segunda-feira, 30 de janeiro de 2012

HOIC DDoS Tool - Analisys and Detection

Caros,

Fizemos um post em ingles no blog do Spiderlabs sobre uma analise da ferramenta de DoS/DDoS HOIC

http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html

Happy Detection!

Rodrigo "Sp0oKeR" Montoro

Introdução ao Snort - Serie Snortando (Parte 1)

        Muitas vezes vejo pessoas seguindo receitas de bolo de como instalar o snort (não somente o snort mas varias ferramentas) sem ao menos saber exato o funcionamento do mesmo. Quando pensei na serie Snortando meu intuito é explicar como funciona o Snort no geral bem como explicar mais em detalhes funcionalidades especificas. Já me falaram para escrever um livro sobre snort mas infelizmente não acho que o snort tem evoluido muito rapidamente e o livro quando lançado estarei totalmente desatualizado, ou seja, fazendo algo online acredito ser a melhor opção visto que posso atualizar os post das partes atualizadas bem como adicionar capitulos =)

O que é o Snort ?

         É um sistema de detecção de Intrusos de Redes ( NIDS - Network Intrusion Detection System) no qual ele visa monitora seu tráfego da rede em algum segmento especifico ou geral . O snort foi criado por Marty Roesch em 1998/1999 e desde então com o apoio da comunidade sempre teve grande crescimento. Atualmente a Sourcefire é quem realmente desenvolve, empresa criada pelo Roesch onde possui "versões comerciais do snort".

        O funcionamento do snort bem resumidamente é dividido fases, essas quais teremos os post que voce pode ver a agenda http://spookerlabs.blogspot.com/2012/01/agenda-da-serie-snortando.html .

A figura abaixo ilustra o fluxo da aquisição da informação até a geração ou não de um alerta:



- Caputra de Pacotes
         Atualmente o snort utiliza para aquisição de pacotes o DAQ (que iremos falar no próximo post da série) . Em resumo existem algumas formas de replicar o tráfego da sua rede como Network Tap , Port Mirror e Inline . Comentarei melhor sobre eles e como funcionam no post do DAQ. É importante salientar que onde se coloca o IDS e aquisição dos pacotes é o primeiro passo para o sucesso da implantação da ferramenta.
 
- Pré-Processadores
 
          Os pre – processadores sao responsáveis por remontar os pacotes, ver possiveis codificacoes como unicode , entre outras tarefas. O Snort possui dezenas deles (por volta de 22 atualmente) como http_inspec, stream5, frag3, dcerpc2, ip_reputation entre outros diversos. Por exemplo se fizermos ums requisicao com \\ ou com os famosos ataques de unicode , ou algo do genero, para tentar “enganar” o ids, esses pre processadores remontam o pacote da maneira correta, para diminuir falso-negativos na hora da comparacao com as assinaturas,e dar mais confiabilidade ao IDS.
 
Falso-negativo – é quando um pacote passa sem ser notificado pelo IDS , o IDS pensaque o pacote é fluxo normal, na minha opinião pior que os falsos-positivos.
 
Falso-positivo – é quando o pacote é notificado como intrusivo, mas na verdade ésomente um falso alerta, alarme falso. O grande problema de muito falso positivo é a ferramenta perder a credibilidade, é a velha história do alarme do carro que dispara muito e quando realmente for um furto voce nao vai acreditar que estão levando seu carro .


- Sistema de Deteção / Assinaturas
        
        Aqui é onde entram as regras que compramos, baixamos ou criamos. Nessa parte o payload já estara separado do resto do pacote e normalizado para comparar com as regras. Teremos bastante posts e laboratorios durante a serie na parte de criação de regras mas como citado temos que fazer o payload chegar corretamente ao Engine de Detecção para evitar os falsos-negativos em especial por isso a importancia da configuração de forma correta do snort.

- Plugins de Saída (Output)

        Os plugins de saida sao ferramentas que podem ser utilizadas para gerar alertas, logs
ou para tomar algumas medidas em imediato.
 
Em resumo esse é o funcinoamento do snort de um modo bem resumido e que iremos explorar de modo bem especifico cada parte durante nossa serie.
Esse post é bem introdutório visto que a idéia da seria Snortando é atingir desde usuários que nunca usaram o snort bem como usuário avançados que certamente so aproveitarão mais os posts futuros.

Mais informações existem um post no blog da SegInfo bem mais detalhado que voce podera ler em http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

terça-feira, 24 de janeiro de 2012

Let's make TCP faster (Google researchers)

Post e pesquisa bem interessante pelo time do google

http://googlecode.blogspot.com/2012/01/lets-make-tcp-faster.html

Abs!

Rodrigo "Sp0oKeR" Montoro

domingo, 22 de janeiro de 2012

Agenda da Serie Snortando

Caros,

Essa semana postarei o post inicial da serie e logicamente será com o básico explicando o funcionamento do snort . Abaixo montei a agenda do que pretendo escrever, não necessariamente falarei nessa ordem exata (logicamente algumas coisas tem que ser na ordem) e caso necessário adicionarei artigos, bem como novidades que deverão aparecer no decorrer da serie.

Pretendo atualizar/postar a cada semana ou no máximo 10 dias sendo que alguns posts serão maiores e mais complexos e alguns mais simples.

Agenda:

1-) Introdução Snort - http://spookerlabs.blogspot.com/2012/01/introducao-ao-snort-serie-snortando.html

2-) DAQ - Data Aquisition - http://spookerlabs.blogspot.com/2012/02/posicionamento-sensores-daq-data.html

3-) Entendendo básico do snort.conf - http://spookerlabs.blogspot.com/2012/03/entendendo-basico-do-snortconf-serie.html

4-) Introdução Decoders - http://spookerlabs.blogspot.com/2012/03/serie-snortando-parte-4-introducao-aos.html

5-) Introdução Pre-Processadores- http://spookerlabs.blogspot.com.br/2012/07/introducao-pre-processadores-serie.html

6-) Preproc Rules
7-) Stream5

8-) Frag3 - http://spookerlabs.blogspot.com.br/2012/04/frag3-preprocessor-serie-snortando.html

9-) Reputation
10-) SMTP
11-) Pop / Imap
12-) FTP/Telnet
13-) SFPortScan
14-) http_inspect
15-) Sensitive Data
16-) Performance (PerfProfiling)
17-) dcerpc2
18-) Razorback
19-) SSL/SSH
20-) Introdução Regras Snort
21-) Básico Criação de Regras
22-) Laboratorio Básico
23-) Tags avançadas
24-) Laboratorio Tags avançadas
25-) Host Attribute Table
26-) IPv6
27-) Posicionamento
28-) Interfaces de Gerenciamento (Snorby / BASE)

Como podemos observar será uma serie longa mas que visa realmente explicar o funcionamento da ferramenta para que possamos tirar o maximo proveito da ferramenta.

Tentarei se possivel fazer webex de alguns assuntos que fiquem muito complexo escrever e tentarei ao maximo sempre criar ferramentas para demonstrar na pratica a importancia da configuracao correta.

Espero que todos acompanhem! Essa semana postarei a introdução!

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro!

quinta-feira, 19 de janeiro de 2012

[Snort-devel] Snort 2.9.2.1 Now Available

Snort 2.9.2.1 is now available on snort.org, at
http://www.snort.org/snort-downloads/ in the Latest Release section.

2.9.0 RC & later packages are signed with a new PGP key
(that is signed with the previous key).

Snort 2.9.2.1 includes the following updates and improvements:
  * Added new alerts for HTTP (undefined methods & HTTP 0.9 simple
    requests).

  * Updates to Stream preprocessor in TCP session tracking to avoid
    re-queuing retransmitted data that was already flushed.  Also
    various tweaks for PAF flushing.

  * Updates to reputation preprocessor to handle shared memory
    switching.

  * Updates to the SCADA preprocessors in their handling of PAF
    flushing and Modbus request/response length checking.  Also tweaks
    in alerts for reserved DNP3 functions.

  * Updates to flowbit groups to always use the group when some rules
    refer to a flow group while others do not refer to a group for the
    same flowbit.

  * Updates to GTP preprocessor to check invalid extension header
    length for GTPv1.

  * Updates to sfrt library, used in reputation preprocessor and target
    based configuration, when calculating memory allocated and support
    for IPv6.

Please see the Release Notes and ChangeLog for more details.

Please submit bugs, questions, and feedback to bugs@snort.org.

Happy Snorting!
The Snort Release Team

[Emerging-Sigs] Suricata 1.2 Available!

The OISF development team is proud to announce Suricata 1.2. This release brings HTTP file inspection and extraction and a whole lot more.

Get the new release here:
http://www.openinfosecfoundation.org/download/suricata-1.2.tar.gz

The configuration file has evolved but backward compatibility is provided. We thus encourage you to update your suricata configuration file. Upgrade guidance is provided here:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Upgrading_Suricata_11_to_Suricata_12

New features

- file name, type inspection and extraction for HTTP
- filename, fileext, filemagic and filestore keywords added
- "file" output for storing extracted files to disk
- file_data keyword support, inspecting normalized, dechunked, decompressed HTTP response body (feature #241)
- new keyword http_server_body, pcre regex /S option
- option to enable/disable core dumping from the suricata.yaml (enabled by default)
- human readable size limit settings in suricata.yaml (bug #333)
- PF_RING bpf support (required PF_RING >= 5.2) (feature #334)
- tos keyword support (feature #364)
- IPFW IPS mode does now support multiple divert sockets
- new IPS running modes, Linux and FreeBSD do now support "worker" and "autofp"
- app-layer-events keyword: similar to the decoder-events and stream-events, this will allow matching on HTTP and SMTP events
- auto detection of checksum offloading per interface (#311)
- urilen options to match on raw or normalised URI (#341)
- flow keyword option "only_stream" and "no_stream"
- unixsock output options for all outputs except unified2 (PoC python script in the qa/ dir) (#250)
- http_header and http_raw_header now also inspect HTTP response headers (#389, #397)

Improvements

- general performance improvements
- improved alert accuracy in autofp and single runmodes
- major performance optimizations for the ac-gfbs pattern matcher implementation
- unified2 output fixes
- PF_RING supports privilege dropping now (bug #367)
- improved detection of duplicate signatures
- improved performance in virtual machines (bug #382)
- PCRE-JIT is now enabled by default if available (#356)
- flowbits and flowints are now modified in a post-match action list
- bundled libhtp updated to 0.2.7
- fixed parsing really high sid numbers >2 Billion (#393)
- fixed ICMPv6 not matching in IP-only sigs (#363)

Fixes since 1.2rc1

- improved Windows/CYGWIN path handling (#387)
- fixed some issues with passing an interface or ip address with -i
- make live worker runmode threads adhere to the 'detect' cpu affinity settings

Known issues & missing features

If you encounter issues, please let us know! As always, we are doing our best to make you aware of continuing development and items within the engine that are not yet complete or optimal.  With this in mind, please notice the list we have included of known items we are working on.

See http://redmine.openinfosecfoundation.org/projects/suricata/issues for an up to date list and to report new issues.

See http://redmine.openinfosecfoundation.org/projects/suricata/wiki/Known_issues
for a discussion and time line for the major issues.


Happy Detection!

Rodrigo Montoro

Paper interessante Analise Estatica de Malwares (Ingles)

Paper básico mas bem legal no Exploit-DB "Malware Reverse Engineering part1 of 2. Static analysis"

Table of Contents

1. Scope
2. Investigation goals
3. Malware samples analyzed
4 Malware analysis methodology, software, and secure lab setup .
5. General function and functionality of the malware
6. Behavioral patterns of the malware and local system interaction
7. Files and registry keys created, modified and accessed
8. Network behavior (including hosts, domains and ip’s accessed)
9. Time and local system dependant features
10. Method and means of communication
11. Original infection vector and propogation methodology
12. Use of encryption for storage, delivery and or communication
13. Use of self modifying/replicating or encrypted code
14. Any information concerning development of malware (compiler type, packer used, country of origin, author, names/handles, etc
15. Key questions and answers

Para baixá-lo:

http://www.exploit-db.com/download_pdf/18387

Happy Detection!

Rodrigo Montoro

quarta-feira, 18 de janeiro de 2012

Serie Snortando - Usando e Entendendo o Snort

Caros,

Iniciarei uma série que chamarei de "Snortando". Minha idéia aqui é semanalmente fazer um post sobre funcionalidades do snort no geral . Entre os assuntos abordarei bastante coisa de pre-processadores (logicamente 1 pre-processador por post visto que a ideia é explicar para o bom uso) entre outras funções:
  • dcerpc2
  • decode
  • decoder_preproc_rules
  • dnp3
  • dns
  • filters
  • flowbits
  • frag3
  • ftptelnet
  • gre
  • GTP
  • http_inspect
  • imap
  • ipip
  • ipv6
  • modbus
  • multipleconfigs
  • normalize
  • PerfProfiling
  • pop
  • ppm
  • reload
  • reputation
  • rzb_saac
  • sensitive_data
  • sfportscan
  • sip
  • SMTP
  • ssh
  • ssl
  • stream5

Também postarei sobre criação de regras, explicação snort.conf , dicas de instalação e deploy, ferramentas para testes dos pre-processadores , teste de performance de regras, dicas gerais entre outras coisas/idéias que surgirem durante o ano.

Em paralelo a isso também lançaremos via EaD da Dynsec treinamento de análise de pacotes, snort básico, snort avançado e criação de regras .

Acompanhe a nova serie "Snortando". Caso tenha alguma sugestão entre em contato. Possivelmente junto com o primeiro post tentarei colocar uma mini-agenda .

Quem sabe no final não temos um mini howto em pt_BR =)

Em paralelo continuarei postando sobre Deteção de Intrusos e Malwares no geral também .

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

quinta-feira, 12 de janeiro de 2012

CAIS-Alerta: resumo dos Boletins de Segurança Microsoft - Jan/2012

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

A Microsoft publicou 7 boletins de segurança em 11 de janeiro que abordam
ao todo 8 vulnerabilidades em produtos da empresa. A exploração destas
vulnerabilidades permitem execução remota de código, desvio de recurso de
segurança, elevação de privilégio e divulgação não autorizada de
informação.

SEVERIDADE

. Crítica

 - MS12-004 - Vulnerabilidades no Windows Media podem permitir a execução
             remota de código


. Importante

 - MS12-001 - Vulnerabilidade no kernel do Windows pode permitir o desvio
             do recurso de segurança

 - MS12-002 - Vulnerabilidade no Windows Object Packager pode permitir a
             execução remota de código

 - MS12-003 - Vulnerabilidade no Windows Client/Server Run-time Subsystem
             pode permitir elevação de privilégio

 - MS12-005 - Vulnerabilidade no Microsoft Windows pode permitir a
             execução remota de código

 - MS12-006 - Vulnerabilidade no SSL/TLS pode permitir divulgação não
             autorizada de informações

 - MS12-007 - Vulnerabilidade na AntiXSS pode permitir a divulgação não
             autorizada de informações


. Moderada

 - Nenhum boletim


. Baixa

 - Nenhum boletim


O sistema de classificação de severidade das vulnerabilidades adotado pelo
CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se
aplique, minimamente, as correções para vulnerabilidades classificadas
como crítica e importante. No caso de correções para vulnerabilidades
classificadas como moderadas o CAIS recomenda que ao menos as
recomendações de mitigação sejam seguidas.

. Crítica - Vulnerabilidades cuja exploração possa permitir a propagação
 de um worm sem a necessidade de interação com o usuário.

. Importante - Vulnerabilidades cuja exploração possa resultar no
 comprometimento de confidencialidade, integridade ou disponibilidade
 de dados de usuários ou a integridade ou disponibilidade de recursos
 de processamento.

. Moderada - exploração é mitigada significativamente por fatores como
 configuração padrão, auditoria ou dificuldade de exploração.

. Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil
 ou cujo impacto seja mínimo.


CORREÇÕES DISPONÍVEIS

Recomenda-se atualizar os sistemas para as versões disponíveis em:

. Microsoft Update
 https://www.update.microsoft.com/microsoftupdate/

. Windows Server Update Services
 http://www.microsoft.com/windowsserversystem/updateservices/default.mspx


MAIS INFORMAÇÕES

. Resumo do Boletim de Segurança da Microsoft de janeiro 2012
 http://www.microsoft.com/technet/security/bulletin/ms12-jan

. Microsoft TechCenter de Segurança
 http://technet.microsoft.com/pt-br/security/

. Microsoft Security Response Center - MSRC
 http://www.microsoft.com/security/msrc/

. Microsoft Security Research&Defense - MSRD
 http://blogs.technet.com/srd/

. Segurança Microsoft
 http://www.microsoft.com/brasil/security/

. MS12-001 - Vulnerabilidade no kernel do Windows pode permitir o desvio
            do recurso de segurança
 http://technet.microsoft.com/en-us/security/bulletin/ms12-001

. MS12-002 - Vulnerabilidade no Windows Object Packager pode permitir a
            execução remota de código
 http://technet.microsoft.com/en-us/security/bulletin/ms12-002

. MS12-003 - Vulnerabilidade no Windows Client/Server Run-time Subsystem
            pode permitir elevação de privilégio
 http://technet.microsoft.com/en-us/security/bulletin/ms12-003

. MS12-004 - Vulnerabilidades no Windows Media podem permitir a execução
            remota de código
 http://technet.microsoft.com/en-us/security/bulletin/ms12-004

. MS12-005 - Vulnerabilidade no Microsoft Windows pode permitir a execução
            remota de código
 http://technet.microsoft.com/en-us/security/bulletin/ms12-005

. MS12-006 - Vulnerabilidade no SSL/TLS pode permitir divulgação não
            autorizada de informações
 http://technet.microsoft.com/en-us/security/bulletin/ms12-006

. MS12-007 - Vulnerabilidade na AntiXSS pode permitir a divulgação não
            autorizada de informações
 http://technet.microsoft.com/en-us/security/bulletin/ms12-007



Identificador CVE (http://cve.mitre.org):

CVE-2011-3389, CVE-2012-0001, CVE-2012-0009, CVE-2012-0005,
CVE-2012-0003, CVE-2012-0004, CVE-2012-0013, CVE-2012-0007

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp


Atenciosamente,
Equipe do CAIS/RNP

##############################
##################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

terça-feira, 10 de janeiro de 2012

De volta ao blog .... 2012 novo ano =)

Caros,

Fiquei um tempo sumido do blog mas agora voltarei a postar regularmente por aqui com dicas, pesquisas e assuntos relacionados a segurança.

Se tiverem assuntos que acham interessante fiquem a vontade para sugerir, se for do meu conhecimento terei prazer em publicar algo.

Logo mais posts a caminho.

Happy Intrusion Detection!

Rodrigo "Sp0oKeR" Montoro