[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2002 ml@sikurezza.org Soggetto: Re: Executable code was detected Mittente: Salvatore Basso Data: 13 Nov 2002 18:47:32 -0000
Salve a tutti, mi scuso per non essere intervenuto prima..cerco di fornire
un pò di risposte a vari quesiti proposti..come prima cosa Snort non mi ha
più fornito quell'Alert (quindi si è presentato solo una volta)..poi sulla
porta 1344 non gira alcun servizio (gli unici servizi presenti sulla
macchina fanno riferimento alla porta 80 per quel che riguarda un server
http, e poi la porta 21 su cui gira un server ftp), inoltre tale porta non
risulta aperta...inoltre nel momento in cui è stato segnalato l'alert di
sicuro nessuno la stava usando per uscire su Internet...inoltre posso anche
fornire l'indirizzo di provenienza che è: 195.22.198.8..spero di aver
risposto a tutte le vostre domande..scappo !
- Salvatore
----- Original Message -----
From: "Fabio Panigatti" <bio@despammed.com>
To: <ml@sikurezza.org>
Sent: Monday, November 11, 2002 4:29 PM
Subject: Re: Executable code was detected
>
> > Non capisco cosa intendi dire e come la cosa sia correlata all'alert
> > in questione. Nel senso che snort > > L'idea che sta alla base di
> > quell'alert e': "ho visto un NOP seguito da codice macchina in questo
> > pacchetto",
> >
> > Non proprio.
>
> Opz, forse ho capito cosa intendi dire. Mi ero fatto trare in inganno
> dal "in questo pacchetto", ma forse non lo intendevi alla lettera.
> Quel falso positivo potrebbe non venir rilevato in una situazione in
> cui:
>
> 1) il nids riassemblasse il traffico tcp;
> 2) il nids avesse la capacita' di rilevare del "codice macchina" generico
> che sia successivo ad un pattern (la nostra sequenza di 0x43).
>
> Nel caso in cui, ad esempio, il payload tcp terminasse con la sequenza di
> 0x43 ed il seguito, che potrebbe contenere del codice macchina ma anche
non
> contenerne, fosse ne[l|i] pacchett[o|i] sucessiv[o|i], un nids che non
> avesse una delle due features qui sopra segnalerebbe un evento che
potrebbe
> anche non corrispondere all passaggio sulla rete di un codice BOF (falso
> positivo), perche' non vedrebbe cosa c'e' di seguito (1) o non lo saprebbe
> interpretare nel modo corretto (2).
>
> Se il nids avesse entrambe le funzioni, invece, un documento pdf che
> contenesse una lunga stringa di 0x43 non attiverebbe mai l'alert, perche'
> il nids riconoscerebbe che dopo i NOP-EQUIV (passami il termine) non si
> troverebbe del codice macchina, neanche nei pacchetti succesivi. E ci
> risparmierebbe il falso positivo.
>
> Ma servono entrambe le feature, non solo il riassemblaggio dello stream
> tcp.
>
> In questo caso, nello specifico di snort, la limitazione starebbe nella
> incapacita del motore di pattern matching di svolgere la funzione di cui
> al punto 2 e non di quella al punto 1 (al di la della semplicita' della
> regola 1390).
>
>
> Fabio
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005