quarta-feira, 11 de março de 2009

Pegando binários a partir do pcap

Vi esse post demonstrando facilmente como pegar o binário através do pcap. Com certeza isso é MUITO interessante, até como exemplos podemos criar regras no snort para logar o tráfego de binários exe em portas http por exemplo, para depois fazermos a analise. Logicamente poderiamos fazer isso para outros protocolos, correlacionar com a politica de seguranca, usar da maneira que imaginar .

Por exemplo uma regra BEM simples para tráfego SMTP, não utilizem em ambientes de produção, caso queira podemos refinar num futuro, so mandar e-mail

alert $HOME_NET any -> $SMTP_SERVER 25 (msg:"Arquivo EXE para servidor de e-mail, possivel virus"; sid:100000000; content:".exe";nocase;)

Ou simplemesnte um GET web

alert $ HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Arquivo EXE recebido via GET porta 80";sid:10000000001;uricontent:".exe";nocase;)

Como citei, regras extremamente simples , so para ilustrar as possibilidades =)

O link para o artigo em inglês: "Pulling Binaries from pcap"

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

Nenhum comentário: