MS XML vulnerability detection rule : CVE-2012-1889 rev:4

IE기반이라 네트워크 단에서 탐지하기 어렵다. 탐지를 해도 추후분석이 조금더 필요하다 룰은 다음과 같다 alert tcp any $HTTP_PORT -> any any (pcre:”\x3c\s*\bobject\b[^\x3e]*?\bclsid\b[^\x3e]*?\b(f6D90f11\x2d9c73\x2d11d3\x2db32e\x2d00C04f990bb4|f5078f32\x2dc551\x2d11d3\x2d89b9\x2d0000f81fe221|88d969c0\x2df192\x2d11d4\x2da65f\x2d0040963251e5|88d96a05\x2df192\x2d11d4\x2da65f\x2d0040963251e5|88d969e5\x2df192\x2d11d4\x2da65f\x2d0040963251e5)\b[^\x3e]*?\bid\s*\x3d\s*[\x27\x22]?\b([\w]+)\b[\x27\x22]?.+?(var\s+\b([\w]+)\b\s*\x3d\s*document\.getElementById\x28\s*[\x27\x22]?\b\2\b[\x27\x22]?\s*\x29\.object.+\b\4\.definition\b\s*\x28[0-9]{0,10}\x29|document\.getElementById\x28\s*[\x27\x22]?\b\2\b[\x27\x22]?\s*\x29\.object\.definition\b\s*\x28[0-9]{0,10}\x29)/is”;) object 태그로  해당 취약점이 발생하는 clsid를 찾고 id를 찾아서 저장한다. 이 id를 이용하여 엘리먼트객체 생성하면서 바로 definition을 이용하거나, 이 id를 이용하여 엘리먼트를 생성한 변수를 찾아 저장하고 이 변수에 definition을 이용하면 탐지한다. 이 룰은 패킷 […]

Posted at 11:34 오전 on 6월 21, 2012 | 댓글 남기기 | Filed Under: Hot issue | 태그가 있는 글: , , | 계속 읽기

MS12-020 Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387) detection rules -rev:3

MS 2012 3월 보안공지 취약점 중, 크리티컬이 나왔군요. RDP 취약점을 이용하여 코드 실행을 할 수 있다라는겁니다. 관련 내용은 다음 링크 http://support.microsoft.com/kb/2621440 http://technet.microsoft.com/ko-kr/security/bulletin/ms12-020 RDP 패킷에서 특정 바이트의 값이 underflow되면 취약점을 발생시킵니다. 그동안에 POC를 분석한결과 다음룰을 적용할 수 있습니다. alert tcp any any -> any 3389 (flow:to_server, established; content:”|03 00|”; depth:2; content:”|7F 65 82|”; content:”|04 01 01 […]

Posted at 6:08 오후 on 3월 15, 2012 | 5개의 댓글 | Filed Under: Hot issue | 계속 읽기

소개

스노트와 스노트 룰에 대한 글을 진행 할 것이다.

새로운 네트워크 공격들을 분석하고

이를 막을 Snort기반 룰을 작성하겠다.

또한 룰의 성능을 위해 노력하며 오탐을 줄이고 문제점을 찾아 고쳐보겠다.

스노트 운영상의 팁과 기능들에 대한 설명을 제시한다.

!!! 룰을 테스트하고 피드백 주실 분 찾습니다. 물론 정오탐여부 가려드리겠습니다.

!!! snort rules에서 같이 활동할 editer를 구해봅니다.

mskim17@gmail.com 으로 메일주십시오.

!!!looking for someone who edit post which about snort rules with us

contact to e-mail mskim17@gmail.com

피드가입 : https://snortrules.wordpress.com/feed/

Korean Snort Rules

  • 87,313 hits