Attack bypass snort

Thảo luận trong 'Hỏi đáp' bắt đầu bởi nguyenblack, 10/10/17, 12:10 AM.

  1. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    các bro có biết loại tấn công nào bypass qua snort được không ạ ? và rule để chặn cái loại đó luôn ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. hungp

    hungp Whi-----

    Tham gia: 27/12/14, 12:12 PM
    Bài viết: 74
    Đã được thích: 48
    Điểm thành tích:
    48
    Bạn hỏi vậy chung chung quá. Việc có bypass được các rule của snort hay không sẽ phụ thuộc vào rule đấy mà việc đặt rule sẽ phụ thuộc vào trình độ và kinh nghiệm của người đặt. Bạn đưa ra 1 tình huống cụ thể của các rule thì mọi người mới đưa ra hướng được :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    cụ thể là mình đang test chương trình trojan backdoor msfvenom. Ở trên máy attacker sẽ tạo ra một chương trình payload.exe rồi bỏ sang máy victim đồng thời máy attacker lắng nghe kết nối. Khi máy victim chạy chương trình payload.exe đó thì máy attacker sẽ có phiên điều khiển của victim. Nhưng có một điều là mình download bộ rule của snort về, nhưng khi chạy tập rule này về thì không hề có một cảnh bảo nào về cuộc tấn công trên cả. Vậy mấy anh cho em biết mình phải làm viết rule hay tìm ở đâu để nó cảnh báo ạ ! Em cảm ơn nhiều ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tmnt53 thích bài này.
  4. krone

    krone VIP Members

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 260
    Đã được thích: 137
    Điểm thành tích:
    43
    BẠn nên check những trường hợp sau.
    • Máy chạy snort đã run đúng cách chưa.
    • Snort đã config forward cho máy victim chưa hoặc đã forward sniff cho toàn dãy mạng chưa.
    • Rule đã đúng với exploit chưa, bản chất của rule không phải là cứ bắt đúng. Hãy suy nghĩ theo hướng phân tích những dấu hiệu lạ, ví dụ như reverse tcp hay bất cứ thứ gì lạ cổng đi ra ngoài mạng. Etc.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    mình đã tạo ra một shell code dạng alpha_mixed ( dạng chữ vs số thôi ) . chạy cái shell trên máy victim thì máy attacker mở đc kết nối. đồng thời snort cũng ghi n
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    nhận là có tấn công . bây giờ mình mình vẫn đoạn shell đó mà mình mã hoá đi cho snort ko biết . những vẫn thực thi đc như ban đầu . anh có cách gì ko . làm bằng cách nào trên máy victim cũng đc ! tks
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. krone

    krone VIP Members

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 260
    Đã được thích: 137
    Điểm thành tích:
    43
    Về khoản này thì mình không chắc lắm, bạn có thể tham khảo thêm với keyword "obfucation shell script" trên mạng cũng khá nhiều.
    Phần mình cũng chỉ làm với một số shell php thôi nên không chắc lắm với các shell từ application programming.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan