Treinamento OSSEC Introdução esta com turmas abertas para o dia 17 de Abril. Este treinamento será ministrado em parceria com a Temporeal Eventos, a inscrição poderá ser realizada com a própria Temporeal.
Maiores informações visite:
http://www.temporealeventos.com.br/?area=175

Equipe Dynsec

Primeiramente gostaria de agradecer a todos que participaram da palestra, realmente me surpreendeu a quantidade de pessoas. Espero que tenhamos atendido as expectativas.

Abaixo o link para download do material

http://www.dynsec.com.br/arquivos/dynsec-cnasi-set09.pdf

Fique a vontade para enviar dúvidas / críticas / sugestões .

Rodrigo Montoro(Sp0oKeR)

Pulled Pork é um gerenciador de regras do snort escrito no bom e velho PERL . Ele faz o update de forma automatica das regras em plain-text e as shared object rules .

Qual a diferença entre ele e o oinkmaster?

A grande diferença entre os dois é o update das Shared Object Rules (SO_Rules)

O que são as SO_Rules (Shared Object rules) ?

Shared Object Rules são regras para detecção de situação mais complexas que não se consegue detectar com as regras plain-text. Essas regras são bem mais complexas de serem desenvolvidas e precisam ser compiladas de acordo com seu sistema operacional, vale lembrar que para os sistemas mais conhecidos o VRT já lança as regras pré-compiladas .

Entendendo o Pulled Pork

Basicamente o pulledpork se divide nos seguintes arquivos de configuração:

1-) disablesid.conf

Assinaturas que deseja manter desativada quando fizer o update. SID significa Signature ID o qual é único para cada regras

2-) pulledpork.conf

Esse arquivo contém as opções de configurações que serão utilizadas quando utilizar a chamada com a opção -c . Abaixo descrição dos campos:

Nome do arquivo que deseja baixar do snort.org

rule_file=snortrules-snapshot-2.8_s.tar.gz

Seu Oinkcode , lembrando que para ter o seu basta se cadastrar no site http://www.snort.org (para entender mais leia nosso post sobre assinaturas http://snort.org.br/index.php?option=com_content&task=view&id=24&Itemid=31 )

oinkcode=SEU_OINK_CODE

Diretório onde sera feito o download e descompactar as regras (cuidado para não apontar para um diretório com pouco espaço) .

temp_path=/tmp

Caminho do comando tar que será utilizado para descompactar as regras que foram baixadas .

tar_path=/bin/tar

Diretório onde ficam suas regras texto .

rule_path=/etc/snort/rules/

Local onde estar o sid-map .

sid_msg=/usr/local/etc/snort/sid-msg.map

Caminho onde hospeda as suas regras dinamicas (SO_Rules), caso não conheça sugiro a leitura http://vrt-sourcefire.blogspot.com/2009/01/using-vrt-certified-shared-object-rules.html

sorule_path=/usr/local/lib/snort_dynamicrules/

Caminho do binário do snort que está fazendo o update.

snort_path=/opt/bin/snort

Local do seu arquivo de configuração do snort (snort.conf)

config_path=/etc/snort/snort.conf

Local onde será colocado o apontamento das .rules texto que se referenciarão as shared objects do /usr/local/lib/snort_dynamicrules/ (caso não conheça das so_rules sugiro novamente a leitura http://vrt-sourcefire.blogspot.com/2009/01/using-vrt-certified-shared-object-rules.html )

sostub_path=/home/spooker/snort/so_rules/

Distribuição que está utilizando, como citei ele já possui pre-compilado para as opções abaixo:
#CentOS-4.6,CentOS-5.0,Debian-Lenny,FC-5,FC-9,FreeBSD-7.0,RHEL-5.0,Ubuntu-6.01.1,Ubuntu-8.04

distro=Ubuntu-8.04

Versão do snort que está rodando
#2.8.0.1,2.8.0.2,2.8.1,2.8.2,2.8.2.1,2.8.2.2,2.8.3,2.8.3.1,2.8.3.2,2.8.4,2.8.4.1

snort=2.8.4.1

Caminho do arquivo de PID do processo.

pid_path=/var/run/snort_eth0.pid

3-) pulledpork.pl

Script principal que pode ser invocado com todas opções em linha de comando bem como utilizar das configurações dos arquivos citados acima .

Utilizando o Pulled Pork

# perl pulledpork.pl listará as opções da ferramenta

Para nosso caso utilizaremos somente a opção -c apontando para o arquivo de configuração e o -i para o disablesid.conf visto que configuramos as opções no pulledpork.conf

# perl pulledpork.pl -c pulledpork.conf -i disablesid.conf

http://code.google.com/p/pulledpork/
_____ ____
`—-,\ )
`–==\\ / Pulled_Pork v0.2.5
`–==\\/
.-~~~~-.Y|\\_ Copyright (C) 2009 JJ Cummings
@_/ / 66\_ cummingsj@gmail.com
| \ \ _(”)
\ /-| ||’–’ Rules give me wings!
\_\ \_\\
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Checking latest MD5….
Rules tarball download….
Prepping files for work….
Done!
Copying rules files….
Done!
Copying Shared Object Rules….
Done!
Running in Rule Dump mode with config file: /etc/snort/snort.conf

=== Removido ===

Disabling your chosen SID’s….
Disabled 1 rules in /etc/snort/rules/web-iis.rules
Disabled 1 rules in /etc/snort/rules/exploit.rules
Disabled 1 rules in /etc/snort/rules/rpc.rules
Disabled 2 rules in /etc/snort/rules/backdoor.rules
Done
Generating sid-msg.map…
Done
Fly Piggy Fly!

Pronto !!! Você está atualizado, agora basta adicionar ao crontab !!

Site: http://code.google.com/p/pulledpork/

Espero que seja útil .

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

Serão abordados os seguintes temas:

- Onde conseguir informações ?

- Estações de trabalho
- Servidores
- Dispositivos de rede
- Firewall
- IDS/IPS
- Web Application Firewall

- Monitoramento

- Ativo
- Passivo

- O que é correlacionamento ?

- Tipos de correlacionamento
- Análise comportamental
- Ações a partir de informações correlacionadas

- Eventos x Incidentes

Mais informações sobre o evento: http://www.cnasi.com.br/grade

Nós vemos por lá!

Rodrigo Montoro(Sp0oKeR)

Voce recebeu um cartao do UOL!

Olá Alguem especial enviou um cartão.
Para visualizá-lo, clique no link abaixo ou Cole ele no Navegador:

http://www.uolcartoesbrpa.com.br/MODIFICADO-2CEEFCA0104CA0219A.rar?#http://cts.uol.com.br/recebeu.html?id

Este cartão ficará disponível por 15 dias.

Envie um cartão para um amigo.
Clique no seguinte endereço: http://www.uol.com.br/cartoes
______________________________________________________________________
Acabe com aquelas janelinhas que pulam na sua tela.
AntiPop-up UOL - É grátis!
http://antipopup.uol.com.br

Como bom curioso resolvi fazer uma análise básica =)

root@dynseclabs:/tmp# clamscan uolcartoes-2CEEFCA0104CA0219A.rar
uolcartoes-2CEEFCA0104CA0219A.rar: OK

———– SCAN SUMMARY ———–
Known viruses: 573966
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.08 MB
Data read: 0.08 MB (ratio 1.00:1)
Time: 1.609 sec (0 m 1 s)

root@dynseclabs:/tmp# unrar x uolcartoes-2CEEFCA0104CA0219A.rar
UNRAR 3.80 freeware Copyright (c) 1993-2008 Alexander Roshal

Extracting from uolcartoes-2CEEFCA0104CA0219A.rar

Extracting uolcatoes.exe OK
All OK

root@dynseclabs:/tmp# clamscan uolcatoes.exe

uolcatoes.exe: OK

———– SCAN SUMMARY ———–
Known viruses: 573966
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.08 MB
Data read: 0.08 MB (ratio 1.00:1)
Time: 1.204 sec (0 m 1 s)

Averiguando o dominio www.uolcartoesbrpa.com.br

% Copyright (c) Nic.br
% A utilização dos dados abaixo é permitida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua distribuição, comercialização ou reprodução,
% em particular para fins publicitários ou propósitos
% similares.
% 2009-06-16 13:41:07 (BRT -03:00)

domínio: uolcartoesbrpa.com.br
entidade: ABISAGUE BELEM GARCIA
endereço: R CORONEL MANOEL PY, 204, apartamento
endereço: 90550-040 - Porto Alegre - RS
país: BR
ID entidade: ABBGA
ID admin: ABBGA
ID técnico: ABBGA
ID cobrança: ABBGA
servidor DNS: ns1.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
servidor DNS: ns2.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
servidor DNS: ns3.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
criado: 14/06/2009 #5661944
expiração: 14/06/2010
alterado: 14/06/2009
provedor: UOLHOST (22)
status: publicado

ID: ABBGA
nome: ABISAGUE BELEM GARCIA
criado: 14/06/2009
alterado: 14/06/2009
provedor: UOLHOST (22)

% Problemas de segurança e spam também devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tipos de
% consultas são: dominio (.br), ticket, provedor, ID, bloco
% CIDR, IP e ASN.

Estranhamente o dominio ta hospedado na UOL hosts =)

E por final o resultado via Anubis

Summary:
Description Risk

Spawns Processes: The executable produces processes during the execution. low

Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys. low

Mais Informação: http://anubis.iseclab.org/?action=result&task_id=16be2db96110790a4b1446370086ff893&format=html

É um keylogger, só não sabemos ainda do que pois precisamos de maior analise.

Cuidado com Phishing que recebem , como viram o clamav não detectou, nunca confie muito no seu Anti Virus =)

Deem uma olhada no resultado do Virus Total : http://www.virustotal.com/analisis/5856783898fc1b6acc703b6b2f53badd768c8117c438866186b4c65f00315d68-1245041847

Rodrigo Montoro (Sp0oKeR)

Infelizmente cancelamos o treinamento Snort Completo ( http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/ ) pois não obtivemos o quorum minimo de inscritos o que torna inviável a realização do mesmo .

Tivemos bastante pessoas interessadas e gostariamos de ouvi-los sobre o motivo pelo qual não realizaram inscrição. Esperamos em breve lançar uma próxima turmas mas queremos saber as reais necessidades para conseguirmos o quorum =)!

Continue de olho no nosso blog.

Envie seu feedback para treinamentos@dynsec.com.br

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

Acompanhe os posts futuros sobre tcpdump e wireshark com mais tips and tricks.

Artigo completo:

http://www.dynsec.com.br/arquivos/art-wiresharkHTTP.pdf

Espero que ajude!

Rodrigo Montoro(Sp0oKeR)

Abaixo o alerta:

[**] [1:15165:2] BACKDOOR Pushdo client communication attempt [**]
[Classification: A Network Trojan was detected] [Priority: 1]
05/20-14:27:53.110258 192.168.1.40:1029 -> 195.2.252.220:80
TCP TTL:128 TOS:0x0 ID:32 IpLen:20 DgmLen:128 DF
***AP*** Seq: 0x1B2642F7 Ack: 0xCD719B8A Win: 0xFFFF TcpLen: 20
[Xref => http://www.eweek.com/c/a/Security/Inside-a-Modern-Malware-Distribution-System/]

Todo alerta gerado pelo snort é gravado o payload em formato pcap no diretório configurado para o log que por padrão é o /var/log/snort onde pela data de criação devido ao rotate que ele faz automaticamente você saberá em que arquivo de pcap seu payload estará.

Analisando o pcap , procuramos pelos alertas para o destino 195.2.252.220 conforme gerado pelo alerta e obtivemos

# tcpdump -A -r snort.log.1242833559 host 195.2.252.220

reading from file snort.log.1242833559, link-type EN100MB (Ethernet)

13:03:28.643122 IP ip_cliente.1025 > 195.2.252.220.http: P
2780398173:2780398261(88) ack 2400962756 win 65535
E…..@….9………..P…]….P…….GET /40E80008F9B2F038EBAA26006C0000000266000000017600000140EB0005307B80858A HTTP/1.0

14:27:53.110268 IP ip_cliente.1029 > 195.2.252.220.http: P
455492343:455492431(88) ack 3446774666 win 65535
E…. @…………….P.&B..q..P…….GET /40E80008F9B2F038EBAA26006C0000000266000000017600000140EB000530ACB1B6BA HTTP/1.0

#

Com certeza um GET muito suspeito e para complementar nossa pesquisa, demos um whois nesse IP.

# whois 195.2.252.220

[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘195.2.252.0 - 195.2.253.255′

inetnum: 195.2.252.0 - 195.2.253.255
netname: MADET-NET
remarks: —————————————————-
remarks: Routing and peering issues: noc@madet.net
remarks: SPAM issues: abuse@madet.net
remarks: Network security issues: abuse@madet.net
remarks: Mail issues: postmaster@madet.net
remarks: General information: info@madet.net
remarks: —————————————————-
descr: Madet Ltd.
country: RU
org: ORG-ML87-RIPE
admin-c: TIV15-RIPE
tech-c: TIV15-RIPE
tech-c: PAS521-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-by: MNT-MADET
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: MNT-MADET
mnt-routes: DN-MNT
mnt-domains: MNT-MADET
source: RIPE # Filtered

organisation: ORG-ML87-RIPE
org-name: Madet Ltd.
org-type: OTHER
address: Russia, 109052, Moscow, Nizhegorodskaya st., 84
e-mail: info@madet.net
mnt-ref: MNT-MADET
mnt-by: MNT-MADET
source: RIPE # Filtered

person: Trifonov Igor Vladimirovich
address: Russia, 109052, Moscow, Nizhegorodskaya st., 84
e-mail: tiv@madet.net
phone: +79032910584
fax-no: +79032910584
nic-hdl: TIV15-RIPE
source: RIPE # Filtered

person: Panov Artur Semenovich
address: Russia, 109052, Moscow, Nizhegorodskaya st., 84
e-mail: panov@madet.net
phone: +79032910584
nic-hdl: PAS521-RIPE
source: RIPE # Filtered

% Information related to ‘195.2.252.0/23AS12695′

route: 195.2.252.0/23
descr: MADET-NET
descr: Moscow, Russia
origin: AS12695
mnt-by: DN-MNT
source: RIPE # Filtered

#

Como observaram no alerta do snort vocês possuem uma referência a http://www.eweek.com/c/a/Security/Inside-a-Modern-Malware-Distribution-System/ no qual SEMPRE deve ser lida caso não conheça o ataque que está ocorrendo.

Lendo a página e logicamente por ser uma comunicação com um host russo , as chamadas RBN(Russian Business Network) , só nós restou notificar o administrador da rede para analisar a maquina em questão pois com certeza não foi um falso-positivo.

Isso foi um exemplo bem simples que acredito que ilustre um pouco mais a vida real de uma análise .

Espero que tenha ajudado.

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

A Dynsec está no twitter. Aqui postaremos

- Artigos Dynsec
- Dynsec Research Labs
- Novidades sobre HIDS, NIDS , Análise de Log, Insider Threats entre outros assuntos relacionados a detecção de intrusos
- Webminars da Dynsec

Caso queiram seguir nosso dia a dia do labs basta nos seguir em @dynsec .

Happy Detection!

Rodrigo Montoro(Sp0oKeR)

Estamos disponibilizando o material do primeiro webminar da comunidade Snort-BR. Esperamos que esse seja o primeiro de muitos! Infelizmente não conseguimos gravar, como primeiro foram várias aventuras e muito aprendemos.

Gostariamos de agradecer a todos os participantes, tivemos 13 pessoas na sala o que achamos um valor bem legal.

Tivemos um pouco de atraso, as vezes nos perdiamos na sincronia, falar com o computador não é FÁCIL também (rir do computador é facil rsrs …) e tambem o som as vezes falhou ou ficou baixo.

Mais uma vez agradecemos a todos a participação e com certeza no próximo ja teremos aprendido muito com esse primeiro. Como citei no webminar nossa idéia é além de snort levarmos profissionais de segurança da informação que tenha algo relacionado com o nosso trabalho de Detecção de Intrusos.

Para acessar o pdf: http://www.dynsec.com.br/arquivos/Webminar-SNORT-Intro.pdf

Sugestões, feedbacks e críticas podem enviar para webminar@dynsec.com.br

Até a próxima!

Happy Snorting!!