Começarei com esse post uma serie semanal que pretendo postar todo domingo ou segunda-feira de cada semana comentando sobre os updates realizados pelo Emerging-Threats e as regras do VRT (Oficiais da Sourcefire). Aqui não farei comentários de updates de regras antigas ou algo relacionado e também pretendo adicionar links de referência de for o caso .
Inicialmente vamos a update do VRT lançado em 28/01/2010
http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-01-28.html
O update possui
3 regras com alta criticidade
1 regra de baixa criticidade
Analisando as regras a que mais chamou atenção apesar foi a 16391 <-> SPECIFIC-THREATS Gozi Trojan connection to C&C attempt (specific-threats.rules, High) pois olhadando a referência que era a analise do sample da mesma a detecção dos AntiVirus foi 0 de 40 o que cada vez mais demonstram a fragilidade dos AV's e necessidade crescente de multiplos pontos de proteção . Vejam a referência citada na regra AQUI .
Sobre o Emerging-threats vocês podem acompanhar as mudanças da semana assinando a lista ou vendo o archive da lista . O desta semana pode ser visto em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005939.html
Algumas regras que achei interessante
ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk (emerging-policy.rules) - devido ao 0day correndo pela internet e alguns grandes portais falando que não suportarão mais o mesmo é legal voce habilitar essa regra . Logicamente se no seu parque possuir muitas maquinas com IE ainda e for do seu conhecimento será um PESSIMO negocio habilitar a mesma .
ET TROJAN Oficla Russian Malware Bundle C&C instruction response with runurl (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
ET TROJAN Oficla Checkin (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
O Oficla foi o nome dado aos problemas de um possivel C&C que o Aurora formaria. Essas quatros regras detectam essa possivel comunição avisando para maquinas da sua rede que façam parte da botnet .
Existem algumas regras que iniciam com "ET EXPLOIT FTP" no qual eu não usuaria visto que o snort possuem o pre-processador FTP/TELNET e no caso eles alegam que seria a detecção de comando FTP sem o usuário ter se logado o que eu acho que temos que detectar o exploit/falha que possibilitou a realização dos comandos e não o pos-detection (mas como frisado essa é minha opinião) .
Ao contrario do VRT o ET possui um ruleset que costumo dizer que é de administrador pra administrador pegando ameaças mais atuais e do dia a dia sendo que possui updates bem maiores de regras frequentemente mas vale frisar que sem um QA de performance o que obriga voce a usá-lo com maior cuidado .
Sempre vale frisar que não é porque a regra é crítica ou baixa ela deva ser habilitada ou não, vale muito analisar se sua rede esta sujeita aos ataques visto que muitas regras podem comprometer a melhor performance do seu IDS/IPS.
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Nenhum comentário:
Postar um comentário