terça-feira, 23 de março de 2010

Treinamento OSSEC e Snort Temporeal Eventos

Caros,

Eu e o Marcos Aurélio ministraremos 2 treinamentos em parceria com a temporeal eventos , serão treinamentos de 1 dia realizados aos sabados :

OSSEC HIDS no dia 17 de Abril

Objetivo: O objetivo do Ossec Tutorial Mão na Massa Tempo Real Eventos é demonstrar como o OSSEC HIDS pode trabalhar para fornecer um grau de segurança apronfundado realizando integração com ativos de TI. Será abordado como a partir de analises de logs podemos obter informações que podem ajudar a prevenir futuros ataques ou interromper ataques em tempo real. Apresentar o que é e como funciona o sistema de detecção de rootkits, checagem de integridade do sistema de arquivos e resposta ativa. Explicação básica sobre utilização de decoders , regras e envio de alertas.

O Tutorial Ossec detalhará os diferentes tipos de instalação, entender os pré-requisitos para uma instalação bem sucedida de um sistema HIDS, como trabalhar com o correlacionamento de eventos dentro do OSSEC, como criar seus próprios correlacionamentos, como obter informações sobre eventos gerados pelo OSSEC através do OSSEC WUI.




Mais informações: http://www.temporealeventos.com.br/?area=175


Snort IDS no dia 08 de Maio de 2010

Objetivo: O Tutorial Mão na Massa Snort tem o objetivo de demonstrar o funcionamento do snort da seguinte maneira: como instalar, como gerenciar através de interface gráfica, como manter o sistema atualizado e como realizar testes periódicos. Será abirdado também o básico sobre escrita de assinaturas.

O Tutorial Snort Mão na Massa contemplará os
ataques mais comuns e como funcionam, de maneira a gerar discussão sobre melhorias de performance, atualizacões e relatórios gráficos de ataques, tendências de problemas com invasão na sua rede, entre outros.


Mais informações: http://www.temporealeventos.com.br/?area=87


Nos vemos por lá =)

Rodrigo Montoro(Sp0oKeR)

domingo, 21 de março de 2010

Participação no podcast StaySafe edição 2

Caros,

Participei da gravação do segundo episódio do podcast StaySafe. Foi bem legal ter sido convidado e o bate papo foi bem interessante sobre IDS/Snort na maioria do tempo , mercado de trabalho entre outros.


Para quem quiser ouvir :

http://www.bordini.net/blog/?page_id=1478

Obrigado Jordan e Thiago pelo convite.

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 8 de março de 2010

SRW - Snort Rules Week (VRT e ET) - edição 6 (01 Mar 2010/07 Mar 2010)

Esta semana tivemos como de costume várias regras adicionadas para proteção client-side tanto do VRT como do ET . Isso mostra como os atacantes estão cada vez mais criando formas de explorar o lado mais fraco da segurança, os usuários . Embora eu estivesse um pouco offline tentei me manter antenado nas regras e notícias da semana .

O VRT lançou os seguintes updates durante essa semana:

16453 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 1 (specific-threats.rules, Medium)
16454 <-> SPECIFIC-THREATS SMB Negotiate Protocol response DoS attempt - empty SMB 2 (specific-threats.rules, Medium)
16455 <-> SPYWARE-PUT Keylogger egyspy keylogger 1.13 runtime detection (spyware-put.rules, Medium)
16456 <-> SPYWARE-PUT Rogue-Software ang antivirus 09 runtime detection (spyware-put.rules, High)
16457 <-> BACKDOOR Trojan.Downloader.Win32.Cutwail.AI runtime detection (backdoor.rules, High)
16458 <-> WEB-CLIENT Autonomy KeyView SDK Excel file SST parsing integer overflow attempt (web-client.rules, High)
16459 <-> SPECIFIC-THREATS Trojan command and control communication attempt (specific-threats.rules, High)
16460 <-> WEB-MISC text/html content-type without HTML - possible malware C&C (web-misc.rules, Medium


Os sid 16453 e 16454 são regras para proteção do cve,2009-3676 no qual ele busca um pacote na porta 445 com tamanho de 4 bytes que causaria DoS na negociação do protocolo SMB v1 e v2 . Se você usa o sensor em parte da rede que possui compartilhamento de arquivos ambas as regras devem ser utilizadas visto a facil exploração do DoS via scapy por exemplo.

Como sempre várias regras de Spywares , Backdoors e ameças especificas que como sempre saliento são interessantes para rodar caso seu sensor monitore seus usuários .

Para entendimento em especial da assinatura "WEB-MISC text/html content-type without HTML - possible malware C&C" recomendo que leiam esse ÓTIMO post feito pelo VRT da Sourcefire sobre Zeus/Zbot http://labs.snort.org/papers/zeus.html . Realmente essa regra é mandatória habilita-la mas cuidando para falsos positivos pois a regra pode gerar alertas para web sites mal desenvolvidos .

Lista completa das mudanças do VRT http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-03-04.html

O Emerging-Threats por sua vez realizou as seguintes mudanças:

2010862 - ET WEB_SPECIFIC_APPS Possible APC Network Management Card Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010863 - ET WEB_SERVER LANDesk Command Injection Attempt (emerging-web_server.rules)
2010864 - ET WEB_SERVER HP OpenView /OvCgi/Toolbar.exe Accept Language Heap Buffer Overflow Attempt (emerging-web_server.rules)
2010865 - ET WEB_SPECIFIC_APPS IBM Possible Lotus Domino readme.nsf Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
2010866 - ET CURRENT_EVENTS Hostile domain, NeoSploit FakeAV google.analytics.com.*.info (emerging-current_events.rules)
2010867 - ET CURRENT_EVENTS Potential FakeAV download Setup_103s1 or Setup_207 variant (emerging-current_events.rules)
2010868 - ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile (emerging-user_agents.rules)
2010869 - ET POLICY PE EXE or DLL Windows file download (2) (emerging-policy.rules)
2010870 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (kav) (emerging-current_events.rules)
2010871 - ET CURRENT_EVENTS NeoSploit Exploit Kit Java exploit drive-by host likely infected (nte) (emerging-current_events.rules)
2010872 - ET TROJAN Pragma\: hack Detected Outbound - Likely Infected Source (emerging-virus.rules)
2010873 - ET WEB_CLIENT Opera User-Agent Flowbit Set (emerging-web_client.rules)
2010874 - ET WEB_CLIENT Possible Opera Web Browser Content-Length Buffer Overflow Attempt (emerging-web_client.rules)
2010875 - ET TROJAN Blackenergy Bot Checkin to C&C (2) (emerging-virus.rules)


Outras várias que foram adicionadas para monitorar tráfego

2400009 - ET DROP Spamhaus DROP Listed Traffic Inbound (emerging-drop.rules)
2404052 - ET DROP Known Bot C&C Server Traffic TCP (group 27) (emerging-botcc.rules)
2404053 - ET DROP Known Bot C&C Server Traffic UDP (group 27) (emerging-botcc.rules)
2406660 - ET RBN Known Russian Business Network IP TCP (331) (emerging-rbn.rules)
2406661 - ET RBN Known Russian Business Network IP UDP (331) (emerging-rbn.rules)


A regra ET POLICY PE EXE or DLL Windows file download embora muito interessante acredito que ocorra muito falso positivo visto que a mesma alertara para download de EXE válidos . Um regra legal é a que comentamos no último post "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" http://spookerlabs.blogspot.com/2010/03/possivel-executavel-windows-enviado.html .

Outra regra que monitora User-Agent anomalos seria a ET USER_AGENTS Incorrectly formatted User-Agent string (dashes instead of semicolons) Likely Hostile . Infelizmente monitorar User-Agent é algo complicado visto que existe milhares de UA e um simples espaço pode bypassar a regra devido a maiora das regras de UA não possuirem pcre por performance.

As regras de Current_Events podemos considerar algo para ameças momentaneas e ativa-las sempre pode identificar algo na sua rede =) .

Uma regra que li uma matéria muito legal foi sobre o Black Energy versão Trojan http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487 no qual o ET criou a regra "ET TROJAN Blackenergy Bot Checkin to C&C (2)" . Se lerem o artigo poderão ver qual fantástico é a idéia da botnet e resultado final. Embora a mesma tenha em meta bancos da Russia e Ucrania a sua máquina pode ser útil para o possível ataque de DDoS, ou seja, não custa muito ativar a regra e ver o que ela pegara .

Analisando o post sobre Blackenergy2 http://www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2 enviei também para o ET duas sugestões de regras que foram aceitas :

POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 126
Pragma: no-cache

sksgh=E22EA13DA2170ACCC10CBA67C12ED8CB83774E032FC65BAEC5FA5CD826694619FABBF69297335C5A91BD02B2C7BB1E5AA0649991F2D6613888AD6749

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x HTTP Request with Encrypted Variables"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"sksgh="; distance:0; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)


BlackEnergy v2.x Plugin Download Request

POST /getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en)
Host: example.com
Content-Length: 43
Pragma: no-cache
getp=ddos&id=xCOMP_3FA21CD8&ln=en&cn=US&nt=2600&bid=1


alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN BlackEnergy v2.x Plugin Download Request"; flow:to_server,established; content:"POST "; depth:5; content:"/getcfg.php"; nocase; content:"getp=";content:"id=";content:"ln=";content:"bid=";content:"nt=";content:"cn=";classtype:trojan-activity; reference:url,doc.emergingthreats.net/2010875; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Blackenergy;reference:url,www.secureworks.com/research/threats/blackenergy2/?threat=blackenergy2; sid:XXXXXXX;)

Lista completa de mudanças do ET em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-March/006657.html

Espero que seja de grande utilidade a todos. Até a próxima semana.

Fiquem a vontade pra enviar dúvidas, sugestões e críticas, quero melhorar esse report a cada semana .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

quinta-feira, 4 de março de 2010

Possivel Executável Windows enviado como arquivo texto - Detecção com Snort

Essa semana estou mais offline pois estou de micro férias e semana que vem com novidades. Mesmo offline o instinto nerds sempre me leva a olhar coisas do dia a dia .

Olhando o sidreporter nas estatísticas diárias ( http://www.emergingthreats.net/stats/index.html ) do dia de hoje (4 de Março de 2010) me deparei com o alerta "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" na décima primeira posição .

A regra abaixo é a responsável por gerar os alertas:

alert tcp any !20 -> $HOME_NET !25 (msg:"ET MALWARE Possible Windows executable sent when remote host claims to send a Text File"; flow: established,from_server; content:"Content-Type|3a| text/plain"; content:"|0d 0a|MZ"; within: 12; classtype: trojan-activity; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/MALWARE/MALWARE_Covert_Executable_DL; sid:2008438; rev:3;)

A mesma olha o tráfego tcp de portas de origem diferente da porta 20 (ftp-data) e sem ter o destino na porta 25(smtp) na sua HOME_NET. Após isso ele olha no cabeçalho por "Content-Type: text/plain" e pelo conteúdo "0d 0a" que é nova linha seguido de MZ. O MZ é o conteúdo inicial dos binários geralmente. Abaixo dois exemplos :

# cat notepad.exe | head -1
MZ@ ���``Wine placeholder DLLPE

# cat sidebr.exe | head -1
MZP ���@ � � �!� L�!��This program must be run under Win32

O primeiro exe (notepad.exe) é um binário simples, o segundo é um malware (sidebr.exe).

# clamscan notepad.exe
notepad.exe: OK

----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.09 MB
Data read: 0.08 MB (ratio 1.14:1)
Time: 1.264 sec (0 m 1 s)
notsecure:/#


# clamscan sidebr.exe
sidebr.exe: Trojan.Spy.Banker-5050 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.88 MB
Data read: 4.62 MB (ratio 0.19:1)
Time: 1.435 sec (0 m 1 s)
notsecure:/#

Essa regra é realmente uma regra MUITO interessante em se ativar visto que muitos dos ataques que vem acontecendo os atacantes hospedam binários como txt para muitas vezes bypassar os filtros de conteúdo que na pratica analisam somente a extensão e não o real mime-type e tipo de arquivo.

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 1 de março de 2010

Novo Podcast Nacional - StaySafe - Edição 1

Meus amigos Thiago Bordini e Jordan Bonagura lançaram mais um podcast nacional sobre segurança da informação. Acho muito legal essa iniciativa pois o mercado é muito carente de podcasts na nossa área (lembrando o bom e velho I Shot The Sheriff http://www.naopod.com.br que praticamente é o unico) .

Segue abaixo as informações:

O Stay Safe tem como objetivo divulgar a área de Segurança da Informação entre os profissionais e não profissionais, discutir o mercado, noticias, novidades, desafios e eventos em geral.

Sempre iremos procurar trazer profissionais da área para discutirmos temas relevantes do mercado.

Diferentemente de outros canais, pretendemos discutir os assuntos relacionados de forma simples e descontraída, tornando o PodCast mais interativo e interessante para os ouvintes.

Os interessados em participar do programa, ou você que tem uma sugestão, crítica ou elogio pode entrar em contato conosco através do email staysafe@bordini.net

Para acessá-lo: http://www.bordini.net/blog/?page_id=1478

Enviem feedback para eles pois com isso sempre poderão melhorar formato, conteúdo ou o que acharem que for do interesse geral.

Sucesso para eles!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)