Mostrando postagens com marcador srw. Mostrar todas as postagens
Mostrando postagens com marcador srw. Mostrar todas as postagens

quarta-feira, 5 de maio de 2010

SRW - Snort Rules Week estara de volta!

Caros,

O SRW - Snort Rules Week deu uma parada por falta de tempo mas na proxima semana estara com tudo de volta e possivelmente informacoes baseadas num mundo mais real e nao somente na analise estatica das regras.

Em segundo plano tambem pretendo fazer a versao no formato podcast o que ficaria melhor para discutirmos as tendencias mas essa segunda etapa possivelmente so em Junho.


Fiquem atento e nos acompanhem!

Happy Snorting!

Rodrigo Montoro
Postado por às Nenhum comentário:
Marcadores: ,

segunda-feira, 8 de março de 2010

SRW - Snort Rules Week (VRT e ET) - edição 6 (01 Mar 2010/07 Mar 2010)

Esta semana tivemos como de costume várias regras adicionadas para proteção client-side tanto do VRT como do ET . Isso mostra como os atacantes estão cada vez mais criando formas de explorar o lado mais fraco da segurança, os usuários . Embora eu estivesse um pouco offline tentei me manter antenado nas regras e notícias da semana .

O VRT lançou os seguintes updates durante essa semana:

16453 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 1 (specific-threats.rules, Medium)
16454 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 2 (specific-threats.rules, Medium)
16455 <-> SPYWARE-PUT Keylogger egyspy keylogger 1.13 runtime detection (spyware-put.rules, Medium)
16456 <-> SPYWARE-PUT Rogue-Software ang antivirus 09 runtime detection (spyware-put.rules, High)
16457 <-> BACKDOOR Trojan.Downloader.Win32.Cutwail.AI runtime detection (backdoor.rules, High)
16458 <-> WEB-CLIENT Autonomy KeyView SDK Excel file SST parsing integer overflow attempt (web-client.rules, High)
16459 <-> SPECIFIC-THREATS Trojan command and control communication attempt (specific-threats.rules, High)
16460 <-> WEB-MISC text/html content-type without HTML - possible malware C&C (web-misc.rules, Medium

Os sid 16453 e 16454 são regras para proteção do cve,2009-3676 no qual ele busca um pacote na porta 445 com tamanho de 4 bytes que causaria DoS na negociação do protocolo SMB v1 e v2 . Se você usa o sensor em parte da rede que possui compartilhamento de arquivos ambas as regras devem ser utilizadas visto a facil exploração do DoS via scapy por exemplo.

Como sempre várias regras de Spywares , Backdoors e ameças especificas que como sempre saliento são interessantes para rodar caso seu sensor monitore seus usuários .

Para entendimento em especial da assinatura "WEB-MISC text/html content-type without HTML - possible malware C&C" recomendo que leiam esse ÓTIMO post feito pelo VRT da Sourcefire sobre Zeus/Zbot http://labs.snort.org/papers/zeus.html . Realmente essa regra é mandatória habilita-la mas cuidando para falsos positivos pois a regra pode gerar alertas para web sites mal desenvolvidos .

Lista completa das mudanças do VRT http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-03-04.html

O Emerging-Threats por sua vez realizou as seguintes mudanças:

2010862 - ET WEB_SPECIFIC_APPS Possible APC Network Management Card Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010863 - ET WEB_SERVER LANDesk Command Injection Attempt (emerging-web_server.rules)
2010864 - ET WEB_SERVER HP OpenView /OvCgi/Toolbar.exe Accept Language Heap Buffer Overflow Attempt (emerging-web_server.rules)
2010865 - ET WEB_SPECIFIC_APPS IBM Possible Lotus Domino readme.nsf Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010866 - ET CURRENT_EVENTS Hostile domain, NeoSploit FakeAV google.analytics.com.*.info (emerging-current_events.rules)
2010867 - ET CURRENT_EVENTS Potential FakeAV download Setup_103s1 or Setup_207 variant (emerging-current_events.rules)
2010868 - ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile (emerging-user_agents.rules)
2010869 - ET POLICY PE EXE or DLL Windows file download (2) (emerging-policy.rules)
2010870 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (kav) (emerging-current_events.rules)
2010871 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (nte) (emerging-current_events.rules)
2010872 - ET TROJAN Pragma\: hack Detected Outbound - Likely Infected Source (emerging-virus.rules)
2010873 - ET WEB_CLIENT Opera User-Agent Flowbit Set (emerging-web_client.rules)
2010874 - ET WEB_CLIENT Possible Opera Web Browser Content-Length Buffer Overflow Attempt (emerging-web_client.rules)
2010875 - ET TROJAN Blackenergy Bot Checkin to C&C (2) (emerging-virus.rules)

Outras várias que foram adicionadas para monitorar tráfego

2400009 - ET DROP Spamhaus DROP Listed Traffic Inbound (emerging-drop.rules)
2404052 - ET DROP Known Bot C&C Server Traffic TCP (group 27) (emerging-botcc.rules)
2404053 - ET DROP Known Bot C&C Server Traffic UDP (group 27) (emerging-botcc.rules)
2406660 - ET RBN Known Russian Business Network IP TCP (331) (emerging-rbn.rules)
2406661 - ET RBN Known Russian Business Network IP UDP (331) (emerging-rbn.rules)

A regra ET POLICY PE EXE or DLL Windows file download embora muito interessante acredito que ocorra muito falso positivo visto que a mesma alertara para download de EXE válidos . Um regra legal é a que comentamos no último post "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" http://spookerlabs.blogspot.com/2010/03/possivel-executavel-windows-enviado.html .

Outra regra que monitora User-Agent anomalos seria a ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile . Infelizmente monitorar User-Agent é algo complicado visto que existe milhares de UA e um simples espaço pode bypassar a regra devido a maiora das regras de UA não possuirem pcre por performance.

As regras de Current_Events podemos considerar algo para ameças momentaneas e ativa-las sempre pode identificar algo na sua rede =) .

Uma regra que li uma matéria muito legal foi sobre o Black Energy versão Trojan http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487 no qual o ET criou a regra "ET TROJAN Blackenergy Bot Checkin to C&C (2)" . Se lerem o artigo poderão ver qual fantástico é a idéia da botnet e resultado final. Embora a mesma tenha em meta bancos da Russia e Ucrania a sua máquina pode ser útil para o possível ataque de DDoS, ou seja, não custa muito ativar a regra e ver o que ela pegara .

Analisando o post sobre Blackenergy2 http://www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2 enviei também para o ET duas sugestões de regras que foram aceitas :

POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 126
Pragma: no-cache

sksgh=E22EA13DA2170ACCC10CBA67C12ED8CB83774E032FC65BAEC5FA5CD826694619FABBF69297335C5A91BD02B2C7BB1E5AA0649991F2D6613888AD6749

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x HTTP Request with Encrypted Variables"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"sksgh="; distance:0; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)


BlackEnergy v2.x Plugin Download Request

POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 43
Pragma: no-cache
getp=ddos&id=xCOMP_3FA21CD8&ln=en&cn=US&nt=2600&bid=1

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x Plugin Download Request"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"getp=";content:"id=";content:"ln=";content:"bid=";content:"nt=";content:"cn=";classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)

Lista completa de mudanças do ET em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-March/006657.html

Espero que seja de grande utilidade a todos. Até a próxima semana.

Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)
Postado por às Nenhum comentário:
Marcadores: ,

sábado, 27 de fevereiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 5 (22 Fev 2010/28 Fev 2010)

Essa semana embora mesmo sem os updates da Microsoft tanto Emerging-threats como VRT lançaram bastante regras novas. A grande maioria foi pra client-side o que mostra que as ameaças estão cada vez mais crescentes para os usuários .

O VRT durante essa semana lançou 2 updates das regras com novos conteudos listados abaixo.

16438 <-> ORACLE WebLogic Server Node Manager arbitrary command execution attempt (oracle.rules, High)
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
16443 <-> CHAT deny Gmail chat DNS request (chat.rules, High)
16444 <-> SPECIFIC-THREAT HP StorageWorks storage mirroring double take service code execution attempt (specific-threats.rules, High)
16445 <-> SPECIFIC-THREATS Digium Asterisk IAX2 ack response denial of service attempt (specific-threats.rules, Medium)
16446 <-> RPC portmap Solaris sadmin tcp request (rpc.rules, Medium)
16447 <-> RPC portmap Solaris sadmin udp request (rpc.rules, Medium)
16448 <-> RPC portmap Solaris sadmin tcp adm_build_path overflow attempt (rpc.rules, Medium)
16449 <-> RPC portmap Solaris sadmin udp adm_build_path overflow attempt (rpc.rules, Medium)
16450 <-> SQL Jive Software Openfire Jabber Server SQL injection attempt (sql.rules, High)
16451 <-> WEB-CLIENT Palm WebOS 1.2.0 floating point exception denial of service attempt (web-client.rules, Medium)

Anúncio completo 23/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-23.html

16452 <-> WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High)

Anúncio completo 26/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-26.html


O VRT baseado na crescente ameaça do Zeus Botnet agora conhecida como Kneber e como citado no post anterior ( http://spookerlabs.blogspot.com/2010/02/zeus-botnet-snort-e-falsos-negativos.html ) lançou 4 regras adicionais para essa ameaça baseado no user-agent. Eu particularmente não sei como estas regras tem se comportado mas caso você tenha informações por favor nos informe. Como sugerido no outro post ativar essas regras é bem interessante:

16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)

Tirando a regra do gmail "CHAT deny Gmail chat DNS request" que é mais generica (ele detecta a resposta negativa da requisição do DNS do chatenable.mail.google.com ) e talvez do seu interesse caso precise bloquear o uso do mesmo na sua empresa do resto é muito espefico a produtos o que so torna o uso necessário caso tenham alguns dos produtos .

A falha especial que mandaram o update no dia 26 para WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High) me chamou atenção por nao ter um reference. Basicamente ele procura pelo conteúdo vbscript e que a extensão seja .hlp com \ no match também . Seria algo novo que pegaram em seu laboratorio ? Muito bom ativar ela e ver o que acontece .

Regras da semana do Emerging Threats

2010831 - ET TROJAN Fake AV - Downloader likely malicious payload download src=xrun) (emerging-virus.rules)
2010832 - ET TROJAN Fake AV Generic Download landing) (emerging-virus.rules)
2010833 - ET WEB_SPECIFIC_APPS Joomla intuit component intuit.php approval Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010834 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010835 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010836 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010837 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010838 - ET TROJAN WScript/VBScript XMLHTTP downloader likely malicious get?src= (emerging-virus.rules)
2010839 - ET WEB_CLIENT Possible Rising Online Virus Scanner ActiveX Control Scan() Method Stack Buffer Overflow Attempt (emerging-web_client.rules)
2010840 - ET WEB_CLIENT Viscom Software Movie Player Pro SDK ActiveX 6.8 Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010841 - ET WEB_CLIENT DX Studio Player Firefox Plug-in Command Injection Attempt (emerging-web_client.rules)
2010842 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010843 - ET WEB_SPECIFIC Joomla com_avosbilletsy Component id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010844 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010845 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010846 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010847 - ET WEB_SPECIFIC_APPS com_if_nexus controller Parameter Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010848 - ET WEB_SPECIFIC_APPS Joomla morfeoshow morfeoshow.html.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010851 - ET WEB_CLIENT Logitech VideoCall ActiveX Start method buffer overflow Attempt (emerging-web_client.rules)
2010852 - ET WEB_CLIENT WinDVD7 IASystemInfo.DLL ActiveX ApplicationType method buffer overflow Attempt (emerging-web_client.rules)
2010853 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010854 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010855 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010856 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010857 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010859 - ET TROJAN Buzus Trojan Proxy Attempt (emerging-virus.rules)
2010860 - ET TROJAN Buzus Proxy Server Response (emerging-virus.rules)
2010861 - ET TROJAN Zeus Bot Request to CnC (emerging-virus.rules)


As regras mais genericas podemos sempre frisar "ET TROJAN" no qual resurgiu do Trojan Buzus (http://www.pctools.com/mrc/infections/id/Trojan.Buzus/) com alterações de payload. Outra é a adição de mais uma regra de Zeus Bot para comunicação com o canal controlador e que não foi listada no ultimo post. Continuando nos TROJAN temos também o Fake AV e WScript/VBScript que é nova no ruleset (http://doc.emergingthreats.net/2010838) que são sempre validas ativa-las e roda-las por um tempo para até memos validar seu AV e Filtro de Conteúdo .

A regras de WEB_CLIENT são bem importantes e tivemos algumas novidades essa semana para proteçoes do Windows Defender (http://www.microsoft.com/windows/products/winfamily/defender/default.mspx) e uma para um plugin especifico do firefox( http://www.coresecurity.com/content/DXStudio-player-firefox-plugin ). Também tivemos updates para proteções de ActiveX (eu sinceramente sugiro desativar o ActiveX dos browsers caso você não tenha utilidade dentro da empresa que necessite disso obrigatoriamente)

Essa semana também como podem ver sairam regras para 3 componentes do Joomla(com_avosbillets,id_job,intuit.php) e caso utilizem os mesmo de suma importancia monitorar (logicamente atualizar mandatório no caso) .

Informações sobre todas as novas regras e mudanças do ET dessa semana pode ser encontrado em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006442.html

Se vocês repararem nas minhas sugestões eu sempre viso muito as proteções client side por as mesmas serem de uso mais geral e usuário sempre a maior ameaça .

Espero que seja de grande utilidade a todos. Até a próxima semana.

Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)
Postado por às Nenhum comentário:
Marcadores: ,

domingo, 21 de fevereiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 4 (15 Fev 2010/21 Fev 2010)

Aqui estamos com a análise das regras que sairam durante essa semana tanto pro VRT como pro Emerging Threats . Essa semana tivemos bastante updates para programas/serviços especificos e alguns poucos client-side .

VRT tivemos alguns updates essa semana listados abaixo:
16424 <-> WEB-ACTIVEX Windows Script Host Shell Object ActiveX clsid access (web-activex.rules, High)
16425 <-> WEB-CLIENT Portable Executable binary file transfer (web-client.rules, Low)
16426 <-> WEB-MISC Sun Java System Web Server 7.0 WebDAV format string exploit attempt - PROPFIND method (web-misc.rules, High)
16427 <-> WEB-MISC Sun Java System Web Server 7.0 WebDAV format string exploit attempt - LOCK method (web-misc.rules, High)
16428 <-> EXPLOIT Microsoft Outlook Express and Windows Mail NNTP handling buffer overflow attempt (exploit.rules, High)
16429 <-> WEB-MISC Novell iManager eDirectory plugin schema buffer overflow attempt - GET request (web-misc.rules, High)
16430 <-> WEB-MISC Novell iManager eDirectory plugin schema buffer overflow attempt - POST request (web-misc.rules, High)
16431 <-> SQL generic sql with comments injection attempt - GET parameter (sql.rules, High)
16432 <-> WEB-ACTIVEX Trend Micro Web Deployment ActiveX clsid access (web-activex.rules, High)
16433 <-> EXPLOIT Microsoft Active Directory LDAP query handling denial of service (exploit.rules, Medium)
16434 <-> POLICY Ultimate Packer for Executables/UPX v0.51-v0.61 packed file download attempt (policy.rules, Low)
16435 <-> POLICY Ultimate Packer for Executables/UPX v0.62-v1.22 packed file download attempt (policy.rules, Low)
16436 <-> POLICY Ultimate Packer for Executables/UPX v2.90,v2.93-3.00 packed file download attempt (policy.rules, Low)
16437 <-> EXPLOIT CVS Entry line flag remote heap overflow attempt (exploit.rules, High)
Como podemos observar a maioria dos updates é relacionado a produtos mais especificos não facilmente utilizados em todas as redes o que valeria ver a real necessidade.

Um regra mais generica e legal caso você proteja servidores web é a regra SQL generic sql with comments injection attempt - GET parameter

Outra proteção se seus usuários utilizam IE6 ou IE7 essa regra WEB-ACTIVEX Windows Script Host Shell Object ActiveX clsid access visto que o exploit pode ser facilmente baixado aqui http://www.exploit-db.com/exploits/11457 .

A regra WEB-CLIENT Portable Executable binary file transfer é uma regra que seta o flowbits para download de binarios .exe . A regra não gera alerta mas a mesma é necessaria para outras regras funcionarem corretamente . Por exemplo no update atual os SID http://www.snort.org/search/sid/16434 , http://www.snort.org/search/sid/16435 e http://www.snort.org/search/sid/16436 so funcionarão se essa regra tiver ativada vista que a mesma seta o flowbits http.exe .
O Release completo das regras dessa semana em http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-17.html
2010794 - ET WEB_SERVER DFind w00tw00t GET-Requests (emerging-web_server.rules)
2010795 - ET ATTACK_RESPONSE Matahari client (emerging-attack_response.rules)
2010796 - ET CURRENT_EVENTS MALWARE Unknown Malware Download Attempt (emerging-current_events.rules)
2010797 - ET POLICY Twitter Status Update (emerging-policy.rules)
2010798 - ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt (emerging-current_events.rules)
2010799 - ET CURRENT_EVENTS Internet Explorer CVE-2010-0249 srcElement Remote Code Execution Attempt (emerging-current_events.rules)
2010800 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagLogListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010801 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010802 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewSatReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010803 - ET WEB_SPECIFIC_APPS F5 Data Manager DiagCaptureFileListActionBody.do capture parameter LFI Attempt (emerging-web_specific_apps.rules)
2010804 - ET WEB_SPECIFIC_APPS F5 Data Manager ViewInventoryErrorReport.do Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010805 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010806 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010807 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010808 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010809 - ET WEB_SPECIFIC_APPS Joomla com_yelp Component cid Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010810 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010811 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010812 - ET TROJAN FakeAlert/FraudPack/FakeAV/Guzz/Dload/Vobfus/ZPack HTTP Post (emerging-virus.rules)
2010813 - ET WEB_CLIENT VLC Media Player smb URI Handling Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010814 - ET WEB_CLIENT Possible AOL 9.5 BindToFile Heap Overflow Attempt (emerging-web_client.rules)
2010815 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010816 - ET POLICY Incoming Connection Attempt From Amazon EC2 Cloud (emerging-policy.rules)
2010817 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010818 - ET CURRENT Possible Cisco ASA 5500 Series Adaptive Security Appliance Remote SIP Inspection Device Reload Denial of Service Attempt (emerging-current_events.rules)
2010819 - ET POLICY Facebook Chat using XMPP (emerging-policy.rules)
2010820 - ET WEB_SERVER Tilde in URI, potential .cgi source disclosure vulnerability (emerging-web_server.rules)
2010821 - ET TROJAN Java Downloader likely malicious payload download src=xrun (emerging-virus.rules)
2010822 - ET TROJAN smain?scout=acxc Generic Download landing (emerging-virus.rules)
2010823 - ET TROJAN Torpig Related Fake User-Agent (Apache (compatible...)) (emerging-virus.rules)
2010824 - ET TROJAN Torpig Ping-Pong Keepalives Outbound (emerging-virus.rules)
2010825 - ET TROJAN Torpig Ping-Pong Keepalives Inbound (emerging-virus.rules)
2010826 - ET TROJAN Torpig Initial CnC Connect on port 8392 (emerging-virus.rules)
2010827 - ET TROJAN Torpig CnC Connect on port 8392 (emerging-virus.rules)
2010828 - ET TROJAN Torpig CnC IP Report Command on port 8392 (emerging-virus.rules)
2010829 - ET TROJAN Torpig CnC Report Command on port 8392 (emerging-virus.rules)
2010830 - ET TROJAN Unknown Dropper Checkin (2) (emerging-virus.rules)

Tivemos também adicionada algumas dezenas de regras de comunição com botnet controles e com a famosa RBN (Russian Business Network) como as abaixos:

ET DROP Known Bot C&C Server Traffic
ET RBN Known Russian Business Network IP

Essa regra do IE ET CURRENT_EVENTS Possible Microsoft Internet Explorer URI Validation Remote Code Execution Attempt bem facil de voce ter algo na sua rede exploradas então vale a pena utilizar .

As regras de Torpig acredito ser interessante utilizar por alguns dias visto que pessoas do ET notaram a presença do mesmo .

Enviei também essa semana e com uma melhoria do Joel Esler uma regra para detectar o uso do Chat do Facebook que agora funciona via client-jabber ET POLICY Facebook Chat using XMP .

Não sou de postar sobre as modificações de regras mas fizeram uma mudança interessante numa regra do conficker que acredito que muitas redes antes estejam sujeitas a esse malware.

2009024 - ET CURRENT_EVENTS Downadup/Conficker A or B Worm reporting (emerging-virus.rules)

Para ver a lista completa das novas regras, updates e regras removidas do ET basta acessar http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006326.html

Como sempre saliento cada rede tem suas necessidades específica e a utilização de regras certamente pode ser similar ou não as citadas no SRW . Conheça sua rede pois isso diminui seu trabalho, perda de pacotes e processamento do seu sensor.

Algo importante de observarem é se as regras que vão utilizar possuem flowbits set/isset visto que se não usarmos as regras corretas as mesma nunca serão alertadas . Escreverei durante essa semana um artigo básico sobre flowbits pois acho que pode ser interessante a todos .

Espero que seja de grande utilidade a todos. Até a próxima semana.

Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)
Postado por às Nenhum comentário:
Marcadores: ,

quinta-feira, 18 de fevereiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 3 (08 Fev 2010/14 Fev 2010)

Essa semana o SRW saiu com um pequeno atraso visto que também pulo Carnaval como todo Brasileiro =)!

Semana passada foi a famosa semana da black tuesday (ótimo post da SANS aqui ), ou seja, segunda terça-feira do mês no qual a Microsoft lança seus queridissimos updates .

O VRT lançou as seguintes regras para essa semana , frisando bem a cobertura das ameaças que a Microsoft fez os updates.

16395 <-> NETBIOS SMB COPY command oversized pathname attempt
16405 <-> ICMP Microsoft Windows Ipv6pHandleRouterAdvertisement Prefix Information stack buffer overflow attempt
16409 <-> WEB-CLIENT Microsoft PowerPoint improper filename remote code execution attempt
16410 <-> WEB-CLIENT Microsoft PowerPoint file LinkedSlide10Atom record parsing heap corruption attempt
16411 <-> WEB-CLIENT Microsoft PowerPoint out of bounds value remote code execution attempt
16412 <-> WEB-CLIENT Microsoft PowerPoint invalid TextByteAtom remote code execution attempt
16413 <-> WEB-CLIENT Microsoft PowerPoint invalid TextCharsAtom remote code execution attempt
16414 <-> WEB-CLIENT Windows Shell Handler remote code execution attempt
16415 <-> WEB-CLIENT Microsoft DirectShow memory corruption attempt
16416 <-> WEB-CLIENT Malformed XLS MSODrawing Record
16417 <-> NETBIOS SMB Negotiate Protocol Response overflow attempt
16418 <-> NETBIOS DELETED SMB client NULL deref race condition attempt - DISABLED
16419 <-> WEB-ACTIVEX Microsoft Data Analyzer 3.5 ActiveX clsid access
16420 <-> WEB-ACTIVEX Microsoft Data Analyzer 3.5 ActiveX clsid unicode access
16421 <-> EXPLOIT Microsoft PowerPoint out of bounds value remote code execution attempt
16422 <-> EXPLOIT JPEG with malformed SOFx field
16423 <-> WEB-CLIENT IE7/8 execute local file in Internet zone redirect attempt
16394 <-> DOS Active Directory Kerberos referral TGT renewal DoS attempt
16396 <-> NETBIOS SMB server srvnet.sys driver race condition attempt
16408 <-> DOS Microsoft Windows TCP SACK invalid range denial of service attempt
16397 <-> NETBIOS SMB andx invalid server name share access
16398 <-> NETBIOS SMB invalid server name share access
16399 <-> NETBIOS SMB unicode andx invalid server name share access
16400 <-> NETBIOS SMB unicode invalid server name share access
16401 <-> NETBIOS NETBIOS-DG SMB andx invalid server name share access
16402 <-> NETBIOS NETBIOS-DG SMB invalid server name share access
16403 <-> NETBIOS NETBIOS-DG SMB unicode andx invalid server name share access
16404 <-> NETBIOS NETBIOS-DG SMB unicode invalid server name share access
16406 <-> WEB-MISC JPEG file download attempt
16407 <-> WEB-MISC JPEG file download attempt
Como esse update visa a maioria dos updates da MS eu utilizaria inicialmente todas as regras habilitadas (logicamente caso eu tenha 100% de certeza que não possua algo não precisa habilitar) e analisaria o resultado tanto em performance como possiveis falsos positivos. Vale lembrar que o ideal para essas regras é utilizar um sensor interno protegendo sua LAN visto que a maioria dos problemas de NETBIOS e Client-Side não estao expostos na DMZ ou para o mundo o que não tera validade habilitar essas regras .

Link completo do update http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-09.html

O Emerging Threats na possui regras para a maioria das ameaças, vale lembrar o que sempre saliento que VRT e ET são regras totalmente complementares e de suma importancia usar os dois rulesets (se quiser saber sobre as regras de uma olhada http://snort.org.br/index.php?option=com_content&task=view&id=24&Itemid=31 )

Nessa semana do SRW edição 3 tivemos as seguintes regras:

2010771 - ET WEB_SPECIFIC_APPS asaher pro view_messages.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010772 - ET WEB_SPECIFIC_APPS asaher pro view_blog_comments.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010773 - ET WEB_SPECIFIC_APPS asaher pro view_blog_archives.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010774 - ET WEB_SPECIFIC_APPS asaher pro add_comments.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010775 - ET WEB_SPECIFIC_APPS asaher pro downloads.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010776 - ET WEB_SPECIFIC_APPS asaher pro emailsender.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010777 - ET WEB_SPECIFIC_APPS asaher pro left_menu.php row_y5_site_configuration Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010778 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -1 (emerging-web_client.rules)
2010779 - ET WEB_CLIENT HP Mercury Quality Center ActiveX ProgColor Buffer Overflow Attempt -2 (emerging-web_client.rules)
2010780 - ET WEB_SPECIFIC_APPS Joomla mediaslide component viewer.php path Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010781 - ET POLICY PsExec service created (emerging-policy.rules)
2010782 - ET POLICY RemoteControlX rctrlx service created (emerging-policy.rules)
2010783 - ET EXPLOIT GsecDump executed (emerging-exploit.rules)
2010784 - ET POLICY Facebook Chat (send message) (emerging-policy.rules)
2010785 - ET POLICY Facebook Chat (buddy list) (emerging-policy.rules)
2010786 - ET POLICY Facebook Chat (settings) (emerging-policy.rules)
2010787 - ET TROJAN Knockbot Proxy Response From Controller (emerging-virus.rules)
2010788 - ET TROJAN Knockbot Proxy Response From Controller (empty command) (emerging-virus.rules)
2010789 - ET TROJAN SpyBye Bot Checkin (emerging-virus.rules)
2010790 - ET TROJAN Bredavi Configuration Update Response (emerging-virus.rules)
2010791 - ET TROJAN Bredavi Checkin (emerging-virus.rules)
2010792 - ET TROJAN Bredavi Proxy Registration (emerging-virus.rules)
2010793 - ET TROJAN Bredavi Binary Download Request (emerging-virus.rules)

Como citado minhas regras foram aceitas no ruleset (sid's 2010784, 2010785, 2010786 ) . Uma regra que achei bem interessante mas não testei foi ET POLICY PsExec service created.

Como citei eu gosto das regras de Trojans, Botnet e caso tenha uma grande rede monitorando sua LAN/Intranet eu habilitaria as mesma. Sempre frisando que voce pode habilitar, acompanhar como a mesma se porta visto que nunca sabemos o que nossos usuários clicarão =) .

A referência completa das mudanças http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006145.html

No próximo domingo na data correta o SRW edição 4.

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)
Postado por às Nenhum comentário:
Marcadores: ,

sábado, 6 de fevereiro de 2010

SRW - Snort Rules Week (VRT e ET) - edição 2 (01 Fev 2010/07 Fev 2010)

O VRT da Sourcefire não realizou nenhum update essa semana mas pode prepara que na próxima semanas certamente lançaram várias regras visto a grande quantidade de updates que sairão no Patch Tuesday da Microsoft.

O Emerging Threats como citei sempre terá regras visto o foco um pouco diferente do VRT da Sourcefire . Abaixo a listagem de novas regras que sairam nessa semana .

ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX stack overfow Function call Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX Buildpath method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX GetDriveName method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DriveExists method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DeleteFile method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
ET DOS IBM DB2 kuddb2 Remote Denial of Service Attempt (emerging-dos.rules)
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET WEB_CLIENT VLC Media Player Aegisub Advanced SubStation (.ass) File Request flowbit set (emerging-web_client.rules)
ET WEB_CLIENT VLC Media Player .ass File Buffer Overflow Attempt (emerging-web_client.rules)
ET EXPLOIT Xerox WorkCentre PJL Daemon Buffer Overflow Attempt (emerging-exploit.rules)
ET WEB_CLIENT Possible Gracenote CDDBControl ActiveX Control ViewProfile Method Heap Buffer Overflow Attempt (emerging-web_client.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery UserCommand Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Ping UserCommand Attempt (emerging-web_specific_apps.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
ET TROJAN Zalupko/Koceg/Mandaph HTTP Checkin (2) (emerging-virus.rules)
ET POLICY Proxy TRACE Request - inbound (emerging-policy.rules)
ET POLICY TRACE Request - outbound (emerging-policy.rules)
ET WEB_SERVER Open-Proxy ScannerBot (webcollage-UA) (emerging-user_agents.rules)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
ET WEB_SPECIFIC_APPS HP System Management Homepage Input Validation Cross Site Scripting Attempt (emerging-web_specific_apps.rules)


Eu particularmente gosto das regras que monitoram botnet especialmente em grandes redes pois isso pode se transformar num grande problema visto que se uma máquina foi infectada por algo que seu AntiVirus não detectou o que não seria nenhuma novidade, possivelmente todo seu parque podera estar vulneravel e a detecção pro-ativa facilitara e dominuira seu trabalho certamente . Eu sugiro as regras abaixo a serem utilizadas.

ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)

Essas regras se analisarem são BEM similares até enviarei um e-mail pro Matt Jonkman sugerindo uma regra mais generica . Aproveitando um link de referência bem interessante sobre analise do Sasfis botnet pode ser visto em www.fortiguard.com/analysis/sasfisanalysis.html .


Outra regra interessante de ser utilizada é a regra abaixo que explora mais falhas do IE . Vale lembrar que as maiorias de regras que pegam ataques client-side precisam que seu snort.conf possua a configuração no pre-processador http_inspect de flow_depth 0, pois sem essa configuração somente será analisado os 300 primeiros bytes de resposta da requisição (porém tem que cuidar para performance). Escreverei algo em breve sobre client-side e snort =)

ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)


Outra falha que acho legal monitorar é o CSRF , nesse caso saiu para o Zenos como podem ver nessa regra "Zenoss Cross Site Request Forgery" . O CSRF geralmente é um ataque bem dificil de ser percebido por quem sofreu o que torna esse monitoramento caso utilize Zenoss interessante. Logicamente lembrando que a melhor solução é sempre utilizar a versão mais atual sem a falha mas monitorar nunca é demais =) .

Para ver as mudanças completas da semana no ET acesse: http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006081.html

Eu enviei algumas regras para alertas sobre Chat no Facebook mas ainda não fizeram comentários e quem sabe na próxima na estara por lá, de qualquer forma segue as regras sugeridas para quem quiser utilizar :

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (sending message)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/send.php";content:"facebook.com";sid:101010;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (buddy list)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/buddy_list.php";content:"facebook.com";sid:101011;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (settings)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/settings.php";content:"facebook.com";sid:101012;)

** Lembre de modificar o sid caso for utilizar .


Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .


Até o próximo SRW que certamente será cheio de novas regras especialmente para cobrir as novas correções do MS Patch Tuesday .

Happy Snorting


Rodrigo Montoro(Sp0oKeR)
Postado por às Um comentário:
Marcadores: ,
Assinar: Postagens (Atom)