nguyenblack
Active Member
-
03/10/2017
-
4
-
36 bài viết
Attack bypass snort
các bro có biết loại tấn công nào bypass qua snort được không ạ ? và rule để chặn cái loại đó luôn ạ
@ 2009 - 2021 Bkav Corporation
Bạn hỏi vậy chung chung quá. Việc có bypass được các rule của snort hay không sẽ phụ thuộc vào rule đấy mà việc đặt rule sẽ phụ thuộc vào trình độ và kinh nghiệm của người đặt. Bạn đưa ra 1 tình huống cụ thể của các rule thì mọi người mới đưa ra hướng đượccác bro có biết loại tấn công nào bypass qua snort được không ạ ? và rule để chặn cái loại đó luôn ạ
BẠn nên check những trường hợp sau.cụ thể là mình đang test chương trình trojan backdoor msfvenom. Ở trên máy attacker sẽ tạo ra một chương trình payload.exe rồi bỏ sang máy victim đồng thời máy attacker lắng nghe kết nối. Khi máy victim chạy chương trình payload.exe đó thì máy attacker sẽ có phiên điều khiển của victim. Nhưng có một điều là mình download bộ rule của snort về, nhưng khi chạy tập rule này về thì không hề có một cảnh bảo nào về cuộc tấn công trên cả. Vậy mấy anh cho em biết mình phải làm viết rule hay tìm ở đâu để nó cảnh báo ạ ! Em cảm ơn nhiều ạ
mình đã tạo ra một shell code dạng alpha_mixed ( dạng chữ vs số thôi ) . chạy cái shell trên máy victim thì máy attacker mở đc kết nối. đồng thời snort cũng ghi nBẠn nên check những trường hợp sau.
- Máy chạy snort đã run đúng cách chưa.
- Snort đã config forward cho máy victim chưa hoặc đã forward sniff cho toàn dãy mạng chưa.
- Rule đã đúng với exploit chưa, bản chất của rule không phải là cứ bắt đúng. Hãy suy nghĩ theo hướng phân tích những dấu hiệu lạ, ví dụ như reverse tcp hay bất cứ thứ gì lạ cổng đi ra ngoài mạng. Etc.
nhận là có tấn công . bây giờ mình mình vẫn đoạn shell đó mà mình mã hoá đi cho snort ko biết . những vẫn thực thi đc như ban đầu . anh có cách gì ko . làm bằng cách nào trên máy victim cũng đc ! tksmình đã tạo ra một shell code dạng alpha_mixed ( dạng chữ vs số thôi ) . chạy cái shell trên máy victim thì máy attacker mở đc kết nối. đồng thời snort cũng ghi n
Về khoản này thì mình không chắc lắm, bạn có thể tham khảo thêm với keyword "obfucation shell script" trên mạng cũng khá nhiều.nhận là có tấn công . bây giờ mình mình vẫn đoạn shell đó mà mình mã hoá đi cho snort ko biết . những vẫn thực thi đc như ban đầu . anh có cách gì ko . làm bằng cách nào trên máy victim cũng đc ! tks