Snort regole per rilevare le sessioni Meterpreter

5

Sto imparando durante la configurazione di Snort, la mia configurazione consiste in un utente malintenzionato (Linux), una vittima (smartphone Android) e un sistema di rilevamento (IDS). Finora, sono stato in grado di registrare tutti i pacchetti tra l'attaccante e la vittima, inclusa la sessione Meterpreter. Cosa devo fare / ricercare se voglio rilevare la sessione Meterpreter? Un po 'di analisi dei pacchetti mi ha dato un valore esadecimale per lo stager. Il payload utilizzato è android/meterpreter/reverse_tcp .

Voglio creare un file di regole per rilevare una sessione Meterpreter tra questi due dispositivi. Come dovrei procedere? Sarebbe davvero utile se qualcuno mi indicasse la giusta direzione. Grazie!

    
posta Mahip 14.07.2016 - 07:03
fonte

2 risposte

3

So che questa è una vecchia domanda, ma alla ricerca ho trovato questo post interessante . Ci sono i suggerimenti che ti servono. Estratto da lì

Puoi fare come regola Snort per rilevare le sessioni Meterpreter per le connessioni esterne. Voglio dire, invertire le shell Meterpreter che cercano di connettersi all'esterno. In questo modo:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit Meterpreter"; flow:to_server,established; content:"RECV"; http_client_body; depth:4; fast_pattern; isdataat:!0,relative; urilen:23<>24,norm; content:"POST"; pcre:"/^\/[a-z0-9]{4,5}_[a-z0-9]{16}\/$/Ui"; classtype:trojan-activity; reference:url,blog.didierstevens.com/2015/05/11/detecting-network-traffic-from-metasploits-meterpreter-reverse-http-module/; sid:1618008; rev:1;)

Per altri tipi di scenari, le modifiche dovrebbero essere fatte sulla regola, ma è un inizio.

    
risposta data 27.03.2017 - 21:11
fonte
1

Vorrei controllare le regole della minaccia emergente.

link

Cerca Meterpreter e puoi vedere almeno 50 diversi esempi di sigs che rilevano Meterpreter in varie fasi e varianti dell'attacco.

    
risposta data 27.03.2017 - 22:00
fonte

Leggi altre domande sui tag