Creación de firmas de amenazas personalizadas a partir de Snort firmas

Este documento proporciona una visión general de la creación de firmas de amenazas personalizadas de SNORT las firmas en las redes de Palo Alto usando tres casos de Firewall uso.

1. Alerta TA17-318B HIDDEN COBRA – Troya norcoreana: Volgmer

Referencia: Lista
de https://www.us-cert.gov/ncas/alerts/TA17-318B:

IOC
https://www.us-cert.gov/sites/default/files/publications/ TA-17 -318B-IOC.csv

Snort regla:

alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)

Notas generales:

• Utilice las IP direcciones proporcionadas como parte de la IOC Lista para detectar si ya existe una posible infección mediante la búsqueda de los Firewall registros
• Las IP direcciones proporcionadas pueden formar parte de un EDL grupo o Dirección y agregarse a a Policy para bloquear el tráfico hacia y desde la lista sospechosa.
• Utilice la firma proporcionada Snort y conviértala en una firma de spyware personalizada. Esta firma pasará a formar parte del perfil de Spyware añadido al archivo Policy .

Pasos detallados:

1. Crear un objeto spyware personalizado
   1. Vaya a la pestaña Objetos -> Objetos personalizados -> Spyware
   2. Haga clic en Agregar y proporcione los detalles apropiados como se muestra en la siguiente captura de pantalla

3. Haga clic en Firmas -> Agregar [opción Firma estándar]
4. Cree una firma personalizada como se muestra a continuación:

5. El patrón "User-Agent: Mozillar/" de la snort firma se utiliza con el contexto "http-req-headers" para crear la firma personalizada.
6. Haga clic OK para crear el objeto Spyware.
7. Compruebe que el objeto spyware creado es parte de su perfil anti-spyware

2. Crear un EDL objeto

   1. Vaya a la pestaña Objetos -> Listas dinámicas externas
   2. haga clic en Agregar
   3. Agregue la dirección sospechosa IP proporcionada de la lista a un creado previamente o a un nuevo como se muestra a IOC EDL EDL continuación.

3. Agregue los EDL perfiles y Anti-Spyware a los Policy objetos apropiados.
4. La prueba Policy funciona según la expectativa mirando los registros de amenazas.
5. Cambie la acción del objeto spyware de Alert a Drop/Reset después de la verificación. También cambie la severidad del objeto personalizado creado según sea necesario.

2. Alerta TA17-293A Referencias avanzadas de actividad de amenazas persistentes:


https://www.us-cert.gov/ncas/alerts/TA17-293A
lista de https://www.us-cert.gov/ncas/current-activity/2017/01/16/ SMB- seguridad-mejores prácticas:

Snort reglasIOC
de https://www.us-cert.gov/sites/default/files/publications/TA17-293A_TLP_WHITE_CSV.csv:

alerta
tcp $HOME_NET cualquier -> $EXTERNAL_NET $HTTP_PORTS (msg:" contiene HTTP URI '/aspnet_client/system_web/4_0_30319/update/' (Beacon)"; sid:42000000; rev:1; flow:established,to_server; content:"/aspnet_client/system_web/4_0_30319/update/"; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)

alerta tcp $HOME_NET cualquier -> $EXTERNAL_NET $HTTP_PORTS (msg:" contiene HTTP URI '/img/bson021.dat'"; sid:42000001; rev:1; flow:established,to_server; content:"/img/bson021.dat"; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)

alerta tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg :" HTTP URI contiene '/A56WY' (Devolución de llamada)"; sid:42000002; rev:1; flow:established,to_server; content:"/A56WY"; http_uri; fast_pattern; classtype:bad-unknown; metadata:service http;)

alert tcp any -> cualquier solicitud de cliente 445 (msg:" SMB contiene 'AME_ICON' PNG (recolección SMB de credenciales)"; sid:42000003; rev:1; flow:established,to_server; content:"| FF | SMB | 75 00 00 00 00|"; offset:4; profundidad:9; contenido:"|08 00 01 00|"; distancia:3; contenido:"|00 5c 5c|"; distancia:2; dentro de:3; contenido:"|5c| PNGAME_ICON."; distancia:7; fast_pattern; classtype:mal desconocido; metadata:service netbios-ssn;)

alerta tcp $HOME_NET cualquier -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP URI OPTIONS contiene '/ame_icon.png' ( SMB recolección de credenciales)"; sid:42000004; rev:1; flow:established,to_server; content:"/ame_icon.png"; http_uri; fast_pattern:only; content:" OPTIONS "; nocase; http_method; classtype:bad-unknown; metadata:service http;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:" HTTP Client Header contiene 'User-Agent|3a 20| Go-http-client/1.1'"; sid:42000005; rev:1; flujo: establecido, to_server; contenido:"User-Agent|3a 20| Go-http-client/1.1|0d 0a| Accept-Encoding|3a 20|gzip"; http_header; fast_pattern:solamente; pcre:"/\. (?:aspx|txt)\? [a-z0-9] {3}=[a-z0-9]{32}&/ U "; classtype:bad-unknown; metadata:service http;)

alert tcp $EXTERNAL_NET [139.445] -> $HOME_NET any (msg:" SMB Server Traffic contains NTLM- Authenticated SMBv1 Session"; sid:420000006; rev:1; flow:established,to_client; content:"|ff 53 4d 42 72 00 00 00 00 80|"; fast_pattern:only; content:"|05 00|"; distance:23; classtype:bad-unknown; metadata:service netbios-ssn;)

Notas generales:

• Utilice las IP direcciones proporcionadas como parte de la IOC Lista para detectar si ya existe una posible infección mediante la búsqueda de los   Firewall registros
• Las IP direcciones, dominios y URL 's proporcionados pueden formar parte de una EDL y agregarse a a para bloquear el Policy tráfico hacia y desde la lista sospechosa.
• Bloquear SMB el tráfico de aplicaciones de la confianza a las zonas que no son de confianza es una práctica recomendada. Esto policy se puede utilizar como solución alternativa para las limitaciones en la conversión de firmas relacionadas netbios-ssn snort a firmas de amenazas personalizadas.
• Utilice las otras Snort firmas proporcionadas y conviértalas en firmas de spyware personalizadas. Estas firmas pasarán a formar parte del perfil Anti-Spyware añadido a un archivo Policy .

Pasos detallados:

1. Crear un objeto spyware personalizado
   1. Vaya a la pestaña Objetos -> Objetos personalizados -> Spyware
   2. Haga clic en Agregar y proporcione los detalles apropiados como se muestra en la siguiente captura de pantalla

3. Haga clic en Firmas -> Agregar [opción Firma estándar]
4. Cree una firma personalizada como se muestra a continuación:

5. Sig-1: El patrón "/aspnet_client/system_web/4_0_30319/update/" en la snort firma se utiliza con el contexto "http-req-uri-path" para crear la firma de spyware personalizada como se muestra a continuación:

6. Sig-2: El patrón "/img/bson021.dat" en la snort firma se utiliza con el contexto "http-req-uri-path" para crear la firma de spyware personalizada como se muestra a continuación:

7. Sig-3: El patrón "/A56WY" en la snort firma se utiliza con el contexto "http-req-uri-path" para crear la firma de spyware personalizada. Dado que no hay ningún anclaje de 7 byte que incluimos GET y POST solicitamos métodos junto con el espacio final en el patrón como se muestra a continuación:

8. Sig-4: El patrón "/ame_icon.png" en la snort firma se utiliza con el contexto "http-req-uri-path" y el calificador "http-method: " para crear la firma de OPTIONS spyware personalizado como se muestra a continuación:

9. Inmersión profunda SIG-5:
   1. Snort Firma:

2. Real HTTP Solicitud:

3. Explicación de la firma del spyware de encargo:

• El patrón "usuario-agente | 3A 20 | Go-http-Client/1.1 "se utiliza parte del contexto" http-req-headers ". Aquí el maleficio 3A y 20 corresponde a los caracteres del colon y del espacio.
• El patrón "Aceptar-codificación | 3A 20 | gzip" se utiliza parte del contexto "http-req-headers". Aquí el maleficio 3A y 20 corresponde a los caracteres del colon y del espacio.
• El patrón "DefaultForm\. ((aspx) | (txt)) \? "se utiliza como parte del contexto" http-req-URI-path ". Esto se utiliza ya que no hay anclaje de 7 byte proporcionado en la sección pcre de la snort firma.
• La firma de spyware personalizado resultante final es una AND de todas las firmas anteriores como se ve a continuación:

10. Haga clic OK para crear el nuevo objeto Spyware
    1. Compruebe que el objeto spyware creado es parte de su perfil de seguridad anti-spyware

2. Cree una policy aplicación para bloquear desde la zona interna a la externa o SMB viceversa. Esta es una práctica recomendada y aborda las firmas relacionadas con "netbios-ssn" snort

3. Crear un EDL objeto para IP direcciones sospechosas en IOC List
   1. Vaya a la pestaña Objetos -> Listas dinámicas externas
   2. haga clic en Agregar
   3. Agregue las IP direcciones sospechosas de la IOC lista a un creado previamente o a un nuevo como se muestra a EDL EDL continuación:

4. Crear un EDL objeto para URL sospechosos 's en la IOC lista
   1. Vaya a la pestaña Objetos -> Listas dinámicas externas
   2. haga clic en Agregar
   3. Agregue los URL sospechosos de la lista a un creado previamente o a un nuevo como se muestra a IOC EDL EDL continuación.
   4. Esto ahora se puede incluir con la acción apropiada bajo el URL perfil de seguridad de filtrado:

5. Crear un EDL objeto para dominios sospechosos en IOC List
   1. Vaya a la pestaña Objetos -> Listas dinámicas externas
   2. haga clic en Agregar
   3. Agregue los dominios sospechosos de la IOC lista a un creado previamente o a un nuevo como se muestra a EDL EDL continuación.
   4. Para la lista de dominios incluidos en la lista dinámica externa, firewall crea un conjunto de firmas personalizadas de tipo spyware y gravedad media, para que pueda usar la acción de sumidero para una lista personalizada de dominios:

 

6. Añade los EDL perfiles 's y Anti-Spyware a Policy los objetos apropiados.
7. La prueba Policy funciona según la expectativa mirando los registros de amenazas.
8. Cambie la acción del objeto spyware de Alert a Drop/Reset después de la verificación. Cambie también la gravedad del objeto personalizado creado según sea necesario

Otra información útil:

• Ejemplo GET Request-1:

• Ejemplo GET Request-2:

3. CVE-2018 -4878

Referencias:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
https://www.flashpoint-intel.com/blog/targeted-attacks-south-korean-entities/
http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html
regla dehttps://threatpost.com/adobe-flash-player-zero-day-spotted-in-the-wild/129742/:

Snort
alerta tcp $HOME_NET cualquier -> $EXTERNAL_NET $HTTP_PORTS (msg:"Posible CVE-2018 -4878 alerta de check-in"; flow:established,to_server; http_uri; content:"?id="; http_uri; content:"&fp_vs="; http_uri; content:"&os_vs="; http_uri; referencia: source, Vitali Kremez-Flashpoint; classtype:Trojan-activity; rev:1;)

IOC:
hxxp://www[.] 1588-2040[.] co[.] kr/conf/product_old.jpg
hxxp://www[.] 1588-2040[.] co[.] kr/design/m/images/image/image.php
hxxp://www[.] korea-tax[.] info/principal/local.php
hxxp://www[.] dylboiler[.] co[.] kr/admincenter/files/board/4/manager.php Notas

generales:

• Utilice los URL 's proporcionados como parte del IOC para detectar si ya existe una posible infección mediante la búsqueda de los Firewall registros.
• Los URL 's proporcionados se pueden formar parte de un objeto de EDL categoría personalizado o personalizado que se agrega a un perfil de URL Policy URL filtrado.
• Utilice la firma proporcionada Snort y conviértala en una firma de vulnerabilidad personalizada. Esta firma pasará a formar parte del perfil de vulnerabilidad agregado a un archivo Policy .

Pasos detallados:

1. Crear un objeto de vulnerabilidad personalizado
   1. Vaya a la pestaña Objetos -> Objetos personalizados -vulnerabilidad >
   2. Haga clic en Agregar y proporcione los detalles apropiados como se muestra en la siguiente captura de pantalla

3. Haga clic en Firmas -> Agregar [opción Firma estándar]
4. Los patrones "ID =", "& fp_vs =" y "& os_vs =" se utilizan con el contexto "http-req-params" para crear la firma de vulnerabilidad personalizada. Esto se hace para superar la restricción de anclaje de 7 bytes.
5. También la ruta de acceso en un HTTP encabezado de solicitud upto e incluir el '?' forma parte del contexto "http-req-uri-path" y la cadena de consulta, así como los parámetros de la HTTP solicitud forma parte del contexto "http-req-params".

6. Haga clic OK para crear el nuevo objeto de vulnerabilidad.
7. Comprobar que el objeto de vulnerabilidad creado forma parte del perfil de seguridad de protección de vulnerabilidad

2. Crear un objeto de categoría personalizado URL
   1. Desplácese hasta Objetos -> Objetos personalizados -> URL Categoría y agregue la parte sospechosa de URL la IOC lista

2. Agregue también el URL objeto de categoría al perfil de seguridad de filtrado adecuado URL

3. Agregue el perfil de seguridad de vulnerabilidad y el URL perfil de filtrado al Policy
4. La prueba Policy funciona según la expectativa mirando los registros de amenazas.
5. Cambie la acción del objeto de vulnerabilidad de Alert a Drop/Reset después de la verificación. Cambie también la gravedad del objeto personalizado creado según sea necesario

Otra información útil:

•  A el fragmento de código del objeto Flash descompilado se muestra a continuación:

Recomendaciones

Al implementar directivas basadas en la protección contra vulnerabilidades y el perfil antispyware, se debe tener especial cuidado para evitar un impacto negativo en el tráfico protegido. Mientras que estas firmas se desarrollan con mucho cuidado y se someten a extensas pruebas de regresión, algunas de las firmas son de naturaleza genérica y pueden desencadenarse en el tráfico procedente de servicios mal configurados o aplicaciones defectuosas.

Esto también es cierto para cualquier contenido de 3ª parte que se utiliza para construir firmas de amenazas personalizadas, ya que a menudo no han pasado por el mismo número de pruebas extensas que las redes palo alto desarrollaron firmas de amenazas. Debido a esto, generalmente no es una buena idea simplemente activar el bloqueo para firmas de amenazas personalizadas sin el examen previo de esas firmas y el impacto potencial que pueden tener en la red.

Si el tiempo y las circunstancias lo permiten, se recomienda incluir una fase de análisis en el cronograma de implementación de protección contra vulnerabilidades. En particular para entornos donde la disponibilidad del servicio es crítica, se requerirá una fase de este tipo para garantizar la funcionalidad adecuada de la infraestructura una vez que la protección contra vulnerabilidades y las políticas antispyware estén plenamente operativas.

En general, se recomienda comenzar con un perfil que utilice la acción predeterminada para cada firma. Especialmente para firmas de amenazas personalizadas, se recomienda comenzar con una acción predeterminada de "alerta" para cada firma creada. Alternativamente, es posible implementar un perfil de protección de vulnerabilidad personalizado en el modo de sólo alerta o de supervisión, para obtener una imagen clara de cómo el modo de bloqueo puede afectar a la infraestructura. Dicho perfil tendrá la acción establecida en 'alerta' para cada firma.

Los siguientes pasos le ayudarán a determinar la configuración de perfil correcta para una ubicación o host determinado.

• Configure un perfil de protección ' sólo de alerta '.
• Configure las reglas necesarias firewall para los hosts y segmentos que desea proteger.
• Aplique el perfil de protección ' sólo de alerta ' a cada regla.
• Supervise los registros de amenazas durante un período de tiempo representativo (por ejemplo, 1 semana, 1 mes).
• Investiguen posibles falsos positivos.
• Utilice la información de análisis recopilada para crear y afinar un perfil de protección habilitado para bloques.