Essa semana embora mesmo sem os updates da Microsoft tanto Emerging-threats como VRT lançaram bastante regras novas. A grande maioria foi pra client-side o que mostra que as ameaças estão cada vez mais crescentes para os usuários .
O VRT durante essa semana lançou 2 updates das regras com novos conteudos listados abaixo.
16438 <-> ORACLE WebLogic Server Node Manager arbitrary command execution attempt (oracle.rules, High)
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
16443 <-> CHAT deny Gmail chat DNS request (chat.rules, High)
16444 <-> SPECIFIC-THREAT HP StorageWorks storage mirroring double take service code execution attempt (specific-threats.rules, High)
16445 <-> SPECIFIC-THREATS Digium Asterisk IAX2 ack response denial of service attempt (specific-threats.rules, Medium)
16446 <-> RPC portmap Solaris sadmin tcp request (rpc.rules, Medium)
16447 <-> RPC portmap Solaris sadmin udp request (rpc.rules, Medium)
16448 <-> RPC portmap Solaris sadmin tcp adm_build_path overflow attempt (rpc.rules, Medium)
16449 <-> RPC portmap Solaris sadmin udp adm_build_path overflow attempt (rpc.rules, Medium)
16450 <-> SQL Jive Software Openfire Jabber Server SQL injection attempt (sql.rules, High)
16451 <-> WEB-CLIENT Palm WebOS 1.2.0 floating point exception denial of service attempt (web-client.rules, Medium)
Anúncio completo 23/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-23.html
16452 <-> WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High)
Anúncio completo 26/02 http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-02-26.html
O VRT baseado na crescente ameaça do Zeus Botnet agora conhecida como Kneber e como citado no post anterior ( http://spookerlabs.blogspot.com/2010/02/zeus-botnet-snort-e-falsos-negativos.html ) lançou 4 regras adicionais para essa ameaça baseado no user-agent. Eu particularmente não sei como estas regras tem se comportado mas caso você tenha informações por favor nos informe. Como sugerido no outro post ativar essas regras é bem interessante:
16439 <-> SPECIFIC-THREATS Possible Zeus User-Agent - _TEST_ (specific-threats.rules, High)
16440 <-> SPECIFIC-THREATS Possible Zeus User-Agent - ie (specific-threats.rules, High)
16441 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Download (specific-threats.rules, High)
16442 <-> SPECIFIC-THREATS Possible Zeus User-Agent - Mozilla (specific-threats.rules, High)
Tirando a regra do gmail "CHAT deny Gmail chat DNS request" que é mais generica (ele detecta a resposta negativa da requisição do DNS do chatenable.mail.google.com ) e talvez do seu interesse caso precise bloquear o uso do mesmo na sua empresa do resto é muito espefico a produtos o que so torna o uso necessário caso tenham alguns dos produtos .
A falha especial que mandaram o update no dia 26 para WEB-CLIENT IE .hlp samba share download attempt (web-client.rules, High) me chamou atenção por nao ter um reference. Basicamente ele procura pelo conteúdo vbscript e que a extensão seja .hlp com \ no match também . Seria algo novo que pegaram em seu laboratorio ? Muito bom ativar ela e ver o que acontece .
Regras da semana do Emerging Threats
2010831 - ET TROJAN Fake AV - Downloader likely malicious payload download src=xrun) (emerging-virus.rules)
2010832 - ET TROJAN Fake AV Generic Download landing) (emerging-virus.rules)
2010833 - ET WEB_SPECIFIC_APPS Joomla intuit component intuit.php approval Local File Inclusion Attempt (emerging-web_specific_apps.rules)
2010834 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010835 - ET WEB_CLIENT Windows Defender ActiveX DeleteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010836 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Heap Overflow Attempt (emerging-web_client.rules)
2010837 - ET WEB_CLIENT Windows Defender ActiveX WriteValue method Remote Code Execution Function Call (emerging-web_client.rules)
2010838 - ET TROJAN WScript/VBScript XMLHTTP downloader likely malicious get?src= (emerging-virus.rules)
2010839 - ET WEB_CLIENT Possible Rising Online Virus Scanner ActiveX Control Scan() Method Stack Buffer Overflow Attempt (emerging-web_client.rules)
2010840 - ET WEB_CLIENT Viscom Software Movie Player Pro SDK ActiveX 6.8 Remote Buffer Overflow Attempt (emerging-web_client.rules)
2010841 - ET WEB_CLIENT DX Studio Player Firefox Plug-in Command Injection Attempt (emerging-web_client.rules)
2010842 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010843 - ET WEB_SPECIFIC Joomla com_avosbilletsy Component id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010844 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010845 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010846 - ET WEB_SPECIFIC Joomla com_avosbillets Component id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010847 - ET WEB_SPECIFIC_APPS com_if_nexus controller Parameter Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010848 - ET WEB_SPECIFIC_APPS Joomla morfeoshow morfeoshow.html.php Remote File Inclusion Attempt (emerging-web_specific_apps.rules)
2010851 - ET WEB_CLIENT Logitech VideoCall ActiveX Start method buffer overflow Attempt (emerging-web_client.rules)
2010852 - ET WEB_CLIENT WinDVD7 IASystemInfo.DLL ActiveX ApplicationType method buffer overflow Attempt (emerging-web_client.rules)
2010853 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010854 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
2010855 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
2010856 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
2010857 - ET WEB_SPECIFIC_APPS Joomla com_job Component id_job Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
2010859 - ET TROJAN Buzus Trojan Proxy Attempt (emerging-virus.rules)
2010860 - ET TROJAN Buzus Proxy Server Response (emerging-virus.rules)
2010861 - ET TROJAN Zeus Bot Request to CnC (emerging-virus.rules)
As regras mais genericas podemos sempre frisar "ET TROJAN" no qual resurgiu do Trojan Buzus (http://www.pctools.com/mrc/infections/id/Trojan.Buzus/) com alterações de payload. Outra é a adição de mais uma regra de Zeus Bot para comunicação com o canal controlador e que não foi listada no ultimo post. Continuando nos TROJAN temos também o Fake AV e WScript/VBScript que é nova no ruleset (http://doc.emergingthreats.net/2010838) que são sempre validas ativa-las e roda-las por um tempo para até memos validar seu AV e Filtro de Conteúdo .
A regras de WEB_CLIENT são bem importantes e tivemos algumas novidades essa semana para proteçoes do Windows Defender (http://www.microsoft.com/windows/products/winfamily/defender/default.mspx) e uma para um plugin especifico do firefox( http://www.coresecurity.com/content/DXStudio-player-firefox-plugin ). Também tivemos updates para proteções de ActiveX (eu sinceramente sugiro desativar o ActiveX dos browsers caso você não tenha utilidade dentro da empresa que necessite disso obrigatoriamente)
Essa semana também como podem ver sairam regras para 3 componentes do Joomla(com_avosbillets,id_job,intuit.php) e caso utilizem os mesmo de suma importancia monitorar (logicamente atualizar mandatório no caso) .
Informações sobre todas as novas regras e mudanças do ET dessa semana pode ser encontrado em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006442.html
Se vocês repararem nas minhas sugestões eu sempre viso muito as proteções client side por as mesmas serem de uso mais geral e usuário sempre a maior ameaça .
Espero que seja de grande utilidade a todos. Até a próxima semana.
Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Nenhum comentário:
Postar um comentário