com_avosbilletsy Component id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010844 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010845 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010846 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010847 - ET WEB_SPECIFIC_APPS com_if_nexus controller Parameter Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010848 - ET WEB_SPECIFIC_APPS Joomla morfeoshow morfeoshow.html.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010851 - ET WEB_CLIENT Logitech VideoCall ActiveX Start method buffer overflow Attempt (emerging-web_client.rules)
2010852 - ET WEB_CLIENT WinDVD7 IASystemInfo.DLL ActiveX ApplicationType method buffer overflow Attempt (emerging-web_client.rules)
2010853 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010854 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010855 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010856 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010857 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010859 - ET TROJAN Buzus Trojan Proxy Attempt (emerging-virus.rules)
2010860 - ET TROJAN Buzus Proxy Server Response (emerging-virus.rules)
2010861 - ET TROJAN Zeus Bot Request to CnC (emerging-virus.rules)
As regras mais genericas podemos sempre frisar "ET TROJAN" no qual resurgiu do Trojan Buzus (http://www.pctools.com/mrc/infections/id/Trojan.Buzus/) com alterações de payload. Outra é a adição de mais uma regra de Zeus Bot para comunicação com o canal controlador e que não foi listada no ultimo post. Continuando nos TROJAN temos também o Fake AV e WScript/VBScript que é nova no ruleset (http://doc.emergingthreats.net/2010838) que são sempre validas ativa-las e roda-las por um tempo para até memos validar seu AV e Filtro de Conteúdo .
A regras de WEB_CLIENT são bem importantes e tivemos algumas novidades essa semana para proteçoes do Windows Defender (http://www.microsoft.com/windows/products/winfamily/defender/default.mspx) e uma para um plugin especifico do firefox( http://www.coresecurity.com/content/DXStudio-player-firefox-plugin ). Também tivemos updates para proteções de ActiveX (eu sinceramente sugiro desativar o ActiveX dos browsers caso você não tenha utilidade dentro da empresa que necessite disso obrigatoriamente)
Essa semana também como podem ver sairam regras para 3 componentes do Joomla(com_avosbillets,id_job,intuit.php) e caso utilizem os mesmo de suma importancia monitorar (logicamente atualizar mandatório no caso) .
Informações sobre todas as novas regras e mudanças do ET dessa semana pode ser encontrado em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006442.html
Se vocês repararem nas minhas sugestões eu sempre viso muito as proteções client side por as mesmas serem de uso mais geral e usuário sempre a maior ameaça .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Here I will post some security tips, articles / paper mine or from other blogs that I think interested . I Iove computer subjects related in special: - Penetration Tests - Network Intrusion Detection and Prevention - Network Behaviour - SIEM - Network Security Monitoring (NSM) - Incident Response - Firewall, - Host Intrusion Detection System - The Open Web Application Security Project (OWASP) - Capitulo Brasil - fuzzing - Vulnerability - Packet Analisys - Log Analysis - Beer =)
sábado, 27 de fevereiro de 2010
quinta-feira, 25 de fevereiro de 2010
Zeus Botnet / Snort e falsos negativos
Nesse post farei breve comentários da Zeus Botnet e derivados, bem como como se proteger e as regras do snort para detecção do mesmo que tentam mitigar mas certamente também tomam um baile para gerar alertas devido as constantes mudanças .
Zeus ( http://en.wikipedia.org/wiki/Zeus_(trojan_horse) ) surgiu a longo tempo atrás e hoje em dia a Zeus Botnet também é conhecida como Zeus , Zbot, PRG, Wsnpoem, Gorhax ,Kneber . Um dos facilitadores e comum uso é a disponibilidade do codigo, add-ons, obfuscadores entre outros . Algumas informações aqui http://www.technologyreview.com/computing/24641/page2/ .
O único sistema operacional afetado é o windows (especialmente XP) como podem ver no gráfico abaixo:
As mais nova "versão" infectou milhares de computadores (incluindo empresas e governos, diferente das outras versões que visava mais home users) e foi chamada de Kneber (http://www.brc.com.br/index.php?option=com_content&task=view&id=1695&Itemid=362&lang=pt_BR )
O Snort possui por volta de 20 regras para detecção de atividades do Zeus e variáveis sendo 15 do Emerging-Threats e 5 do VRT da Sourcefire. As regras do VRT da Sourcefire são mais voltadas para monitoramento de User-Agent anomalos , enquanto do ET são mais genericas abrangendo comunicação com C&C , download de binarios infectados entre outros. Abaixo os alertas e sid das regras:
VRT
Alerta: "SPECIFIC-THREATS Zeus/Zbot malware config file download request" / sid: 15481
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Download" / sid: 16441
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla" / sid: 16442
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - ie" / sid: 16440
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_" / sid: 16439
Emerging Threats
Alerta: "ET CURRENT_EVENTS NACHA/Zeus Phishing Executable Download Attempt" / sid: 2010342
Alerta: "ET CURRENT_EVENTS Zbot update (av-i386-daily.zip)" / sid: 2010568
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/pay.php)" / sid: 2010566
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/ip.php)" / sid: 2010567
Alerta: "ET CURRENT_EVENTS Zeus Bot / Zbot Checkin (/us01d/in.php)" / sid: 2010729
Alerta: "ET TROJAN PRG/wnspoem/Zeus InfoStealer Trojan Config Download" / sid: 2008100
Alerta: "ET TROJAN SpyBye Bot Checkin" / sid: 2010789
Alerta: "ET TROJAN Zbot/Zeus HTTP POST" / sid: 2008661
Alerta: "ET TROJAN Zbot/Zeus or Related Infection Checkin" / sid: 2008665
Alerta: "ET TROJAN Zbot/Zeus C&C Access" / sid: 2009175
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /check" / sid: 2009212
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /loads.php" / sid: 2009213
Alerta: "ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download" / sid: 2010348
Alerta: "ET CURRENT_EVENTS MALWARE Potential Malware Download, trojan zbot" / sid: 2010448
Alerta: "ET TROJAN Zbot/Beomok/PSW - HTTP POST" / sid: 2009448
Infelizmente não possuo dados de alertas, infecção no Brasil (mas como podemos ver abaixo o Brasil não esta nos grandes alvos, pelo menos por enquanto ) , caso você tenha algo e possa colaborar terei enorme prazer em fazer um update desse post com informações das empresas/usuários nacionais . Se possuir samples ou mesmo tráfego e puder enviar também será de grande valia .
Abaixo uma análise basica de um sample
Malware Analysis
Submitted file: new4.exe
MD5: 05d2c93b2c8237dd17f0cdc2a0946cb0
SHA1: 87b32c9ca8bf58622e42a94db23ee95db309c9a1
Filesize: 135168
Analysis ID: 3095340
Sample ID: 1188540
Analysis result:
Your submitted sample has been successfully analyzed. You can find the report at https://mwanalysis.org/?site=1&page=details&id=1188540&password=szmtdbkrms
Parte do tráfego gerado na rede que é a parte que nos interessa
Download URLs
http://removed/new4.bin (91.201.28.35)
http://removed/gallery/portfolio/Kids_And_Adults/images/2k8.exe (php1.walkontheweb.com)
Data posted to URLs
http://removed/user3/gate.php (removed)
http://removed/user3/gate.php (removed)
Threat Expert
http://www.threatexpert.com/report.aspx?md5=05d2c93b2c8237dd17f0cdc2a0946cb0
* Trojan.Zbot [PCTools]
* Trojan.Zbot!gen3 [Symantec]
* Trojan-Spy.Win32.Zbot.gen [Kaspersky Lab]
* Generic PWS.y!bzs [McAfee]
* Mal/Generic-A [Sophos]
* Packed.Win32.Krap [Ikarus]
* Win-Trojan/Krap.135168.BA [AhnLab]
Anubis - http://anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html
O que mais curto no Anubis é que eles dão o pcap embora a melhor analise foi do malware analysis =)
GET /new4.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 91.201.28.35
Pragma: no-cache
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 25 Feb 2010 11:29:06 GMT
Content-Type: application/octet-stream
Connection: close
Last-Modified: Mon, 22 Feb 2010 17:58:37 GMT
ETag: "750e46-abb2-480342eb34d40"
Accept-Ranges: bytescp em
Content-Length: 43954
Aproveitando o post e a analise simples tambem modifiquei a regra para ficar mais generica ficando:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download"; flow:established,to_server; content:"GET "; depth:4; content:"|0d 0a|Accept|3a| */*|0d 0a|"; uricontent:".bin"; pcre:"/\/[0-9A-Z]+\.bin$/Ui"; classtype:trojan-activity; reference:url,zeustracker.abuse.ch; reference:url,doc.emergingthreats.net/2010348; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Zeus,reference:url,anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html; sid:2010348; rev:5;)
Com isso teriamos o alerta:
# snort -c snort-ET.conf -K none -A console -q -r /LABS/PCAPS/zeus.pcap
02/25-08:28:02.537402 [**] [1:2010348:5] ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.0.2:1038 -> 91.201.28.35:80
Eu enviei a sugestão de mudanças para o ET mas temos sempre que ficar de olho se a mudanças não gerara muito Falso Positivo .
Como sempre vale dizer, mantenha seu AV atualizado, reforce as proteções com um bom filtro de conteúdo (interessante o que o Edison postou a pouco http://efigueira.blogspot.com/2010/02/boas-praticas-de-seguranca-na-empresa.html ) bem como reforce com um IDS e assinaturas. Infelizmente as mudanças são muitas e sempre e a chance de falsos negativos são grandes em todos os produtos e tecnologias por isso a necessidade de segurança em camadas para mitigar isso ao máximo possivel .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Zeus ( http://en.wikipedia.org/wiki/Zeus_(trojan_horse) ) surgiu a longo tempo atrás e hoje em dia a Zeus Botnet também é conhecida como Zeus , Zbot, PRG, Wsnpoem, Gorhax ,Kneber . Um dos facilitadores e comum uso é a disponibilidade do codigo, add-ons, obfuscadores entre outros . Algumas informações aqui http://www.technologyreview.com/computing/24641/page2/ .
O único sistema operacional afetado é o windows (especialmente XP) como podem ver no gráfico abaixo:
As mais nova "versão" infectou milhares de computadores (incluindo empresas e governos, diferente das outras versões que visava mais home users) e foi chamada de Kneber (http://www.brc.com.br/index.php?option=com_content&task=view&id=1695&Itemid=362&lang=pt_BR )
O Snort possui por volta de 20 regras para detecção de atividades do Zeus e variáveis sendo 15 do Emerging-Threats e 5 do VRT da Sourcefire. As regras do VRT da Sourcefire são mais voltadas para monitoramento de User-Agent anomalos , enquanto do ET são mais genericas abrangendo comunicação com C&C , download de binarios infectados entre outros. Abaixo os alertas e sid das regras:
VRT
Alerta: "SPECIFIC-THREATS Zeus/Zbot malware config file download request" / sid: 15481
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Download" / sid: 16441
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla" / sid: 16442
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - ie" / sid: 16440
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_" / sid: 16439
Emerging Threats
Alerta: "ET CURRENT_EVENTS NACHA/Zeus Phishing Executable Download Attempt" / sid: 2010342
Alerta: "ET CURRENT_EVENTS Zbot update (av-i386-daily.zip)" / sid: 2010568
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/pay.php)" / sid: 2010566
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/ip.php)" / sid: 2010567
Alerta: "ET CURRENT_EVENTS Zeus Bot / Zbot Checkin (/us01d/in.php)" / sid: 2010729
Alerta: "ET TROJAN PRG/wnspoem/Zeus InfoStealer Trojan Config Download" / sid: 2008100
Alerta: "ET TROJAN SpyBye Bot Checkin" / sid: 2010789
Alerta: "ET TROJAN Zbot/Zeus HTTP POST" / sid: 2008661
Alerta: "ET TROJAN Zbot/Zeus or Related Infection Checkin" / sid: 2008665
Alerta: "ET TROJAN Zbot/Zeus C&C Access" / sid: 2009175
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /check" / sid: 2009212
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /loads.php" / sid: 2009213
Alerta: "ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download" / sid: 2010348
Alerta: "ET CURRENT_EVENTS MALWARE Potential Malware Download, trojan zbot" / sid: 2010448
Alerta: "ET TROJAN Zbot/Beomok/PSW - HTTP POST" / sid: 2009448
Infelizmente não possuo dados de alertas, infecção no Brasil (mas como podemos ver abaixo o Brasil não esta nos grandes alvos, pelo menos por enquanto ) , caso você tenha algo e possa colaborar terei enorme prazer em fazer um update desse post com informações das empresas/usuários nacionais . Se possuir samples ou mesmo tráfego e puder enviar também será de grande valia .
Abaixo uma análise basica de um sample
Malware Analysis
Submitted file: new4.exe
MD5: 05d2c93b2c8237dd17f0cdc2a0946cb0
SHA1: 87b32c9ca8bf58622e42a94db23ee95db309c9a1
Filesize: 135168
Analysis ID: 3095340
Sample ID: 1188540
Analysis result:
Your submitted sample has been successfully analyzed. You can find the report at https://mwanalysis.org/?site=1&page=details&id=1188540&password=szmtdbkrms
Parte do tráfego gerado na rede que é a parte que nos interessa
Download URLs
http://removed/new4.bin (91.201.28.35)
http://removed/gallery/portfolio/Kids_And_Adults/images/2k8.exe (php1.walkontheweb.com)
Data posted to URLs
http://removed/user3/gate.php (removed)
http://removed/user3/gate.php (removed)
Threat Expert
http://www.threatexpert.com/report.aspx?md5=05d2c93b2c8237dd17f0cdc2a0946cb0
* Trojan.Zbot [PCTools]
* Trojan.Zbot!gen3 [Symantec]
* Trojan-Spy.Win32.Zbot.gen [Kaspersky Lab]
* Generic PWS.y!bzs [McAfee]
* Mal/Generic-A [Sophos]
* Packed.Win32.Krap [Ikarus]
* Win-Trojan/Krap.135168.BA [AhnLab]
Anubis - http://anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html
O que mais curto no Anubis é que eles dão o pcap embora a melhor analise foi do malware analysis =)
GET /new4.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 91.201.28.35
Pragma: no-cache
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 25 Feb 2010 11:29:06 GMT
Content-Type: application/octet-stream
Connection: close
Last-Modified: Mon, 22 Feb 2010 17:58:37 GMT
ETag: "750e46-abb2-480342eb34d40"
Accept-Ranges: bytescp em
Content-Length: 43954
Aproveitando o post e a analise simples tambem modifiquei a regra para ficar mais generica ficando:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download"; flow:established,to_server; content:"GET "; depth:4; content:"|0d 0a|Accept|3a| */*|0d 0a|"; uricontent:".bin"; pcre:"/\/[0-9A-Z]+\.bin$/Ui"; classtype:trojan-activity; reference:url,zeustracker.abuse.ch; reference:url,doc.emergingthreats.net/2010348; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Zeus,reference:url,anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html; sid:2010348; rev:5;)
Com isso teriamos o alerta:
# snort -c snort-ET.conf -K none -A console -q -r /LABS/PCAPS/zeus.pcap
02/25-08:28:02.537402 [**] [1:2010348:5] ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.0.2:1038 -> 91.201.28.35:80
Eu enviei a sugestão de mudanças para o ET mas temos sempre que ficar de olho se a mudanças não gerara muito Falso Positivo .
Como sempre vale dizer, mantenha seu AV atualizado, reforce as proteções com um bom filtro de conteúdo (interessante o que o Edison postou a pouco http://efigueira.blogspot.com/2010/02/boas-praticas-de-seguranca-na-empresa.html ) bem como reforce com um IDS e assinaturas. Infelizmente as mudanças são muitas e sempre e a chance de falsos negativos são grandes em todos os produtos e tecnologias por isso a necessidade de segurança em camadas para mitigar isso ao máximo possivel .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
domingo, 21 de fevereiro de 2010
SRW - Snort Rules Week (VRT e ET) - edição 4 (15 Fev 2010/21 Fev 2010)
Aqui estamos com a análise das regras que sairam durante essa semana tanto pro VRT como pro Emerging Threats . Essa semana tivemos bastante updates para programas/serviços especificos e alguns poucos client-side .
VRT tivemos alguns updates essa semana listados abaixo:
Um regra mais generica e legal caso você proteja servidores web é a regra SQL generic sql with comments injection attempt - GET parameter
Outra proteção se seus usuários utilizam IE6 ou IE7 essa regra WEB-ACTIVEX Windows Script Host Shell Object ActiveX clsid access visto que o exploit pode ser facilmente baixado aqui http://www.exploit-db.com/exploits/11457 .
A regra WEB-CLIENT Portable Executable binary file transfer é uma regra que seta o flowbits para download de binarios .exe . A regra não gera alerta mas a mesma é necessaria para outras regras funcionarem corretamente . Por exemplo no update atual os SID http://www.snort.org/search/sid/16434 , http://www.snort.org/search/sid/16435 e http://www.snort.org/search/sid/16436 so funcionarão se essa regra tiver ativada vista que a mesma seta o flowbits http.exe .
2010795 - ET ATTACK_RESPONSE Matahari client (emerging-attack_response.rules)
2010796 - ET CURRENT_EVENTS MALWARE Unknown Malware Download Attempt (emerging-current_events.rules)
2010797 - ET POLICY Twitter Status Update (emerging-policy.rules)
2010798 - ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt (emerging-current_events.rules)
2010799 - ET CURRENT_EVENTS Internet Explorer CVE-2010-0249 srcElement Remote Code Execution Attempt (emerging-current_events.rules)
2010800 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagLogListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010801 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010802 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewSatReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010803 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do capture parameter LFI Attempt (emerging-web_specific_apps.rules)
2010804 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewInventoryErrorReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010805 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010806 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010807 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010808 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010809 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010810 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010811 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010812 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010813 - ET WEB_CLIENT VLC Media Player smb URI Handling Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010814 - ET WEB_CLIENT Possible AOL 9.5 BindToFile Heap Overflow Attempt (emerging-web_client.rules)
2010815 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010816 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010817 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010818 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010819 - ET POLICY Facebook Chat using XMPP (emerging-policy.rules)
2010820 - ET WEB_SERVER Tilde in URI, potential .cgi source disclosure vulnerability (emerging-web_server.rules)
2010821 - ET TROJAN Java Downloader likely malicious payload download src=xrun (emerging-virus.rules)
2010822 - ET TROJAN smain?scout=acxc Generic Download landing (emerging-virus.rules)
2010823 - ET TROJAN Torpig Related Fake User-Agent (Apache (compatible...)) (emerging-virus.rules)
2010824 - ET TROJAN Torpig Ping-Pong Keepalives Outbound (emerging-virus.rules)
2010825 - ET TROJAN Torpig Ping-Pong Keepalives Inbound (emerging-virus.rules)
2010826 - ET TROJAN Torpig Initial CnC Connect on port 8392 (emerging-virus.rules)
2010827 - ET TROJAN Torpig CnC Connect on port 8392 (emerging-virus.rules)
2010828 - ET TROJAN Torpig CnC IP Report Command on port 8392 (emerging-virus.rules)
2010829 - ET TROJAN Torpig CnC Report Command on port 8392 (emerging-virus.rules)
2010830 - ET TROJAN Unknown Dropper Checkin (2) (emerging-virus.rules)
Tivemos também adicionada algumas dezenas de regras de comunição com botnet controles e com a famosa RBN (Russian Business Network) como as abaixos:
ET DROP Known Bot C&C Server Traffic
ET RBN Known Russian Business Network IP
Essa regra do IE ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt bem facil de voce ter algo na sua rede exploradas então vale a pena utilizar .
As regras de Torpig acredito ser interessante utilizar por alguns dias visto que pessoas do ET notaram a presença do mesmo .
Enviei também essa semana e com uma melhoria do Joel Esler uma regra para detectar o uso do Chat do Facebook que agora funciona via client-jabber ET POLICY Facebook Chat using XMP .
Não sou de postar sobre as modificações de regras mas fizeram uma mudança interessante numa regra do conficker que acredito que muitas redes antes estejam sujeitas a esse malware.
2009024 - ET CURRENT_EVENTS Downadup/Conficker A or B Worm reporting (emerging-virus.rules)
Para ver a lista completa das novas regras, updates e regras removidas do ET basta acessar http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006326.html
Como sempre saliento cada rede tem suas necessidades específica e a utilização de regras certamente pode ser similar ou não as citadas no SRW . Conheça sua rede pois isso diminui seu trabalho, perda de pacotes e processamento do seu sensor.
Algo importante de observarem é se as regras que vão utilizar possuem flowbits set/isset visto que se não usarmos as regras corretas as mesma nunca serão alertadas . Escreverei durante essa semana um artigo básico sobre flowbits pois acho que pode ser interessante a todos .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
VRT tivemos alguns updates essa semana listados abaixo:
16424 <-> WEB-ACTIVEX Windows Script Host Shell Object ActiveX clsid access (web-activex.rules, High)Como podemos observar a maioria dos updates é relacionado a produtos mais especificos não facilmente utilizados em todas as redes o que valeria ver a real necessidade.
16425 <-> WEB-CLIENT Portable Executable binary file transfer (web-client.rules, Low)
16426 <-> WEB-MISC Sun Java System Web Server 7.0 WebDAV format string exploit attempt - PROPFIND method (web-misc.rules, High)
16427 <-> WEB-MISC Sun Java System Web Server 7.0 WebDAV format string exploit attempt - LOCK method (web-misc.rules, High)
16428 <-> EXPLOIT Microsoft Outlook Express and Windows Mail NNTP handling buffer overflow attempt (exploit.rules, High)
16429 <-> WEB-MISC Novell iManager eDirectory plugin schema buffer overflow attempt - GET request (web-misc.rules, High)
16430 <-> WEB-MISC Novell iManager eDirectory plugin schema buffer overflow attempt - POST request (web-misc.rules, High)
16431 <-> SQL generic sql with comments injection attempt - GET parameter (sql.rules, High)
16432 <-> WEB-ACTIVEX Trend Micro Web Deployment ActiveX clsid access (web-activex.rules, High)
16433 <-> EXPLOIT Microsoft Active Directory LDAP query handling denial of service (exploit.rules, Medium)
16434 <-> POLICY Ultimate Packer for Executables/UPX v0.51-v0.61 packed file download attempt (policy.rules, Low)
16435 <-> POLICY Ultimate Packer for Executables/UPX v0.62-v1.22 packed file download attempt (policy.rules, Low)
16436 <-> POLICY Ultimate Packer for Executables/UPX v2.90,v2.93-3.00 packed file download attempt (policy.rules, Low)
16437 <-> EXPLOIT CVS Entry line flag remote heap overflow attempt (exploit.rules, High)
Um regra mais generica e legal caso você proteja servidores web é a regra SQL generic sql with comments injection attempt - GET parameter
Outra proteção se seus usuários utilizam IE6 ou IE7 essa regra WEB-ACTIVEX Windows Script Host Shell Object ActiveX clsid access visto que o exploit pode ser facilmente baixado aqui http://www.exploit-db.com/exploits/11457 .
A regra WEB-CLIENT Portable Executable binary file transfer é uma regra que seta o flowbits para download de binarios .exe . A regra não gera alerta mas a mesma é necessaria para outras regras funcionarem corretamente . Por exemplo no update atual os SID http://www.snort.org/search/sid/16434 , http://www.snort.org/search/sid/16435 e http://www.snort.org/search/sid/16436 so funcionarão se essa regra tiver ativada vista que a mesma seta o flowbits http.exe .
O Release completo das regras dessa semana em http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-17.html2010794 - ET WEB_SERVER DFind w00tw00t GET-Requests (emerging-web_server.rules)
2010795 - ET ATTACK_RESPONSE Matahari client (emerging-attack_response.rules)
2010796 - ET CURRENT_EVENTS MALWARE Unknown Malware Download Attempt (emerging-current_events.rules)
2010797 - ET POLICY Twitter Status Update (emerging-policy.rules)
2010798 - ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt (emerging-current_events.rules)
2010799 - ET CURRENT_EVENTS Internet Explorer CVE-2010-0249 srcElement Remote Code Execution Attempt (emerging-current_events.rules)
2010800 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagLogListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010801 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010802 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewSatReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010803 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do capture parameter LFI Attempt (emerging-web_specific_apps.rules)
2010804 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewInventoryErrorReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010805 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010806 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010807 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010808 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010809 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010810 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010811 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010812 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010813 - ET WEB_CLIENT VLC Media Player smb URI Handling Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010814 - ET WEB_CLIENT Possible AOL 9.5 BindToFile Heap Overflow Attempt (emerging-web_client.rules)
2010815 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010816 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010817 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010818 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010819 - ET POLICY Facebook Chat using XMPP (emerging-policy.rules)
2010820 - ET WEB_SERVER Tilde in URI, potential .cgi source disclosure vulnerability (emerging-web_server.rules)
2010821 - ET TROJAN Java Downloader likely malicious payload download src=xrun (emerging-virus.rules)
2010822 - ET TROJAN smain?scout=acxc Generic Download landing (emerging-virus.rules)
2010823 - ET TROJAN Torpig Related Fake User-Agent (Apache (compatible...)) (emerging-virus.rules)
2010824 - ET TROJAN Torpig Ping-Pong Keepalives Outbound (emerging-virus.rules)
2010825 - ET TROJAN Torpig Ping-Pong Keepalives Inbound (emerging-virus.rules)
2010826 - ET TROJAN Torpig Initial CnC Connect on port 8392 (emerging-virus.rules)
2010827 - ET TROJAN Torpig CnC Connect on port 8392 (emerging-virus.rules)
2010828 - ET TROJAN Torpig CnC IP Report Command on port 8392 (emerging-virus.rules)
2010829 - ET TROJAN Torpig CnC Report Command on port 8392 (emerging-virus.rules)
2010830 - ET TROJAN Unknown Dropper Checkin (2) (emerging-virus.rules)
Tivemos também adicionada algumas dezenas de regras de comunição com botnet controles e com a famosa RBN (Russian Business Network) como as abaixos:
ET DROP Known Bot C&C Server Traffic
ET RBN Known Russian Business Network IP
Essa regra do IE ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt bem facil de voce ter algo na sua rede exploradas então vale a pena utilizar .
As regras de Torpig acredito ser interessante utilizar por alguns dias visto que pessoas do ET notaram a presença do mesmo .
Enviei também essa semana e com uma melhoria do Joel Esler uma regra para detectar o uso do Chat do Facebook que agora funciona via client-jabber ET POLICY Facebook Chat using XMP .
Não sou de postar sobre as modificações de regras mas fizeram uma mudança interessante numa regra do conficker que acredito que muitas redes antes estejam sujeitas a esse malware.
2009024 - ET CURRENT_EVENTS Downadup/Conficker A or B Worm reporting (emerging-virus.rules)
Para ver a lista completa das novas regras, updates e regras removidas do ET basta acessar http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006326.html
Como sempre saliento cada rede tem suas necessidades específica e a utilização de regras certamente pode ser similar ou não as citadas no SRW . Conheça sua rede pois isso diminui seu trabalho, perda de pacotes e processamento do seu sensor.
Algo importante de observarem é se as regras que vão utilizar possuem flowbits set/isset visto que se não usarmos as regras corretas as mesma nunca serão alertadas . Escreverei durante essa semana um artigo básico sobre flowbits pois acho que pode ser interessante a todos .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
sexta-feira, 19 de fevereiro de 2010
ISSA Day – 24 de Fevereiro 2010 - Gestão de Privilégios e Custódia de Senhas
O ISSA Brasil em parceria com a Netbr promoverão o ISSA Day de fevereiro na região da Paulista. O Evento possui entrada gratuita e uma boa opção para networking =)
Prezado Associado da ISSA,
Estamos provendo um encontro do Grupo para além de iniciarmos as atividades do ano, tratar de um assunto de vital importância: Gestão de Privilégios e Custódia de Senhas.
Dia 24 de Fevereiro, estaremos recebendo um Especialista no Assunto John Richardson, Enterprise Spealist, da www.liebsoft.com.
Local: Hotel WallStreet - R. Itapeva 636 - Ao lado Metro Trianon - www.wallstreet.com.br
Inicio: 19h.
Informações adicionais do Assunto Gestão de Privilégios e Custódia de Senhas, podem ser vistos no blog: www.sapm.com.br
Mas basicamente, ele cria um modelo de gestão que mantém todas as atividades e intervenções, sobre controle e segurança. Através da Custódia de Senhas de Administradores e SuperUsuários, armazenadas em um lugar seguro.
Isto é importante para questões de Conformidade e alinhamento com normas regulatórias – SOX, PCI, Basel II e próprias normas do governo federal,como:
- Banco Central aos Bancos Brasileiros e Entidades Financeiras, frente a importância da classificação da informação e controle de acesso das mesmas.
- 4.1.3 da NBR ISO/IEC17779:2001: não assuma responsabilidades inerentes às áreas de negócio,como a inserção,alteração e exclusão de informações em bases de dados;
- regras de concessão,de controle e de direitos de acesso para cada usuário e/ou grupo de usuários[...]
- responsabilidades dos gestores de negócios sobre os seus sistemas,bem como a obrigação deles[...]fazerem a revisão periódica,com intervalos de tempo previamente definidos,dos direitos de acesso dos usuários
- o acesso ao ambiente de produção deve ser feito de forma controlada pelos gestores dos sistemas;
- defina uma Política de Controle de Acesso aos ativos de informação.
Desta forma, será apresentado melhores práticas e um modelo de gestão, onde toda intervenção necessária, é realizada através de workflow, que libera a licença para o determinado fim, seguindo estes passos:
1- Identifica, automaticamente a cada lugar na rede, onde senhas privilegiadas são usadas incluindo os serviços, tarefas, aplicações e bases de dados;
2- Controla e registra qual administrador acessou qual dispositivo, para qual tarefa e quando. (não se trata de identidade);
3- Propaga mudanças para as aplicações e objetos que usam essas credenciais;
4- Verifica e concede acesso através da senha aleatória;
5- Previne que senhas privilegiadas sejam esquecidas, escritas e perdidas, ou simplesmente usurpadas;
6- Cede senhas de forma temporal e por perfil, para execução de uma atividade específica;
7- Integra com vários diretórios, permitindo monitorar e controlar todas as contas privilegiadas;
8- Centralizada a gestão criando, automaticamente, uma trilha de auditoria;
9- Tudo com alta disponibilidade e redundância.
Para se inscrever no ISSA Day acesse http://www.issabrasil.org/2010/02/13/issa-day-fevereiro-2010/
Nos vemos por lá.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Prezado Associado da ISSA,
Estamos provendo um encontro do Grupo para além de iniciarmos as atividades do ano, tratar de um assunto de vital importância: Gestão de Privilégios e Custódia de Senhas.
Dia 24 de Fevereiro, estaremos recebendo um Especialista no Assunto John Richardson, Enterprise Spealist, da www.liebsoft.com.
Local: Hotel WallStreet - R. Itapeva 636 - Ao lado Metro Trianon - www.wallstreet.com.br
Inicio: 19h.
Informações adicionais do Assunto Gestão de Privilégios e Custódia de Senhas, podem ser vistos no blog: www.sapm.com.br
Mas basicamente, ele cria um modelo de gestão que mantém todas as atividades e intervenções, sobre controle e segurança. Através da Custódia de Senhas de Administradores e SuperUsuários, armazenadas em um lugar seguro.
Isto é importante para questões de Conformidade e alinhamento com normas regulatórias – SOX, PCI, Basel II e próprias normas do governo federal,como:
- Banco Central aos Bancos Brasileiros e Entidades Financeiras, frente a importância da classificação da informação e controle de acesso das mesmas.
- 4.1.3 da NBR ISO/IEC17779:2001: não assuma responsabilidades inerentes às áreas de negócio,como a inserção,alteração e exclusão de informações em bases de dados;
- regras de concessão,de controle e de direitos de acesso para cada usuário e/ou grupo de usuários[...]
- responsabilidades dos gestores de negócios sobre os seus sistemas,bem como a obrigação deles[...]fazerem a revisão periódica,com intervalos de tempo previamente definidos,dos direitos de acesso dos usuários
- o acesso ao ambiente de produção deve ser feito de forma controlada pelos gestores dos sistemas;
- defina uma Política de Controle de Acesso aos ativos de informação.
Desta forma, será apresentado melhores práticas e um modelo de gestão, onde toda intervenção necessária, é realizada através de workflow, que libera a licença para o determinado fim, seguindo estes passos:
1- Identifica, automaticamente a cada lugar na rede, onde senhas privilegiadas são usadas incluindo os serviços, tarefas, aplicações e bases de dados;
2- Controla e registra qual administrador acessou qual dispositivo, para qual tarefa e quando. (não se trata de identidade);
3- Propaga mudanças para as aplicações e objetos que usam essas credenciais;
4- Verifica e concede acesso através da senha aleatória;
5- Previne que senhas privilegiadas sejam esquecidas, escritas e perdidas, ou simplesmente usurpadas;
6- Cede senhas de forma temporal e por perfil, para execução de uma atividade específica;
7- Integra com vários diretórios, permitindo monitorar e controlar todas as contas privilegiadas;
8- Centralizada a gestão criando, automaticamente, uma trilha de auditoria;
9- Tudo com alta disponibilidade e redundância.
Para se inscrever no ISSA Day acesse http://www.issabrasil.org/2010/02/13/issa-day-fevereiro-2010/
Nos vemos por lá.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 18 de fevereiro de 2010
SRW - Snort Rules Week (VRT e ET) - edição 3 (08 Fev 2010/14 Fev 2010)
Essa semana o SRW saiu com um pequeno atraso visto que também pulo Carnaval como todo Brasileiro =)!
Semana passada foi a famosa semana da black tuesday (ótimo post da SANS aqui ), ou seja, segunda terça-feira do mês no qual a Microsoft lança seus queridissimos updates .
O VRT lançou as seguintes regras para essa semana , frisando bem a cobertura das ameaças que a Microsoft fez os updates.
Link completo do update http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-09.html
O Emerging Threats na possui regras para a maioria das ameaças, vale lembrar o que sempre saliento que VRT e ET são regras totalmente complementares e de suma importancia usar os dois rulesets (se quiser saber sobre as regras de uma olhada http://snort.org.br/index.php?option=com_content&task=view&id=24&Itemid=31 )
Nessa semana do SRW edição 3 tivemos as seguintes regras:
2010771 - ET WEB_SPECIFIC_APPS asaher pro view_messages.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
Como citado minhas regras foram aceitas no ruleset (sid's 2010784, 2010785, 2010786 ) . Uma regra que achei bem interessante mas não testei foi ET POLICY PsExec service created.
Como citei eu gosto das regras de Trojans, Botnet e caso tenha uma grande rede monitorando sua LAN/Intranet eu habilitaria as mesma. Sempre frisando que voce pode habilitar, acompanhar como a mesma se porta visto que nunca sabemos o que nossos usuários clicarão =) .
A referência completa das mudanças http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006145.html
No próximo domingo na data correta o SRW edição 4.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Semana passada foi a famosa semana da black tuesday (ótimo post da SANS aqui ), ou seja, segunda terça-feira do mês no qual a Microsoft lança seus queridissimos updates .
O VRT lançou as seguintes regras para essa semana , frisando bem a cobertura das ameaças que a Microsoft fez os updates.
16395 <-> NETBIOS SMB COPY command oversized pathname attemptComo esse update visa a maioria dos updates da MS eu utilizaria inicialmente todas as regras habilitadas (logicamente caso eu tenha 100% de certeza que não possua algo não precisa habilitar) e analisaria o resultado tanto em performance como possiveis falsos positivos. Vale lembrar que o ideal para essas regras é utilizar um sensor interno protegendo sua LAN visto que a maioria dos problemas de NETBIOS e Client-Side não estao expostos na DMZ ou para o mundo o que não tera validade habilitar essas regras .
16405 <-> ICMP Microsoft Windows Ipv6pHandleRouterAdvertisement Prefix Information stack buffer overflow attempt
16409 <-> WEB-CLIENT Microsoft PowerPoint improper filename remote code execution attempt
16410 <-> WEB-CLIENT Microsoft PowerPoint file LinkedSlide10Atom record parsing heap corruption attempt
16411 <-> WEB-CLIENT Microsoft PowerPoint out of bounds value remote code execution attempt
16412 <-> WEB-CLIENT Microsoft PowerPoint invalid TextByteAtom remote code execution attempt
16413 <-> WEB-CLIENT Microsoft PowerPoint invalid TextCharsAtom remote code execution attempt
16414 <-> WEB-CLIENT Windows Shell Handler remote code execution attempt
16415 <-> WEB-CLIENT Microsoft DirectShow memory corruption attempt
16416 <-> WEB-CLIENT Malformed XLS MSODrawing Record
16417 <-> NETBIOS SMB Negotiate Protocol Response overflow attempt
16418 <-> NETBIOS DELETED SMB client NULL deref race condition attempt - DISABLED
16419 <-> WEB-ACTIVEX Microsoft Data Analyzer 3.5 ActiveX clsid access
16420 <-> WEB-ACTIVEX Microsoft Data Analyzer 3.5 ActiveX clsid unicode access
16421 <-> EXPLOIT Microsoft PowerPoint out of bounds value remote code execution attempt
16422 <-> EXPLOIT JPEG with malformed SOFx field
16423 <-> WEB-CLIENT IE7/8 execute local file in Internet zone redirect attempt
16394 <-> DOS Active Directory Kerberos referral TGT renewal DoS attempt
16396 <-> NETBIOS SMB server srvnet.sys driver race condition attempt
16408 <-> DOS Microsoft Windows TCP SACK invalid range denial of service attempt
16397 <-> NETBIOS SMB andx invalid server name share access
16398 <-> NETBIOS SMB invalid server name share access
16399 <-> NETBIOS SMB unicode andx invalid server name share access
16400 <-> NETBIOS SMB unicode invalid server name share access
16401 <-> NETBIOS NETBIOS-DG SMB andx invalid server name share access
16402 <-> NETBIOS NETBIOS-DG SMB invalid server name share access
16403 <-> NETBIOS NETBIOS-DG SMB unicode andx invalid server name share access
16404 <-> NETBIOS NETBIOS-DG SMB unicode invalid server name share access
16406 <-> WEB-MISC JPEG file download attempt
16407 <-> WEB-MISC JPEG file download attempt
Link completo do update http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-09.html
O Emerging Threats na possui regras para a maioria das ameaças, vale lembrar o que sempre saliento que VRT e ET são regras totalmente complementares e de suma importancia usar os dois rulesets (se quiser saber sobre as regras de uma olhada http://snort.org.br/index.php?option=com_content&task=view&id=24&Itemid=31 )
Nessa semana do SRW edição 3 tivemos as seguintes regras:
2010771 - ET WEB_SPECIFIC_APPS asaher pro view_messages.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010772 - ET WEB_SPECIFIC_APPS asaher pro view_blog_comments.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010773 - ET WEB_SPECIFIC_APPS asaher pro view_blog_archives.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010774 - ET WEB_SPECIFIC_APPS asaher pro add_comments.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010775 - ET WEB_SPECIFIC_APPS asaher pro downloads.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010776 - ET WEB_SPECIFIC_APPS asaher pro emailsender.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010777 - ET WEB_SPECIFIC_APPS asaher pro left_menu.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010778 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -1 (emerging-web_client.rules)
2010779 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -2 (emerging-web_client.rules)
2010780 - ET WEB_SPECIFIC_APPS Joomla mediaslide component viewer.php path Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010781 - ET POLICY PsExec service created (emerging-policy.rules)
2010782 - ET POLICY RemoteControlX rctrlx service created (emerging-policy.rules)
2010783 - ET EXPLOIT GsecDump executed (emerging-exploit.rules)
2010784 - ET POLICY Facebook Chat (send message) (emerging-policy.rules)
2010785 - ET POLICY Facebook Chat (buddy list) (emerging-policy.rules)
2010786 - ET POLICY Facebook Chat (settings) (emerging-policy.rules)
2010787 - ET TROJAN Knockbot Proxy Response From Controller (emerging-virus.rules)
2010788 - ET TROJAN Knockbot Proxy Response From Controller (empty command) (emerging-virus.rules)
2010789 - ET TROJAN SpyBye Bot Checkin (emerging-virus.rules)
2010790 - ET TROJAN Bredavi Configuration Update Response (emerging-virus.rules)
2010791 - ET TROJAN Bredavi Checkin (emerging-virus.rules)
2010792 - ET TROJAN Bredavi Proxy Registration (emerging-virus.rules)
2010793 - ET TROJAN Bredavi Binary Download Request (emerging-virus.rules)
2010773 - ET WEB_SPECIFIC_APPS asaher pro view_blog_archives.php Remote File Inclusion Attempt (emerging-web_specific_apps.
2010774 - ET WEB_SPECIFIC_APPS asaher pro add_comments.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.
2010775 - ET WEB_SPECIFIC_APPS asaher pro downloads.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.
2010776 - ET WEB_SPECIFIC_APPS asaher pro emailsender.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.
2010777 - ET WEB_SPECIFIC_APPS asaher pro left_menu.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.
2010778 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -1 (emerging-web_client.rules)
2010779 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -2 (emerging-web_client.rules)
2010780 - ET WEB_SPECIFIC_APPS Joomla mediaslide component viewer.php path Local File Inclusion Attempt (emerging-web_specific_apps.
2010781 - ET POLICY PsExec service created (emerging-policy.rules)
2010782 - ET POLICY RemoteControlX rctrlx service created (emerging-policy.rules)
2010783 - ET EXPLOIT GsecDump executed (emerging-exploit.rules)
2010784 - ET POLICY Facebook Chat (send message) (emerging-policy.rules)
2010785 - ET POLICY Facebook Chat (buddy list) (emerging-policy.rules)
2010786 - ET POLICY Facebook Chat (settings) (emerging-policy.rules)
2010787 - ET TROJAN Knockbot Proxy Response From Controller (emerging-virus.rules)
2010788 - ET TROJAN Knockbot Proxy Response From Controller (empty command) (emerging-virus.rules)
2010789 - ET TROJAN SpyBye Bot Checkin (emerging-virus.rules)
2010790 - ET TROJAN Bredavi Configuration Update Response (emerging-virus.rules)
2010791 - ET TROJAN Bredavi Checkin (emerging-virus.rules)
2010792 - ET TROJAN Bredavi Proxy Registration (emerging-virus.rules)
2010793 - ET TROJAN Bredavi Binary Download Request (emerging-virus.rules)
Como citado minhas regras foram aceitas no ruleset (sid's 2010784, 2010785, 2010786 ) . Uma regra que achei bem interessante mas não testei foi ET POLICY PsExec service created.
Como citei eu gosto das regras de Trojans, Botnet e caso tenha uma grande rede monitorando sua LAN/Intranet eu habilitaria as mesma. Sempre frisando que voce pode habilitar, acompanhar como a mesma se porta visto que nunca sabemos o que nossos usuários clicarão =) .
A referência completa das mudanças http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006145.html
No próximo domingo na data correta o SRW edição 4.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
sábado, 6 de fevereiro de 2010
SRW - Snort Rules Week (VRT e ET) - edição 2 (01 Fev 2010/07 Fev 2010)
O VRT da Sourcefire não realizou nenhum update essa semana mas pode prepara que na próxima semanas certamente lançaram várias regras visto a grande quantidade de updates que sairão no Patch Tuesday da Microsoft.
O Emerging Threats como citei sempre terá regras visto o foco um pouco diferente do VRT da Sourcefire . Abaixo a listagem de novas regras que sairam nessa semana .
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX stack overfow Function call Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX Buildpath method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX GetDriveName method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DriveExists method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DeleteFile method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
ET DOS IBM DB2 kuddb2 Remote Denial of Service Attempt (emerging-dos.rules)
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET WEB_CLIENT VLC Media Player Aegisub Advanced SubStation (.ass) File Request flowbit set (emerging-web_client.rules)
ET WEB_CLIENT VLC Media Player .ass File Buffer Overflow Attempt (emerging-web_client.rules)
ET EXPLOIT Xerox WorkCentre PJL Daemon Buffer Overflow Attempt (emerging-exploit.rules)
ET WEB_CLIENT Possible Gracenote CDDBControl ActiveX Control ViewProfile Method Heap Buffer Overflow Attempt (emerging-web_client.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery UserCommand Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Ping UserCommand Attempt (emerging-web_specific_apps.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
ET TROJAN Zalupko/Koceg/Mandaph HTTP Checkin (2) (emerging-virus.rules)
ET POLICY Proxy TRACE Request - inbound (emerging-policy.rules)
ET POLICY TRACE Request - outbound (emerging-policy.rules)
ET WEB_SERVER Open-Proxy ScannerBot (webcollage-UA) (emerging-user_agents.rules)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
ET WEB_SPECIFIC_APPS HP System Management Homepage Input Validation Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
Eu particularmente gosto das regras que monitoram botnet especialmente em grandes redes pois isso pode se transformar num grande problema visto que se uma máquina foi infectada por algo que seu AntiVirus não detectou o que não seria nenhuma novidade, possivelmente todo seu parque podera estar vulneravel e a detecção pro-ativa facilitara e dominuira seu trabalho certamente . Eu sugiro as regras abaixo a serem utilizadas.
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
Essas regras se analisarem são BEM similares até enviarei um e-mail pro Matt Jonkman sugerindo uma regra mais generica . Aproveitando um link de referência bem interessante sobre analise do Sasfis botnet pode ser visto em www.fortiguard.com/analysis/sasfisanalysis.html .
Outra regra interessante de ser utilizada é a regra abaixo que explora mais falhas do IE . Vale lembrar que as maiorias de regras que pegam ataques client-side precisam que seu snort.conf possua a configuração no pre-processador http_inspect de flow_depth 0, pois sem essa configuração somente será analisado os 300 primeiros bytes de resposta da requisição (porém tem que cuidar para performance). Escreverei algo em breve sobre client-side e snort =)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
Outra falha que acho legal monitorar é o CSRF , nesse caso saiu para o Zenos como podem ver nessa regra "Zenoss Cross Site Request Forgery" . O CSRF geralmente é um ataque bem dificil de ser percebido por quem sofreu o que torna esse monitoramento caso utilize Zenoss interessante. Logicamente lembrando que a melhor solução é sempre utilizar a versão mais atual sem a falha mas monitorar nunca é demais =) .
Para ver as mudanças completas da semana no ET acesse: http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006081.html
Eu enviei algumas regras para alertas sobre Chat no Facebook mas ainda não fizeram comentários e quem sabe na próxima na estara por lá, de qualquer forma segue as regras sugeridas para quem quiser utilizar :
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (sending message)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/send.php";content:"facebook.com";sid:101010;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (buddy list)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/buddy_list.php";content:"facebook.com";sid:101011;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (settings)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/settings.php";content:"facebook.com";sid:101012;)
** Lembre de modificar o sid caso for utilizar .
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW que certamente será cheio de novas regras especialmente para cobrir as novas correções do MS Patch Tuesday .
Happy Snorting
Rodrigo Montoro(Sp0oKeR)
O Emerging Threats como citei sempre terá regras visto o foco um pouco diferente do VRT da Sourcefire . Abaixo a listagem de novas regras que sairam nessa semana .
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX stack overfow Function call Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX Buildpath method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX GetDriveName method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DriveExists method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DeleteFile method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
ET DOS IBM DB2 kuddb2 Remote Denial of Service Attempt (emerging-dos.rules)
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET WEB_CLIENT VLC Media Player Aegisub Advanced SubStation (.ass) File Request flowbit set (emerging-web_client.rules)
ET WEB_CLIENT VLC Media Player .ass File Buffer Overflow Attempt (emerging-web_client.rules)
ET EXPLOIT Xerox WorkCentre PJL Daemon Buffer Overflow Attempt (emerging-exploit.rules)
ET WEB_CLIENT Possible Gracenote CDDBControl ActiveX Control ViewProfile Method Heap Buffer Overflow Attempt (emerging-web_client.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery UserCommand Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Ping UserCommand Attempt (emerging-web_specific_apps.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
ET TROJAN Zalupko/Koceg/Mandaph HTTP Checkin (2) (emerging-virus.rules)
ET POLICY Proxy TRACE Request - inbound (emerging-policy.rules)
ET POLICY TRACE Request - outbound (emerging-policy.rules)
ET WEB_SERVER Open-Proxy ScannerBot (webcollage-UA) (emerging-user_agents.rules)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
ET WEB_SPECIFIC_APPS HP System Management Homepage Input Validation Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
Eu particularmente gosto das regras que monitoram botnet especialmente em grandes redes pois isso pode se transformar num grande problema visto que se uma máquina foi infectada por algo que seu AntiVirus não detectou o que não seria nenhuma novidade, possivelmente todo seu parque podera estar vulneravel e a detecção pro-ativa facilitara e dominuira seu trabalho certamente . Eu sugiro as regras abaixo a serem utilizadas.
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
Essas regras se analisarem são BEM similares até enviarei um e-mail pro Matt Jonkman sugerindo uma regra mais generica . Aproveitando um link de referência bem interessante sobre analise do Sasfis botnet pode ser visto em www.fortiguard.com/analysis/sasfisanalysis.html .
Outra regra interessante de ser utilizada é a regra abaixo que explora mais falhas do IE . Vale lembrar que as maiorias de regras que pegam ataques client-side precisam que seu snort.conf possua a configuração no pre-processador http_inspect de flow_depth 0, pois sem essa configuração somente será analisado os 300 primeiros bytes de resposta da requisição (porém tem que cuidar para performance). Escreverei algo em breve sobre client-side e snort =)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
Outra falha que acho legal monitorar é o CSRF , nesse caso saiu para o Zenos como podem ver nessa regra "Zenoss Cross Site Request Forgery" . O CSRF geralmente é um ataque bem dificil de ser percebido por quem sofreu o que torna esse monitoramento caso utilize Zenoss interessante. Logicamente lembrando que a melhor solução é sempre utilizar a versão mais atual sem a falha mas monitorar nunca é demais =) .
Para ver as mudanças completas da semana no ET acesse: http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006081.html
Eu enviei algumas regras para alertas sobre Chat no Facebook mas ainda não fizeram comentários e quem sabe na próxima na estara por lá, de qualquer forma segue as regras sugeridas para quem quiser utilizar :
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (sending message)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/send.php";content:"facebook.com";sid:101010;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (buddy list)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/buddy_list.php";content:"facebook.com";sid:101011;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (settings)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/settings.php";content:"facebook.com";sid:101012;)
** Lembre de modificar o sid caso for utilizar .
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW que certamente será cheio de novas regras especialmente para cobrir as novas correções do MS Patch Tuesday .
Happy Snorting
Rodrigo Montoro(Sp0oKeR)
quarta-feira, 3 de fevereiro de 2010
[issabr] Confirmação do encontro de abertura GEC (Grupo Estudos CISSP) 2010 - 06/02/10
Caros,
A ISSA Brasil como todo ano possui um grupo de estudos para quem interessar pelas certificações CISSP e/ou CISA . Para participar do grupo voce precisa se associar ao capitulo Brasil do ISSA . O primeiro encontro porém é aberto e quem se interessar conhecer vale dar uma passada lá . O pessoal que tem estudado no grupo tem tido otimos resultados nos exames. Se você tem interesse nas certs certamente um bom local a se frequentar. Se não tem interesse o conteudo tambem é bom e o networking sempre é valido.
Amigos,
Está Confirmado o encontro de abertura do Grupo de Estudos CISSP e CISA 2010 (GEC 2010) - SP para este Sábado, a partir das 8:30h.
Local do encontro: Microsoft Brasil - Avenida das Nações Unidas, 12.901 - 31o. Andar - Torre Norte, São Paulo-SP.
Opções de estacionamento:Shopping D&D localizado ao lado do prédio ou nas ruas adjacentes, a maioria destas exige cartão de zona azul.
Quem estiver interessado em participar e ainda não efetuou inscrição para o evento solicitamos fazer-la através do link a seguir, preferencialmente até às 21:00h de quinta-feira, 4 de Fevereiro de 2010.
http://www.issabrasil.org/grupo-de-estudos/
Neste encontro estaremos expondo a dinâmica do grupo, calendários, material de estudos, entre outros.
Abraços,
Ricardo Leiva
Coordenação GEC - SP
Lembrando que o primeiro dia sempre acontece um roda de papo e cerveja nos arredores .
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
A ISSA Brasil como todo ano possui um grupo de estudos para quem interessar pelas certificações CISSP e/ou CISA . Para participar do grupo voce precisa se associar ao capitulo Brasil do ISSA . O primeiro encontro porém é aberto e quem se interessar conhecer vale dar uma passada lá . O pessoal que tem estudado no grupo tem tido otimos resultados nos exames. Se você tem interesse nas certs certamente um bom local a se frequentar. Se não tem interesse o conteudo tambem é bom e o networking sempre é valido.
Amigos,
Está Confirmado o encontro de abertura do Grupo de Estudos CISSP e CISA 2010 (GEC 2010) - SP para este Sábado, a partir das 8:30h.
Local do encontro: Microsoft Brasil - Avenida das Nações Unidas, 12.901 - 31o. Andar - Torre Norte, São Paulo-SP.
Opções de estacionamento:Shopping D&D localizado ao lado do prédio ou nas ruas adjacentes, a maioria destas exige cartão de zona azul.
Quem estiver interessado em participar e ainda não efetuou inscrição para o evento solicitamos fazer-la através do link a seguir, preferencialmente até às 21:00h de quinta-feira, 4 de Fevereiro de 2010.
http://www.issabrasil.org/grupo-de-estudos/
Neste encontro estaremos expondo a dinâmica do grupo, calendários, material de estudos, entre outros.
Abraços,
Ricardo Leiva
Coordenação GEC - SP
Lembrando que o primeiro dia sempre acontece um roda de papo e cerveja nos arredores .
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
terça-feira, 2 de fevereiro de 2010
(IN)SECURE Magazine 24 is out
Revista online excelente sempre tratando assuntos interessantes no mundo de segurança =)
* Writing a secure SOAP client with PHP: Field report from a real-world project
* How virtualized browsing shields against web-based attacks
* Review: 1Password 3
* Preparing a strategy for application vulnerability detection
* Threats 2.0: A glimpse into the near future
* Preventing malicious documents from compromising Windows machines
* Balancing productivity and security in a mixed environment
* AES and 3DES comparison analysis
* OSSEC: An introduction to open source log and event management
* Secure and differentiated access in enterprise wireless networks
* AND MORE!
Para acessa-la: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
* Writing a secure SOAP client with PHP: Field report from a real-world project
* How virtualized browsing shields against web-based attacks
* Review: 1Password 3
* Preparing a strategy for application vulnerability detection
* Threats 2.0: A glimpse into the near future
* Preventing malicious documents from compromising Windows machines
* Balancing productivity and security in a mixed environment
* AES and 3DES comparison analysis
* OSSEC: An introduction to open source log and event management
* Secure and differentiated access in enterprise wireless networks
* AND MORE!
Para acessa-la: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 1 de fevereiro de 2010
[GTER] GTS-15 Sao Paulo / Chamada de Propostas
GTER - Grupo de Trabalho de Engenharia e Operação de Redes - 29ª Reunião
GTS - Grupo de Trabalho em Segurança de Redes - 15ª Reunião
São Paulo - 14 e 15 de maio de 2010
http://gter.nic.br/
http://gts.nic.br/
% Chamada de Trabalhos
O GTS - Grupo de Trabalho em Segurança de Redes, está organizando sua 15a. Reunião em conjunto com a 29a. Reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER), nos dias 14 e 15 de MAIO de 2010, em SÃO PAULO, SP.
A reunião do GTS estará ocorrendo conjuntamente com o GTER, mas desta vez será realizada no primeiro dia do evento, para que o programa de segurança se integre melhor com a ocorrência prévia do IV CeCOS - Counter-eCrime Operations Summit http://www.antiphishing.org/events/2010_opSummit.html
% Agenda:
11 a 13.05.2010: IV CeCOS (Counter-eCrime Operations Summit)
14.05.2010: GTS-15
15.05.2010: GTER-29
% PATROCINADORES:
A infra-estrutura do evento é patrocinada pelo Comitê Gestor da Internet no Brasil, mas há oportunidades de patrocínio de camisetas, coffee-breaks e eventos sociais. Detalhes de patrocínio podem ser encontrados em http://gter.nic.br/reunioes/como-patrocinar
% Chamada
Assim, convidamos a comunidade de profissionais de Internet no Brasil para o envio de propostas de apresentações.
O material deve tratar principalmente de aspectos práticos e
operacionais da atualidade da segurança da Internet no país. O comitê de
programa do GTS busca identificar apresentações que procurem
compartilhar aplicações práticas e experiências de sucesso (ou fracasso)
na área, envolvendo novas tecnologias de segurança e estudos de casos.
Segue uma lista não exaustiva, de sugestões para tópicos:
* . Análise de artefatos;
* . Análise de risco;
* . Assinaturas digitais;
* . Combate a fraudes por computador;
* . Combate a DoS / DDoS;
* . Continuidade de negócios e operações;
* . Detecção e proteção de intrusão;
* . Filtros, proxies e firewalls;
* . Perícia e análise forense;
* . Políticas de segurança;
* . Prevenção e combate ao spam;
* . Programação segura;
* . Recuperação de desastres;
* . Segurança wireless;
* . Segurança de infra-estrutura;
* . Segurança de sistemas e redes;
* . Segurança de operação de DNS;
* . Tratamento de incidentes;
* . Outros temas de interesse da comunidade de segurança.
Ressalta-se que que as apresentações sejam aplicadas e *não* devem ser voltadas a produtos e soluções de fornecedores específicos, com fins comerciais, nem trabalhos que sejam com ênfase puramente acadêmica. As reuniões do GTS e do GTER buscam a pluralidade de soluções, com ênfase em "expertise", e não em produtos proprietários específicos, excetuando-se aqueles de código aberto.
A chamada específica de trabalhos para a reunião do GTER pode ser consultada em http://gter.nic.br
% Formato de Envio:
Para a reunião do GTS-15 as propostas deverão ser apresentadas de acordo com as instruções disponíveis no endereço: http://gts.nic.br/reunioes/proposta
As apresentações devem ter duração máxima de 50 minutos incluindo tempo
para perguntas e respostas.
Datas Importantes
-----------------
Limite para envio depropostas: 29/03/2010
Notificações dos Autores: 09/04/2010
Pré-agenda: 12/04/2010
Abertura das Inscrições: 12/04/2010
Local
-----
Blue Tree Towers Morumbi - São Paulo - SP
Apoio
-----
Comitê Gestor da Internet no Brasil
Organização
-----------
NIC.br
GTS - Grupo de Trabalho em Segurança de Redes - 15ª Reunião
São Paulo - 14 e 15 de maio de 2010
http://gter.nic.br/
http://gts.nic.br/
% Chamada de Trabalhos
O GTS - Grupo de Trabalho em Segurança de Redes, está organizando sua 15a. Reunião em conjunto com a 29a. Reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER), nos dias 14 e 15 de MAIO de 2010, em SÃO PAULO, SP.
A reunião do GTS estará ocorrendo conjuntamente com o GTER, mas desta vez será realizada no primeiro dia do evento, para que o programa de segurança se integre melhor com a ocorrência prévia do IV CeCOS - Counter-eCrime Operations Summit http://www.antiphishing.org/events/2010_opSummit.html
% Agenda:
11 a 13.05.2010: IV CeCOS (Counter-eCrime Operations Summit)
14.05.2010: GTS-15
15.05.2010: GTER-29
% PATROCINADORES:
A infra-estrutura do evento é patrocinada pelo Comitê Gestor da Internet no Brasil, mas há oportunidades de patrocínio de camisetas, coffee-breaks e eventos sociais. Detalhes de patrocínio podem ser encontrados em http://gter.nic.br/reunioes/como-patrocinar
% Chamada
Assim, convidamos a comunidade de profissionais de Internet no Brasil para o envio de propostas de apresentações.
O material deve tratar principalmente de aspectos práticos e
operacionais da atualidade da segurança da Internet no país. O comitê de
programa do GTS busca identificar apresentações que procurem
compartilhar aplicações práticas e experiências de sucesso (ou fracasso)
na área, envolvendo novas tecnologias de segurança e estudos de casos.
Segue uma lista não exaustiva, de sugestões para tópicos:
* . Análise de artefatos;
* . Análise de risco;
* . Assinaturas digitais;
* . Combate a fraudes por computador;
* . Combate a DoS / DDoS;
* . Continuidade de negócios e operações;
* . Detecção e proteção de intrusão;
* . Filtros, proxies e firewalls;
* . Perícia e análise forense;
* . Políticas de segurança;
* . Prevenção e combate ao spam;
* . Programação segura;
* . Recuperação de desastres;
* . Segurança wireless;
* . Segurança de infra-estrutura;
* . Segurança de sistemas e redes;
* . Segurança de operação de DNS;
* . Tratamento de incidentes;
* . Outros temas de interesse da comunidade de segurança.
Ressalta-se que que as apresentações sejam aplicadas e *não* devem ser voltadas a produtos e soluções de fornecedores específicos, com fins comerciais, nem trabalhos que sejam com ênfase puramente acadêmica. As reuniões do GTS e do GTER buscam a pluralidade de soluções, com ênfase em "expertise", e não em produtos proprietários específicos, excetuando-se aqueles de código aberto.
A chamada específica de trabalhos para a reunião do GTER pode ser consultada em http://gter.nic.br
% Formato de Envio:
Para a reunião do GTS-15 as propostas deverão ser apresentadas de acordo com as instruções disponíveis no endereço: http://gts.nic.br/reunioes/proposta
As apresentações devem ter duração máxima de 50 minutos incluindo tempo
para perguntas e respostas.
Datas Importantes
-----------------
Limite para envio depropostas: 29/03/2010
Notificações dos Autores: 09/04/2010
Pré-agenda: 12/04/2010
Abertura das Inscrições: 12/04/2010
Local
-----
Blue Tree Towers Morumbi - São Paulo - SP
Apoio
-----
Comitê Gestor da Internet no Brasil
Organização
-----------
NIC.br
Assinar:
Postagens (Atom)