Cách viết rule phát hiện Shellcode của Snort

nguyenblack

Active Member
03/10/2017
4
36 bài viết
Cách viết rule phát hiện Shellcode của Snort
Các bro cho mình hỏi làm cách nào để viết một rule phát hiện có tấn công shellcode trên snort vậy ? Mình thấy rule có sẵn của snort phát hiện shellcode qua từ khoá content ( nội dung ) trong đó chứa những kí tự đặc biệt của loại shellcode hay của cuộc tấn công đó. Vậy cho em hỏi là cái content đó lấy ở đâu ra ? làm cách nào để phân tích được nó . Và phân tích nó như thế nào . anh em nào biết cách hoặc co tài liệu liên quan đến vấn đề này hoặc ví dụ càng tốt thì cho mình thỉnh giáo với nhá ! tks mọi người
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Các bro cho mình hỏi làm cách nào để viết một rule phát hiện có tấn công shellcode trên snort vậy ? Mình thấy rule có sẵn của snort phát hiện shellcode qua từ khoá content ( nội dung ) trong đó chứa những kí tự đặc biệt của loại shellcode hay của cuộc tấn công đó. Vậy cho em hỏi là cái content đó lấy ở đâu ra ? làm cách nào để phân tích được nó . Và phân tích nó như thế nào . anh em nào biết cách hoặc co tài liệu liên quan đến vấn đề này hoặc ví dụ càng tốt thì cho mình thỉnh giáo với nhá ! tks mọi người
Hello bạn
Để có thể nắm được về các Rule, bạn cần biết cấu trúc của Rule. Tài liệu hướng dẫn tạo Rule ở link này (trang 182). Như trong tài liệu, một rule bao gồm các thành phần:
- Action: có thể là Alert, Log, Pass, Activate, Dynamic, Drop, Reject, Sdrop.
- Protocol: TCP, UDP, ICMP, IP, ARP, IGRP, GRE, OSPF, RIP, IPX.
- IP: địa chỉ IP nguồn và đích của lưu lượng cần giám sát.
- Port: cổng của dịch vụ tương ứng.
- Direction: chiều lưu lượng cần giám sát
- Activate/Dynamic: một activate rule có thể kích hoạt một dynamic rule, khi một điều kiện nào đó xảy ra.
Trong một rule sẽ có phần Option. Phần này rất quan trọng và đóng vai trò như trái tim của một rule trong việc phát hiện xâm nhập. Có 4 loại Option chính:
- General
- Payload
- Non-payload
- Post detection
Trong General option có tùy chọn ClassType với giá trị là shellcode-detect để phát hiện mã thực thi, hoặc trojan-activity để phát hiện Trojan.
Theo mình biết thì các rule của Snort thường được cập nhật ở trang http://blog.snort.org/. Bạn có thể lấy ở trang này.
 
Comment
mình muốn tự tìm dấu hiệu để phát hiện shell code ấy bạn. Mình xài snort cũ để cho dễ test. mà không biết làm sao để ghi được giá trị content trong rule để phát hiện ra shell
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mình muốn tự tìm dấu hiệu để phát hiện shell code ấy bạn. Mình xài snort cũ để cho dễ test. mà không biết làm sao để ghi được giá trị content trong rule để phát hiện ra shell
Nếu muốn tự làm, vậy thì bạn phải biết cách phân tích chữ ký của từng loại shell. Điều này đòi hỏi nhiều thời gian để nghiên cứu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bác nào giành về nó chỉ giúp e được k?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Comment
Bên trên