Re: Executable code was detected

> Non capisco cosa intendi dire e come la cosa sia correlata all'alert
> in questione. Nel senso che snort > > L'idea che sta alla base di 
> quell'alert e': "ho visto un NOP seguito da codice macchina in questo 
> pacchetto",
>
> Non proprio.

Opz, forse ho capito cosa intendi dire. Mi ero fatto trare in inganno
dal "in questo pacchetto", ma forse non lo intendevi alla lettera. 
Quel falso positivo potrebbe non venir rilevato in una situazione in 
cui:

1) il nids riassemblasse il traffico tcp;
2) il nids avesse la capacita' di rilevare del "codice macchina" generico
   che sia successivo ad un pattern (la nostra sequenza di 0x43).

Nel caso in cui, ad esempio, il payload tcp terminasse con la sequenza di
0x43 ed il seguito, che potrebbe contenere del codice macchina ma anche non
contenerne, fosse ne[l|i] pacchett[o|i] sucessiv[o|i], un nids che non
avesse una delle due features qui sopra segnalerebbe un evento che potrebbe
anche non corrispondere all passaggio sulla rete di un codice BOF (falso
positivo), perche' non vedrebbe cosa c'e' di seguito (1) o non lo saprebbe
interpretare nel modo corretto (2).

Se il nids avesse entrambe le funzioni, invece, un documento pdf che
contenesse una lunga stringa di 0x43 non attiverebbe mai l'alert, perche'
il nids riconoscerebbe che dopo i NOP-EQUIV (passami il termine) non si
troverebbe del codice macchina, neanche nei pacchetti succesivi. E ci
risparmierebbe il falso positivo. 

Ma servono entrambe le feature, non solo il riassemblaggio dello stream
tcp.

In questo caso, nello specifico di snort, la limitazione starebbe nella
incapacita del motore di pattern matching di svolgere la funzione di cui
al punto 2 e non di quella al punto 1 (al di la della semplicita' della
regola 1390).


Fabio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List