Назад | Перейти на главную страницу

добавлены потоки в snort из-за стандарта качества

У меня проблемы с чтением правила. В частности, где определен блок-бит GROUP_NAME?

Я просматривал свои скверты из securityonion и заметил следующее:

3618 ET TROJAN Семейство бэкдоров PCRat / Gh0st CnC traffic (OUTBOUND) 12

SID для этого - 2017936.

Правило такое:

alert tcp $ HOME_NET любой -> $ EXTERNAL_NET любой (сообщение: «ET TROJAN Backdoor family PCRat / Gh0st CnC traffic (OUTBOUND) 12»; поток: to_server, установлен; биты потока: isset, ET.gh0stFmly; контент: «| 78 9c | "; глубина: 2; ссылка: url, www.securelist.com / en / descriptions / 10155706 / Trojan-GameThief.Win32.Magania.eogz; ссылка: url, www.microsoft.com / security / portal / Threat / Encyclopedia / Entry.aspx? Name = Backdoor% 3AWin32% 2FPcClient.ZR &; ThreatID = -2147325231; ссылка: md5,3b1abb60bafbab204aeddf8acdf58ac9; classtype: trojan-activity; sid: 2017936; rev: 4;)

Однако я не могу найти строку "ET.gh0stFmly" в / etc или / nsm, кроме загруженных.

Рассматривая далее идею «потоковых битов», я думаю, что моя проблема заключается в довольно фундаментальном непонимании того, что такое «потоковые биты».

"Создаются" ли потоковые биты на лету для данного правила? Или они где-то предопределены глобально? Если да, то где?

Например, данное правило:

alert tcp any 143 -> any any (msg:"IMAP login"; content:"OK LOGIN"; flowbits:set,logged_in)  

создается и затем устанавливается потоковый бит logged_in? Или потоковый бит logged_in предопределен, а фрагмент потокового бит просто устанавливает его? Если 'logged_in' предопределен, то где это делается?

Как продолжение параметра flowbit GROUP_NAME, если предположить, что потоковые биты создаются динамически, то является ли GROUP_NAME способом «группировки» связанных потоковых битов? Если да, можно ли использовать одно и то же имя потока в разных GROUP_NAME?

Итак, вернемся к моей проблеме с SID: 2017936. В фрагменте потоковой информации «flowbits: isset, ET.gh0stFmly», является ли ET.gh0stFmly именем потоковой части? Или это GROUP_NAME?

Надеюсь, это понятно, в противном случае я буду рад уточнить.

Спасибо

Ваше первое предположение верно. Битовые биты устанавливаются динамически правилом Snort и не предопределены в каком-либо дополнительном файле конфигурации. После установки они отслеживают поток TCP до его завершения или до тех пор, пока они не будут отменены или очищены другим правилом в наборе правил.

Параметр GROUP_NAME - это способ группировки потоковых битов. Кроме того, для ключевого слова flowbits есть параметры, позволяющие выполнять действия со всеми потоковыми битами, установленными в группе. Например, потоковые биты: setx, bit1, doc установят bit1 и очистят любой другой потоковый бит в группе документов. В вашем правиле потоковые биты: isset, ET.gh0stFmly, ET отделяются от gh0stFmly точкой, а не запятой, поэтому это просто имя потокового бит, и этот потоковый бит не установлен как часть группы и будет установлен в группа по умолчанию.

У вас должно быть другое правило Snort в вашем наборе правил, которое содержит что-то вроде flowbits: set, ET.gh0stFmly. Если у вас нет правила с этой информацией, то критерии, перечисленные выше, никогда не будут выполнены, и вы никогда не получите предупреждение от правила.

Дополнительную информацию о Flowbits можно найти Вот