Cách viết rule phát hiện Shellcode của Snort

Thảo luận trong 'Hỏi đáp' bắt đầu bởi nguyenblack, 12/10/17, 10:10 AM.

  1. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    Các bro cho mình hỏi làm cách nào để viết một rule phát hiện có tấn công shellcode trên snort vậy ? Mình thấy rule có sẵn của snort phát hiện shellcode qua từ khoá content ( nội dung ) trong đó chứa những kí tự đặc biệt của loại shellcode hay của cuộc tấn công đó. Vậy cho em hỏi là cái content đó lấy ở đâu ra ? làm cách nào để phân tích được nó . Và phân tích nó như thế nào . anh em nào biết cách hoặc co tài liệu liên quan đến vấn đề này hoặc ví dụ càng tốt thì cho mình thỉnh giáo với nhá ! tks mọi người
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 878
    Đã được thích: 354
    Điểm thành tích:
    83
    Hello bạn
    Để có thể nắm được về các Rule, bạn cần biết cấu trúc của Rule. Tài liệu hướng dẫn tạo Rule ở link này (trang 182). Như trong tài liệu, một rule bao gồm các thành phần:
    - Action: có thể là Alert, Log, Pass, Activate, Dynamic, Drop, Reject, Sdrop.
    - Protocol: TCP, UDP, ICMP, IP, ARP, IGRP, GRE, OSPF, RIP, IPX.
    - IP: địa chỉ IP nguồn và đích của lưu lượng cần giám sát.
    - Port: cổng của dịch vụ tương ứng.
    - Direction: chiều lưu lượng cần giám sát
    - Activate/Dynamic: một activate rule có thể kích hoạt một dynamic rule, khi một điều kiện nào đó xảy ra.
    Trong một rule sẽ có phần Option. Phần này rất quan trọng và đóng vai trò như trái tim của một rule trong việc phát hiện xâm nhập. Có 4 loại Option chính:
    - General
    - Payload
    - Non-payload
    - Post detection
    Trong General option có tùy chọn ClassType với giá trị là shellcode-detect để phát hiện mã thực thi, hoặc trojan-activity để phát hiện Trojan.
    Theo mình biết thì các rule của Snort thường được cập nhật ở trang http://blog.snort.org/. Bạn có thể lấy ở trang này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    VladimirTrinh95 and sunny like this.
  3. nguyenblack

    nguyenblack Active Member

    Tham gia: 03/10/17, 09:10 PM
    Bài viết: 36
    Đã được thích: 4
    Điểm thành tích:
    8
    mình muốn tự tìm dấu hiệu để phát hiện shell code ấy bạn. Mình xài snort cũ để cho dễ test. mà không biết làm sao để ghi được giá trị content trong rule để phát hiện ra shell
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 878
    Đã được thích: 354
    Điểm thành tích:
    83
    Nếu muốn tự làm, vậy thì bạn phải biết cách phân tích chữ ký của từng loại shell. Điều này đòi hỏi nhiều thời gian để nghiên cứu.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Sugarprohy

    Sugarprohy New Member

    Tham gia: 22/09/20, 06:09 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Bác nào giành về nó chỉ giúp e được k?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,549
    Đã được thích: 350
    Điểm thành tích:
    83
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat News #ID:2018 thích bài này.