quinta-feira, 4 de março de 2010

Possivel Executável Windows enviado como arquivo texto - Detecção com Snort

Essa semana estou mais offline pois estou de micro férias e semana que vem com novidades. Mesmo offline o instinto nerds sempre me leva a olhar coisas do dia a dia .

Olhando o sidreporter nas estatísticas diárias ( http://www.emergingthreats.net/stats/index.html ) do dia de hoje (4 de Março de 2010) me deparei com o alerta "ET MALWARE Possible Windows executable sent when remote host claims to send a Text File" na décima primeira posição .

A regra abaixo é a responsável por gerar os alertas:

alert tcp any !20 -> $HOME_NET !25 (msg:"ET MALWARE Possible Windows executable sent when remote host claims to send a Text File"; flow: established,from_server; content:"Content-Type|3a| text/plain"; content:"|0d 0a|MZ"; within: 12; classtype: trojan-activity; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/MALWARE/MALWARE_Covert_Executable_DL; sid:2008438; rev:3;)

A mesma olha o tráfego tcp de portas de origem diferente da porta 20 (ftp-data) e sem ter o destino na porta 25(smtp) na sua HOME_NET. Após isso ele olha no cabeçalho por "Content-Type: text/plain" e pelo conteúdo "0d 0a" que é nova linha seguido de MZ. O MZ é o conteúdo inicial dos binários geralmente. Abaixo dois exemplos :

# cat notepad.exe | head -1
MZ@ ���``Wine placeholder DLLPE

# cat sidebr.exe | head -1
MZP ���@ � � �!� L�!��This program must be run under Win32

O primeiro exe (notepad.exe) é um binário simples, o segundo é um malware (sidebr.exe).

# clamscan notepad.exe
notepad.exe: OK

----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.09 MB
Data read: 0.08 MB (ratio 1.14:1)
Time: 1.264 sec (0 m 1 s)
notsecure:/#


# clamscan sidebr.exe
sidebr.exe: Trojan.Spy.Banker-5050 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 726013
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.88 MB
Data read: 4.62 MB (ratio 0.19:1)
Time: 1.435 sec (0 m 1 s)
notsecure:/#

Essa regra é realmente uma regra MUITO interessante em se ativar visto que muitos dos ataques que vem acontecendo os atacantes hospedam binários como txt para muitas vezes bypassar os filtros de conteúdo que na pratica analisam somente a extensão e não o real mime-type e tipo de arquivo.

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

Nenhum comentário: