Как борятся с эксплоитами?

[eboev]

C выходом DEP проблем эксплоитам, основанным на переполнении буфера прибавилось, но почему не удалось искоренить их вовсе?

[Virtual]

апотому что производители софта не хотят взять за аксиому что сегмент данных это данные а сегмент кода это код. начиная от упаковщиков (в связи с современными обьемами памяти, это имеет смысл только для защиты кода от пионеров) и до вставок защиты от отладки и исполнения в виртуальной среде. //хотя против лома нет приема .
вот по этому DEP и включен по умолчанию только для критических системных процессов. а есть еще и сторонний софт.

[eboev]

Спасибо, за полезную информацию Virtual! Я прочитал еще несколько свежих исследовательских статей про IDS. Получается, что для активной борьбы остается только сигнатурный метод?

Добавлено через 48 минут

Я решил проанализировать что обыно делают шеллкоды и пришел к выводу:
1)запускают шелл
2)вызывают отказ в обслуживании, создавая много новых потоков.
3)открывают порт (обычно с номером > 1024)

Я не нашел гуглом никаких аналитических отчетов, по этому вопросу, посмотрю базу эксплоитов Metasploit Framework. Если у кого есть киньте пожалуйста ссылочку на подобную информацию.

[Virtual]

eboev,
securitylab.ru poc, там есть примеры.

[eboev]

Нашел, спасибо а что скажите по поводу: Получается, что для активной борьбы остается сигнатурный метод+эвристики (анализ протоколов)?

[Virtual]

eboev, ага, притом очень серьезной эвристике, и анализ протоколов по самый верх вплоть до HTTP и Java

[eboev]

Добрый день Поставил comodo firewall на уязвимую машину для тестирования. Отключил всю проактивную защиту, после чего стал атаковать. comodo задетектил инжекцию шелл-кода в svchost.exe и он прав . Интересно какой модуль отрабатывает в comodo, если я отключил мониторинги и проактивную защиту? У comodo есть набор стандартных сигнатур для борьбы с вторжениями?

[eboev]

Я разобрался Comodo детектирует активность шелл-кода, она отлавливает, что svchost запускает cmd.

[Virtual]

Я разобрался Comodo детектирует активность шелл-кода, она отлавливает, что svchost запускает cmd.

перевожу-
дорогой пользователь вас того это уже нагнули, вижу что какой-то лох смд запустил, вот и сообщаю, а остальные кто поумней, так и пользуют вас как хотят.... и к анализу трафика это никакого отношения не имет .

[eboev]

перевожу-
дорогой пользователь вас того это уже нагнули, вижу что какой-то лох смд запустил, вот и сообщаю, а остальные кто поумней, так и пользуют вас как хотят....

Snort просит денег за обновление своей базы сигнатур. Можно получить подобную базу бесплатно? В особенности интересуют файлы netbios.rules, exploit.rules, shekkcode.rules.

Добавлено через 1 час 41 минуту

Пришла мысль что такая база бесплатной болле вероятно может быть в каком нибудь линуксовом open-source проекте нежели в windows.

[Kuzz]

eboev, если внимательно посмотреть, то все становится ясно http://snortgroup.ru/dl

• Подписчики получают обновления правил в реальном времени, как только они становятся доступными
• Зарегистрированные пользователи (на сайте http://www.snort.org ) могут получить доступ к обновлению правил через 30 дней после выхода на подписке пользователей
• Незарегистрированные пользователи получают статичные правила во время каждого крупного Snort-релиза

[eboev]

А знает кто-нибудь как антивирусники собирают своибазы? Я читал статьи Криса К.: в сети располагаются заведомо уязвимые машины (приманка для вирусов), после чего спецы анализируют сигнатуры вновь появившихся.