Snort falso positivo?

1

Ho impostato snort e lo sto configurando per la mia rete. Ho un server VPN che effettua una connessione al mio server dns / AD. Questa connessione si attiva:

GPL SHELLCODE x86 inc ebx NOOP

Il carico utile è il seguente:

....WANG2..JFIF''..C

(1#%(:3=<9387@H\N@DWE78PmQW_bghg>Mqypdx\egc..C//cB8Bcccccccccccccccccccccccccccccccccccccccccccccccccc..&.!..   
...}!1AQa"q2...#B..R..$3br. 
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz...........................................................................    
...w!1AQaq"2.B....  #3R.br.
$4.%.&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz..........................................................................?.5mJ#M...dh.....q.=j...+/G3Y.P.@t.@#=...j..u.g...4....................iw......yq..r......ZTQ@Q@Q@
.D.6.GTD...(I5....I..b..+.ie$.)$.[8.3.@..........$..,[email protected]_k6..>...-...9.;.L.....B..x.9..y.h.5.w.'Q..>...._/v..9Q.'..{t.Z..i..}...P..I,.$....@..'G..q._G..E.*~..s..]..E...$...-.)L.N7m...=........tI..o...v.K...rrp.\mx......s..o&%..c.A.u.zP*....h.....Z..i.q
O.Q.......H....:...K.0#.##...q..9..Mo.?{..n...........{V..<Ek.y.$.Xv.cq.I.q..<t.|Mo.2[.2]_K...@A'I..9..6n.=kI.......G...,.Z..MJ..J.4.n..    RIS8.m...}I....x..M........e..D     c.s.^._.......O.st.3..$...;N....zus.;..B........J..u[b.k.'.aAU....4k..._hze....VtdV
2.......}[..d..|#kb.N#R.H
..o............E
.>?......b3yx'.'9..A..\A.......B...A#...H.D.~.go4...y.|.W(x...o.cD..."*.231..a.......u...[uxT..p....\...:..(u..1L.[...3.u...Y...>..D..NR".........=}.@..._...V.....$..N2.x..0x.5...C....sw...."(u...r..'..S..+{.=z....._&[email protected]
.g......C{....s.D.!eYA#..Bh/K.K..N...S.8.
@......B.....................9....}.l..b..VI.x...M.Oane...l{..8..6...Cq...I......7......?.a...}.....O.|1._..<u7.,/b...t.Z[.C..P..9...#...9.
...a.....6.]A...he..z.9=q...lol<..q,.om3.d...(p..=y.M.O.,.....j..5....G.M6.2/#FT'd....06d.w~5:...>....a.3(_-O..

La mia domanda

Come si determina se si tratta di un trasferimento di file o di uno shellcode effettivo che tenta di eseguire un overflow del buffer come il database delle regole dice ?

    
posta k to the z 04.05.2012 - 16:37
fonte

2 risposte

4

NOOP sono la mancia per le regole dello snort. È probabile che un trasferimento di file non abbia diapositive NOP, ma in questo caso potrebbe essere un falso positivo:

WANG2..JFIF 

Quello che potresti avere qui è un ping da una macchina Windows a un'altra. Parte del payload ping è un jpg della parola: Microsoft.

Questo tipo di traffico ha spinto altre persone a essere suspicious , come bene .

Ma sarebbe bello avere la traccia del pacchetto invece della traduzione ASCII dell'esagono.

    
risposta data 04.05.2012 - 17:38
fonte
1

Anche se non ho una risposta completa per te, tieni presente che la regola su questo è solo una stringa di "C" in ASCII o 0x43. quindi è abbastanza impreciso.

La regola Snort che ha trovato questo era:

alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any (msg:"SHELLCODE x86 inc ebx NOOP"; content:"CCCCCCCCCCCCCCCCCCCCCCCC"
; classtype:shellcode-detect; sid:1390; rev:5;)

Esempio di file di avviso da snort:

[**] [1:1390:5] SHELLCODE x86 inc ebx NOOP [**]
[Classification: Executable code was detected] [Priority: 1] 
01/15-17:32:16.249189 192.168.2.101:3128 -> 192.168.2.103:57310
TCP TTL:64 TOS:0x0 ID:22656 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0xC2797B70  Ack: 0x11FE472E  Win: 0x8B  TcpLen: 32
TCP Options (3) => NOP NOP TS: 59640418 25088619 
    
risposta data 15.01.2013 - 13:47
fonte

Leggi altre domande sui tag