Erstellen von benutzerdefinierten Bedrohungssignaturen aus Snort Signaturen

Dieses Dokument bietet einen allgemeinen Überblick über das Erstellen von benutzerdefinierten Bedrohungssignaturen aus SNORT Signaturen in den Palo Alto-Netzwerken Firewall mithilfe von drei Anwendungsfällen.

1. Alert TA17-318B HIDDEN COBRA – Nordkoreanischer Trojaner: Volgmer

Referenz:
https://www.us-cert.gov/ncas/alerts/TA17-318B

IOC Liste:
https://www.us-cert.gov/sites/default/files/publications/ TA-17 -318B-IOCs.csv

Snort Regel:

alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)

Allgemeine Anmerkungen:

• Verwenden Sie die IP als Teil der Liste bereitgestellten IOC Adressen, um zu ermitteln, ob bereits eine mögliche Infektion vorliegt, indem Sie die Protokolle durchsuchen Firewall
• Die IP angegebenen Adressen können Teil einer oder AdresseGruppe sein und zu einer hinzugefügt EDL Policy werden, um Datenverkehr zu und aus der verdächtigen Liste zu blockieren.
• Verwenden Sie die Snort bereitgestellte Signatur, und konvertieren Sie sie in eine benutzerdefinierte Spyware-Signatur. Diese Signatur wird Teil des Spyware-Profils, das der entsprechenden hinzugefügt Policy wird.

Detaillierte Schritte:

1. Erstellen Sie ein individuelles Spyware-Objekt
   1. Navigieren zu Objekten -> benutzerdefinierte Objekte -> Spyware
   2. Klicken Sie auf Hinzufügen und geben Sie die entsprechenden Details an, wie im folgenden Screenshot gezeigt

3. Klicken Sie auf Signaturen -> Hinzufügen [Standardsignaturoption]
4. Erstellen Sie eine individuelle Signatur, wie unten gezeigt:

5. Das Muster "User-Agent: Mozillar/" aus der snort Signatur wird mit dem Kontext "http-req-headers" verwendet, um die benutzerdefinierte Signatur zu erstellen.
6. Klicken Sie OK hier, um das Spyware-Objekt zu erstellen.
7. Verifizieren Sie das erstellte Spyware-Objekt ist Teil Ihres Anti-Spyware-Profils

2. Erstellen eines EDL Objekts

   1. Navigieren zu Objekten Registerkarte -> Externe dynamische Listen
   2. Klicken Sie auf Hinzufügen
   3. Fügen Sie die verdächtige Adresse aus der Liste zu einem zuvor erstellten oder einer neuen Adresse hinzu, IP wie IOC unten EDL EDL gezeigt.

3. Fügen Sie die EDL und Anti-Spyware-Profile zu den entsprechenden Policy Objekten hinzu.
4. Der Test Policy funktioniert pro Erwartung, indem Threat-Protokolle betrachtet werden.
5. Ändern Sie die Aktion für das Spyware-Objekt von Alert auf Drop/Reset nach der Verifizierung. Ändern Sie auch die Schwere des benutzerdefinierten Objekts, das bei Bedarf erstellt wurde.

2. Alert TA17-293A Advanced Persistent Threat Activity

References:
https://www.us-cert.gov/ncas/alerts/TA17-293A
https://www.us-cert.gov/ncas/current-activity/2017/01/16/ SMB- Security-Best-Practices

IOC List:
https://www.us-cert.gov/sites/default/files/publications/TA17-293A_TLP_WHITE_CSV.csv

Snort rules: alert tcp
$HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP URI enthält '/aspnet_client/system_web/4_0_30319/update/' (Beacon)"; sid:42000000; rev:1; flow:established,to_server; content:"/aspnet_client/system_web/4_0_30319/update/"; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;) alert tcp

$HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP URI enthält '/img/bson021.dat'"; sid:42000001; rev:1; flow:1 established,to_server; content:"/img/bson021.dat"; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg :" HTTP URI enthält '/A56WY' (Callback)"; sid:42000002; rev:1; flow:established,to_server; content:"/A56WY"; http_uri; fast_pattern; classtype:bad-unknown; metadata:service http;)

alert tcp any any -> any 445 (msg:" SMB Client Request contains 'AME_ICON. PNG ' SMB(Anmeldeinformationen Ernte)"; sid:42000003; rev:1; flow:established,to_server; inhalt:"| FF | SMB | 75 00 00 00 00|"; Offset:4; Tiefe:9; Inhalt: "|08 00 01 00|"; Abstand:3; Inhalt:"|00 5c 5c|"; Abstand:2; innerhalb:3; Inhalt:"|5c| AME_ICON. PNG "; Abstand:7; fast_pattern; classtype:schlecht-unbekannt; metadata:service netbios-ssn;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP URI OPTIONS enthält '/ame_icon.png' SMB (Anmeldeinformationen Ernte)"; sid:42000004; rev:1; flow:established,to_server; content:"/ame_icon.png"; http_uri; fast_pattern:only; content:" OPTIONS "; nocase; http_method; classtype:bad-unknown; metadata http;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP Client Header enthält 'User-Agent|3a 20| Go-http-client/1.1'"; sid:42000005; rev:1; Flow:etabliert,to_server; Inhalt:"User-Agent|3a 20| Go-http-client/1.1|0d 0a| Accept-Encoding|3a 20|gzip"; http_header; fast_pattern:nur; pcre:"/.. (?:aspx|txt)? [a-z0-9] {3}=[a-z0-9]{32}&/ U "; classtype:bad-unknown; metadata:service http;)

alert tcp $EXTERNAL_NET [139,445] -> $HOME_NET any (msg:" SMB ServerTraffic contains NTLM- Authenticated SMBv1 Session"; sid:42000006; rev:1; flow:established,to_client; content:"|ff 53 4d 42 72 00 00 00 80|"; fast_pattern:only; content:"|05 00|"; distance:23; classtype:bad-unknown; metadata:service netbios-ssn;)

Allgemeine Hinweise:

• Verwenden Sie die IP als Teil der Liste bereitgestellten IOC Adressen, um zu ermitteln, ob bereits eine mögliche Infektion vorliegt, indem Sie   die Protokolle durchsuchen Firewall
• Die IP angegebenen Adressen, Domänen und URL 's können Teil eines sein und zu EDL einem hinzugefügt Policy werden, um den Datenverkehr zu und aus der verdächtigen Liste zu blockieren.
• Das Blockieren SMB des Anwendungsdatenverkehrs von Vertrauenszonen in nicht vertrauenswürdige Zonen ist eine empfohlene bewährte Methode. Dies policy kann als Problemumgehung für die Einschränkungen beim Konvertieren von netbios-ssn-bezogenen snort Signaturen in benutzerdefinierte Bedrohungssignaturen verwendet werden.
• Verwenden Sie die anderen Snort bereitgestellten Signaturen, und konvertieren Sie sie in benutzerdefinierte Spyware-Signaturen. Diese Signaturen werden Teil des Anti-Spyware-Profils, das einer entsprechenden Policy hinzugefügt wird.

Detaillierte Schritte:

1. Erstellen Sie ein individuelles Spyware-Objekt
   1. Navigieren zu Objekten -> benutzerdefinierte Objekte -> Spyware
   2. Klicken Sie auf Hinzufügen und geben Sie die entsprechenden Details an, wie im folgenden Screenshot gezeigt

3. Klicken Sie auf Signaturen -> Hinzufügen [Standardsignaturoption]
4. Erstellen Sie eine individuelle Signatur, wie unten gezeigt:

5. Sig-1: Das Muster "/aspnet_client/system_web/4_0_30319/update/" in der snort Signatur wird mit dem Kontext "http-req-uri-path" verwendet, um die benutzerdefinierte Spyware-Signatur zu erstellen, wie unten gezeigt:

6. Sig-2: Das Muster "/img/bson021.dat" in der snort Signatur wird mit dem Kontext "http-req-uri-path" verwendet, um die benutzerdefinierte Spyware-Signatur zu erstellen, wie unten gezeigt:

7. Sig-3: Das Muster "/A56WY" in der snort Signatur wird mit dem Kontext "http-req-uri-path" verwendet, um die benutzerdefinierte Spyware-Signatur zu erstellen. Da es keinen 7-Byte-Anker gibt, schließen wir GET Methoden zusammen mit dem POST Nachverfolgen des Platzes in das folgende Muster ein:

8. Sig-4: Das Muster "/ame_icon.png" in der snort Signatur wird mit dem Kontext "http-req-uri-path" und "http-method: " verwendet, um die OPTIONS benutzerdefinierte Spyware-Signatur zu erstellen, wie unten gezeigt:

9. SIG-5 Tieftauchgang:
   1. Snort Signatur:

2. Tatsächlich HTTP Anfrage:

3. BenutzerDefinierte Spyware Signature Erklärung:

• Das Muster "User-Agent | 3a 20 | Go-http-Client/1.1 "wird Teil des Kontextes" http-req-Headers "verwendet. Hier entsprechen die Hex 3a und 20 den Dickdarm-und Leerzeichen.
• Das Muster "Accept-Encoding | 3a 20 | gzip" wird Teil des Kontextes "http-req-Headers" verwendet. Hier entsprechen die Hex 3a und 20 den Dickdarm-und Leerzeichen.
• Das Muster "DefaultForm\. ((aspx) | (txt)) \? "wird als Teil des" http-req-URI-Path "-Kontextes verwendet. Dies wird verwendet, da im pcre-Abschnitt der Signatur kein 7-Byte-Anker vorhanden snort ist.
• Die endgültige resultierende benutzerdefinierte Spyware-Signatur ist eine AND von allen oben genannten Signaturen wie unten zu sehen:

10. Klicken Sie OK hier, um das neue Spyware-Objekt zu erstellen.
    1. Verifizieren Sie das erstellte Spyware-Objekt ist Teil Ihres Anti-Spyware-SicherheitsProfils

2. Erstellen Sie policy eine, um die Anwendung von der internen in die externe Zone zu blockieren SMB oder umgekehrt. Dies ist eine empfohlene Best Practice und befasst sich mit den "netbios-ssn"-bezogenen snort Signaturen

3. Erstellen eines EDL Objekts für verdächtige IP Adressen in IOC List
   1. Navigieren zu Objekten Registerkarte -> Externe dynamische Listen
   2. Klicken Sie auf Hinzufügen
   3. Fügen Sie die verdächtigen IP Adressen aus der Liste zu einem zuvor IOC erstellten oder neuen hinzufügen, EDL wie unten EDL gezeigt:

4. Erstellen eines EDL Objekts für verdächtige URL 's in IOC List
   1. Navigieren zu Objekten Registerkarte -> Externe dynamische Listen
   2. Klicken Sie auf Hinzufügen
   3. Fügen Sie die verdächtigen URL ' aus der Liste zu einem zuvor IOC erstellten oder einem neuen EDL EDL hinzu, wie unten gezeigt.
   4. Dies kann nun mit entsprechenden Aktionen unter dem URL Filtersicherheitsprofil enthalten sein:

5. Erstellen eines EDL Objekts für verdächtige Domänen in IOC List
   1. Navigieren zu Objekten Registerkarte -> Externe dynamische Listen
   2. Klicken Sie auf Hinzufügen
   3. Fügen Sie die verdächtigen Domänen aus der Liste zu einem zuvor erstellten oder neuen wie IOC unten EDL EDL gezeigt.
   4. Für die Liste der Domänen, die in der externen dynamischen Liste enthalten sind, erstellt der firewall eine Reihe benutzerdefinierter Signaturen vom Typ Spyware und mittlerem Schweregrad, sodass Sie die Sinkhole-Aktion für eine benutzerdefinierte Liste von Domänen verwenden können:

 

6. Fügen Sie die EDL 's- und Anti-Spyware-Profile zu den entsprechenden Policy Objekten hinzu.
7. Der Test Policy funktioniert pro Erwartung, indem Threat-Protokolle betrachtet werden.
8. Ändern Sie die Aktion für das Spyware-Objekt von Alert auf Drop/Reset nach der Verifizierung. Ändern Sie auch den Schweregrad des benutzerdefinierten Objekts, das nach Bedarf erstellt wurde.

Weitere nützliche Informationen:

• Beispiel GET Anforderung-1:

• Beispiel GET Anforderung-2:

3. CVE-2018 -4878

Referenzen:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
https://www.flashpoint-intel.com/blog/targeted-attacks-south-korean-entities/
http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html
https://threatpost.com/adobe-flash-player-zero-day-spotted-in-the-wild/129742/

Snort Regel: alert tcp
$HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CVE-2018 -4878 check-in alert"; flow:established,to_server; http_uri; content:"?id="; http_uri; content:"&fp_vs="; http_uri; content:"&os_vs="; http_uri; reference: source, Vitali Kremez-Flashpoint; classtype:Trojan-activity; rev:1;)

IOC:
hxxp://www[.] 1588-2040[.] co[.] kr/conf/product_old.jpg
hxxp://www[.] 1588-2040[.] co[.] kr/design/m/images/image/image.php
hxxp://www[.] korea-tax[.] info/main/local.php
hxxp://www[.] dylboiler[.] co[.] kr/admincenter/files/board/4/manager.php

Allgemeine Hinweise:

• Verwenden Sie die URL als Teil der zur Verfügung gestellten IOC ,, um zu erkennen, ob bereits eine mögliche Infektion vorliegt, indem Sie die Firewall Protokolle durchsuchen.
• Die URL bereitgestellten 's können Teil eines EDL oder eines benutzerdefinierten URL Kategorieobjekts sein, das einem als Filterprofil hinzugefügt Policy URL wird.
• Verwenden Sie die Snort bereitgestellte Signatur, und konvertieren Sie sie in eine benutzerdefinierte Verwundbarkeitssignatur. Diese Signatur wird Teil des Profils für Sicherheitsanfälligkeiten, das einer entsprechenden Policy hinzugefügt wurde.

Detaillierte Schritte:

1. Erstellen Sie ein individuelles Verwundbarkeits Objekt
   1. Navigieren zu Objekten Registerkarte -> benutzerdefinierte Objekte -> Sicherheitsanfälligkeit
   2. Klicken Sie auf Hinzufügen und geben Sie die entsprechenden Details an, wie im folgenden Screenshot gezeigt

3. Klicken Sie auf Signaturen -> Hinzufügen [Standardsignaturoption]
4. Die Muster "ID =", "& fp_vs =" und "& os_vs =" werden mit dem Kontext "http-req-params" verwendet, um die eigene Verwundbarkeits Unterschrift zu erstellen. Dies geschieht, um die 7-Byte-Anker Beschränkung zu überwinden.
5. Auch pfad in einem HTTP Request Header upto und einschließlich der '?' ist Teil des "http-req-uri-path" Kontext und Abfragezeichenfolge sowie Parameter in der HTTP Anforderung ist Teil der "http-req-params" Kontext.

6. Klicken Sie OK hier, um das neue Vulnerability-Objekt zu erstellen.
7. ÜberPrüfen Sie das erstellte Verwundbarkeits Objekt ist Teil Ihres SicherheitsProfils für Schwachstellen Schutz

2. Erstellen eines benutzerdefinierten URL Kategorieobjekts
   1. Navigieren zu Objekten -> benutzerdefinierte Objekte -> URLKategorie und fügen Sie den URL VerdächtigenTeil der Liste hinzu. IOC

2. Fügen Sie das Kategorieobjekt auch URL dem entsprechenden URL Filtersicherheitsprofil hinzu

3. Hinzufügen des Sicherheitsprofils für die Sicherheitsanfälligkeit und des URL Filterprofils zum entsprechenden Policy
4. Der Test Policy funktioniert pro Erwartung, indem Threat-Protokolle betrachtet werden.
5. Ändern Sie die Aktion für das Verwundbarkeits Objekt von Alert auf Drop/Reset nach der Überprüfung. Ändern Sie auch den Schweregrad des benutzerdefinierten Objekts, das nach Bedarf erstellt wurde.

Weitere nützliche Informationen:

•  A Ausschnitt des dekompilierten Flash-Objekts wird unten gezeigt:

Empfehlungen

Bei der Bereitstellung von Richtlinien zum Schutz von Sicherheitsanfälligkeiten und auf Profilen basierenden Anti-Spyware-Profilen sollte besondere Vorsicht walten, um negative Auswirkungen auf den geschützten Datenverkehr zu vermeiden. Während diese Signaturen mit großer Sorgfalt entwickelt werden und umfangreichen Regressionstests unterzogen werden, sind einige der Signaturen generischer Natur und können für Datenverkehr ausgelöst werden, der von falsch konfigurierten Diensten oder fehlerhaften Anwendungen stammt.

Dies gilt auch für alle Inhalte von Drittanbietern, die zum Erstellen von Benutzerdefinierten Bedrohungssignaturen verwendet werden, da sie oft nicht die gleiche Anzahl umfangreicher Tests durchlaufen haben wie die Palo Alto Networks-Bedrohungssignaturen entwickelt haben. Aus diesem Grund ist es in der Regel keine gute Idee, einfach die Blockierung für custom Threat Signatures zu aktivieren, ohne diese Signaturen und die möglichen Auswirkungen, die sie auf das Netzwerk haben können, zu prüfen.

Wenn die Zeit und die Umstände dies zulassen, wird empfohlen, eine Analysephase in die Bereitstellungszeitachse für den Schutz der Sicherheitsanfälligkeit aufzunehmen. Insbesondere in Umgebungen, in denen die Dienstverfügbarkeit von entscheidender Bedeutung ist, ist eine solche Phase erforderlich, um die ordnungsgemäße Funktionalität der Infrastruktur sicherzustellen, sobald Sicherheitslückenschutz- und Anti-Spyware-Richtlinien vollständig funktionsfähig sind.

Im Allgemeinen wird empfohlen, mit einem Profil zu beginnen, das die Standardaktion für jede Signatur verwendet. Speziell für KundenSpezifische Bedrohungs Unterschriften ist es ratsam, mit einer Standardaktion von "Alert" für jede erstellte Signatur zu beginnen. Alternativ ist es möglich, zunächst ein individuelles Sicherheitsprofil im Alarm-oder Überwachungsmodus zu implementieren, um ein klares Bild davon zu erhalten, wie sich der Sperrmodus auf die Infrastruktur auswirken kann. Bei einem solchen Profil wird die Aktion für jede Signatur auf "Warnung" festgelegt.

Mit den folgenden Schritten können Sie die richtigen Profileinstellungen für einen bestimmten Standort oder Host ermitteln.

• Konfigurieren Sie ein "Alarm-only"-Schutzprofil.
• Konfigurieren Sie die erforderlichen firewall Regeln für Hosts und Segmente, die Sie schützen möchten.
• Tragen Sie das Schutzprofil "Alarmstufe" auf jede Regel auf.
• ÜberWachen Sie die Bedrohungs Protokolle für eine repräsentative Zeit (z.b. 1 Woche, 1 Monat).
• Alle möglichen falschen positiven UnterSuchen.
• Nutzen Sie die gesammelten Analyse Informationen, um ein Block fähiges Schutzprofil zu erstellen und zu verfeinern.