Ho impostato snort e lo sto configurando per la mia rete. Ho un server VPN che effettua una connessione al mio server dns / AD. Questa connessione si attiva:
GPL SHELLCODE x86 inc ebx NOOP
Il carico utile è il seguente:
....WANG2..JFIF''..C
(1#%(:3=<9387@H\N@DWE78PmQW_bghg>Mqypdx\egc..C//cB8Bcccccccccccccccccccccccccccccccccccccccccccccccccc..&.!..
...}!1AQa"q2...#B..R..$3br.
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz...........................................................................
...w!1AQaq"2.B.... #3R.br.
$4.%.&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz..........................................................................?.5mJ#M...dh.....q.=j...+/G3Y.P.@t.@#=...j..u.g...4....................iw......yq..r......ZTQ@Q@Q@
.D.6.GTD...(I5....I..b..+.ie$.)$.[8.3.@..........$..,[email protected]_k6..>...-...9.;.L.....B..x.9..y.h.5.w.'Q..>...._/v..9Q.'..{t.Z..i..}...P..I,.$....@..'G..q._G..E.*~..s..]..E...$...-.)L.N7m...=........tI..o...v.K...rrp.\mx......s..o&%..c.A.u.zP*....h.....Z..i.q
O.Q.......H....:...K.0#.##...q..9..Mo.?{..n...........{V..<Ek.y.$.Xv.cq.I.q..<t.|Mo.2[.2]_K...@A'I..9..6n.=kI.......G...,.Z..MJ..J.4.n.. RIS8.m...}I....x..M........e..D c.s.^._.......O.st.3..$...;N....zus.;..B........J..u[b.k.'.aAU....4k..._hze....VtdV
2.......}[..d..|#kb.N#R.H
..o............E
.>?......b3yx'.'9..A..\A.......B...A#...H.D.~.go4...y.|.W(x...o.cD..."*.231..a.......u...[uxT..p....\...:..(u..1L.[...3.u...Y...>..D..NR".........=}.@..._...V.....$..N2.x..0x.5...C....sw...."(u...r..'..S..+{.=z....._&[email protected]
.g......C{....s.D.!eYA#..Bh/K.K..N...S.8.
@......B.....................9....}.l..b..VI.x...M.Oane...l{..8..6...Cq...I......7......?.a...}.....O.|1._..<u7.,/b...t.Z[.C..P..9...#...9.
...a.....6.]A...he..z.9=q...lol<..q,.om3.d...(p..=y.M.O.,.....j..5....G.M6.2/#FT'd....06d.w~5:...>....a.3(_-O..
La mia domanda
Come si determina se si tratta di un trasferimento di file o di uno shellcode effettivo che tenta di eseguire un overflow del buffer come il database delle regole dice ?