Création de signatures de menace personnalisées à partir de Snort signatures

Ce document donne un aperçu général de la création de signatures personnalisées de menaces à partir de SNORT signatures sur les réseaux de Palo Alto à l’aide de trois cas Firewall d’utilisation.

1. Alerte TA17-318B HIDDEN COBRA – Cheval de Troie nord-coréen: Volgmer

Référence:
https://www.us-cert.gov/ncas/alerts/TA17-318B

IOC Liste:
https://www.us-cert.gov/sites/default/files/publications/ TA-17 -318B-IOC.csv

Snort règle:

alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)

Remarques générales:

• Utilisez les IP adresses fournies dans le cadre de IOC la Liste pour détecter si une infection possible existe déjà en recherchant les Firewall journaux
• Les IP adresses fournies peuvent faire partie d’un groupe EDL ou d’une adresse et être ajoutées à un Policy trafic pour bloquer le trafic vers et depuis la liste suspecte.
• Utilisez la Snort signature fournie et convertissez-la en une signature de spyware personnalisée. Cette signature fera partie du profil Spyware ajouté au approprié Policy .

Étapes détaillées:

1. Créer un objet espion personnalisé
   1. Accédez à l’onglet Objets -> objets personnalisés -> Spyware
   2. Cliquez sur Ajouter et fournir les détails appropriés comme indiqué ci-dessous capture d’écran

3. Cliquez sur Signatures -> ajouter [option signature standard]
4. Créez une signature personnalisée comme indiqué ci-dessous:

5. Le modèle « User-Agent: Mozillar/ » de snort la signature est utilisé avec le contexte « http-req-en-têtes » pour créer la signature personnalisée.
6. Cliquez OK pour créer l’objet Spyware.
7. Vérifiez que l'Objet Spyware créé fait partie de votre profil anti-spyware

2. Créer un EDL objet

   1. Accédez à l’onglet Objets - > listes dynamiques externes
   2. Cliquez sur Ajouter
   3. Ajoutez l’adresse IP suspecte fournie à partir de IOC la liste à une adresse précédemment créée ou une nouvelle comme indiqué EDL EDL ci-dessous.

3. Ajoutez les EDL profils anti-spyware aux objets Policy appropriés.
4. Test Policy fonctionne par attente en regardant les journaux de menaces.
5. Remplacez l'action de l'objet Spyware d'alert par Drop/Reset après vérification. Modifiez également la gravité de l'objet personnalisé créé au besoin.

2. Alerter TA17-293A Advanced Persistent Threat Activity

References:
https://www.us-cert.gov/ncas/alerts/TA17-293A
https://www.us-cert.gov/ncas/current-activity/2017/01/16/ SMB- Security-Best-Practices

IOC List:
https://www.us-cert.gov/sites/default/files/publications/TA17-293A_TLP_WHITE_CSV.csv

Snort rules:alert
tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: » HTTP URI contient '/aspnet_client/system_web/4_0_30319/update/' (Beacon) »; sid:420000000; rev:1; flow:established,to_server; content:"/aspnet_client/system_web/4_0_30319/update/ »; http_uri; fast_pattern:only; classtype:bad-unknown; métadonnées: service http;) alerte

tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: » HTTP URI contient '/img/bson021.dat' »; sid:420000001; rev:1; flow:established,to_server; contenu:"/img/bson021.dat »; http_uri; fast_pattern:only; classtype:bad-unknown; métadonnées:service http;) alerte

tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg : » HTTP URI contient '/A56WY' (Callback) »; sid:42000002; rev:1; flow:established,to_server; content:"/A56WY »; http_uri; fast_pattern; classtype:bad-unknown; métadonnées:service http;)

alert tcp any -> any 445 (msg: » SMB Client Request contains 'AME_ICON. PNG ' (récolte SMB des titres de compétences) »; sid:42000003; rev:1; flow:established,to_server; content:"| FF | SMB | 75 00 00 00 00| »; décalage:4; profondeur:9; contenu:"|08 00 01 00| »; distance:3; contenu:"|00 5c 5c| »; distance:2; dans:3; contenu:"|5c| AME_ICON. PNG « ; distance:7; fast_pattern; classtype: bad-unknown; métadonnées: service netbios-ssn;)

alerte tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: » HTTP URI OPTIONS contient '/ame_icon.png' SMB (récolte des informations d’identification) »; sid:42000004; rev:1; flux: établi,to_server; contenu:"/ame_icon.png »; http_uri; fast_pattern:only; contenu: » OPTIONS « ; nocase; http_method; classtype:bad-unknown; métadonnées:service http;)

alerte tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: » HTTP Client Header contains 'User-Agent|3a 20| Go-http-client/1.1' »; sid:42000005; rev:1; flux: établi, to_server; contenu:"User-Agent|3a 20| Go-http-client/1.1|0d 0a| Accept-Encoding|3a 20|gzip »; http_header; fast_pattern: seulement; pcre:"/\. (?:aspx|txt)\? [a-z0-9] {3}=[a-z0-9]{32}&/ U « ; classtype:bad-unknown; métadonnées:service http;)

alerte tcp $EXTERNAL_NET [139.445] -> $HOME_NET any (msg: » SMB Server Traffic contains NTLM- Authenticated SMBv1 Session »; sid:42000006; rev:1; flow:established,to_client; content:"|ff 53 4d 42 72 00 00 00 80| »; fast_pattern:only; content:"|05 00| »; distance:23; classtype:bad-unknown; metadata:service netbios-ssn;)

Notes générales:

• Utilisez les IP adresses fournies dans le cadre de IOC la Liste pour détecter si une infection possible existe déjà en   recherchant les Firewall journaux
• Les IP adresses, domaines et URL 's fournis peuvent faire partie d’un et EDL ajouté à un pour bloquer le trafic vers et depuis la liste Policy suspecte.
• Bloquer SMB le trafic d’applications de la confiance aux zones de non-confiance est une pratique exemplaire recommandée. Cela policy peut être utilisé comme solution de contournement pour les limitations dans la conversion des signatures liées netbios-ssn en signatures de menaces snort personnalisées.
• Utilisez les autres signatures fournies Snort et convertissez-les en signatures de logiciels espions personnalisés. Ces signatures feront partie du profil anti-spyware ajouté à un approprié Policy .

Étapes détaillées:

1. Créer un objet espion personnalisé
   1. Accédez à l’onglet Objets -> objets personnalisés -> Spyware
   2. Cliquez sur Ajouter et fournir les détails appropriés comme indiqué ci-dessous capture d’écran

3. Cliquez sur Signatures -> ajouter [option signature standard]
4. Créez une signature personnalisée comme indiqué ci-dessous:

5. Sig-1: Le modèle « /aspnet_client/system_web/4_0_30319/update/ » dans la signature est snort utilisé avec le contexte « http-req-uri-path » pour créer la signature spyware personnalisée comme indiqué ci-dessous:

6. Sig-2: Le modèle « /img/bson021.dat » dans la snort signature est utilisé avec le contexte « http-req-uri-path » pour créer la signature spyware personnalisée comme indiqué ci-dessous:

7. Sig-3: Le modèle « /A56WY » dans snort la signature est utilisé avec le contexte « http-req-uri-path » pour créer la signature spyware personnalisé. Puisqu’il n’y a pas d’ancre d’au-dessus de 7 byte nous GET POST incluons et demandons des méthodes avec l’espace de suivi dans le modèle comme montré ci-dessous :

8. Sig-4: Le modèle « /ame_icon.png » dans la snort signature est utilisé avec le contexte « http-req-uri-path » et « http-method: " qualifier pour créer la signature OPTIONS spyware personnalisé comme indiqué ci-dessous:

9. SIG-5 plongée profonde:
   1. Snort Signature:

2. En réalité, HTTP Demande:

3. Custom Spyware Signature explication:

• Le modèle "user-agent | 3A 20 | Go-http-client/1.1 "est utilisé dans le contexte" http-req-headers ". Ici, les hex 3A et 20 correspondent aux caractères du côlon et de l'espace.
• Le modèle "Accept-Encoding | 3A 20 | gzip" est utilisé dans le contexte "http-req-headers". Ici, les hex 3A et 20 correspondent aux caractères du côlon et de l'espace.
• Le modèle "DefaultForm\. ((aspx) | (txt)) \? "est utilisé comme partie du contexte" http-req-URI-path ". Ceci est utilisé car il n’y a pas d’ancre d’au-d’œète 7 fournie dans la section pcre de snort la signature.
• La signature spyware personnalisée qui en résulte est l’une AND de toutes les signatures ci-dessus comme on le voit ci-dessous:

10. Cliquez OK pour créer le nouvel objet spyware
    1. Vérifiez que l'Objet Spyware créé fait partie de votre profil de sécurité anti-spyware

2. Créez une policy application pour bloquer la zone interne à externe ou vice SMB versa. Il s’agit d’une pratique exemplaire recommandée et répond aux signatures liées au « netbios-ssn snort »

3. Créer un objet EDL pour les adresses IP suspectes dans IOC Liste
   1. Accédez à l’onglet Objets - > listes dynamiques externes
   2. Cliquez sur Ajouter
   3. Ajoutez les adresses IP suspectes de la IOC liste à une adresse précédemment créée ou une nouvelle comme indiqué EDL EDL ci-dessous :

4. Créer un EDL objet pour les suspects dans la URL IOC liste
   1. Accédez à l’onglet Objets - > listes dynamiques externes
   2. Cliquez sur Ajouter
   3. Ajoutez les suspects URL de la liste à un précédemment créé ou un nouveau comme indiqué IOC EDL EDL ci-dessous.
   4. Ceci peut maintenant être inclus dans les mesures appropriées sous le profil de URL sécurité de filtrage :

5. Créer un EDL objet pour les domaines suspects dans IOC liste
   1. Accédez à l’onglet Objets - > listes dynamiques externes
   2. Cliquez sur Ajouter
   3. Ajoutez les domaines suspects de la liste IOC à un précédemment créé ou un nouveau comme indiqué EDL EDL ci-dessous.
   4. Pour la liste des domaines inclus dans la liste dynamique externe, le crée un ensemble de signatures personnalisées de logiciels espions de type et la gravité firewall moyenne, de sorte que vous pouvez utiliser l’action gouffre pour une liste personnalisée de domaines:

 

6. Ajoutez les EDL profils 's et Anti-Spyware aux objets Policy appropriés.
7. Test Policy fonctionne par attente en regardant les journaux de menaces.
8. Remplacez l'action de l'objet Spyware d'alert par Drop/Reset après vérification. Modifiez également la gravité de l’objet personnalisé créé au besoin

Autres informations utiles:

• Exemple GET Demande-1 :

• Exemple GET Demande-2:

3. CVE-2018 -4878

Références:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
https://www.flashpoint-intel.com/blog/targeted-attacks-south-korean-entities/
http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html
https://threatpost.com/adobe-flash-player-zero-day-spotted-in-the-wild/129742/

Snort règle: alert
tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CVE-2018 -4878 check-in alert »; flux: établi,to_server; http_uri; contenu: »?id= »; http_uri; contenu:"&fp_vs= »; http_uri; contenu:"&os_vs= »; http_uri; référence: source, Vitali Kremez-Flashpoint; classtype:Trojan-activity; rev:1;)

IOC:
hxxp://www[.] 1588-2040[.] co[.] kr/conf/product_old.jpg
hxxp://www[.] 1588-2040[.] co[.] kr/design/m/images/image/image.php
hxxp://www[.] corée-taxe[.] info/main/local.php
hxxp://www[.] dylboiler[.] co[.] kr/admincenter/files/board/4/manager.php Notes

générales:

• Utilisez les URL 's fournis dans le cadre de la IOC détecter si une infection possible existe déjà en fouillant les Firewall journaux.
• Les URL 's fournis peuvent faire partie d’un objet EDL ou d’un objet URL de catégorie personnalisée qui est ajouté à un profil de Policy URL filtrage.
• Utilisez la Snort signature fournie et convertissez-la en une signature de vulnérabilité personnalisée. Cette signature fera partie du profil vulnérabilité ajouté à un approprié Policy .

Étapes détaillées:

1. Créer un objet de vulnérabilité personnalisé
   1. Accédez à l’onglet Objets -> objets personnalisés -> vulnérabilité
   2. Cliquez sur Ajouter et fournir les détails appropriés comme indiqué ci-dessous capture d’écran

3. Cliquez sur Signatures -> ajouter [option signature standard]
4. Les modèles "ID =", "& fp_vs =" et "& os_vs =" sont utilisés avec le contexte "http-req-params" pour créer la signature de vulnérabilité personnalisée. Ceci est fait pour surmonter la restriction d'ancre de 7 octets.
5. Aussi chemin dans un HTTP en-tête de demande jusqu’à et y compris le « ? » fait partie de la « http-req-uri-path » contexte et chaîne de requête ainsi que les paramètres dans la HTTP demande fait partie du « http-req-params » contexte.

6. Cliquez OK pour créer le nouvel objet vulnérabilité.
7. Vérifiez que l'Objet de vulnérabilité créé fait partie de votre profil de sécurité de protection de vulnérabilité

2. Créer un objet URL de catégorie personnalisé
   1. Naviguez vers les objets -> objets personnalisés -> URL catégorie et ajoutez la URL partie suspecte de la IOC liste

2. Ajouter également URL l’objet de catégorie au profil de sécurité de URL filtrage approprié

3. Ajouter le profil de sécurité de vulnérabilité et le URL profil de filtrage au Policy
4. Test Policy fonctionne par attente en regardant les journaux de menaces.
5. Remplacez l'action de l'objet Vulnerability par Alert par Drop/Reset après vérification. Modifiez également la gravité de l’objet personnalisé créé au besoin

Autres informations utiles:

•  A extrait de l’objet Flash en décomposition est montré ci-dessous:

Recommandations

Lors du déploiement de stratégies basées sur la protection contre les vulnérabilités et les logiciels espions, il convient de prendre un soin particulier pour éviter un impact négatif sur le trafic protégé. Bien que ces signatures soient développées avec beaucoup de soin et soient soumises à des tests de régression approfondis, certaines signatures sont de nature générique et peuvent déclencher sur le trafic provenant de services mal configurés ou d’applications défectueuses.

Cela est également vrai pour tout contenu tiers utilisé pour construire des signatures de menaces personnalisées, car ils n’ont souvent pas été à travers le même nombre de tests approfondis que les réseaux de Palo Alto développé signatures de menace. Pour cette raison, il n’est généralement pas une bonne idée d’activer simplement le blocage des signatures de menaces personnalisées sans examen préalable de ces signatures et de l’impact potentiel qu’elles peuvent avoir sur le réseau.

Si le temps et les circonstances le permettent, il est conseillé d’inclure une phase d’analyse dans le calendrier de déploiement de la protection des vulnérabilités. En particulier pour les environnements où la disponibilité du service est essentielle, une telle phase sera nécessaire pour assurer une fonctionnalité appropriée de l’infrastructure une fois que la protection contre les vulnérabilités et les politiques anti-spyware seront pleinement opérationnelles.

En général, il est conseillé de commencer par un profil qui utilise l’action par défaut pour chaque signature. En particulier pour les signatures de menaces personnalisées, il est conseillé de commencer par une action par défaut "Alert" pour chaque signature créée. Alternativement, il est possible de déployer un profil de protection de vulnérabilité personnalisé en mode alerte uniquement ou surveillance en premier, pour obtenir une image claire sur la façon dont le mode de blocage peut affecter l'infrastructure. Un tel profil aura l’action définie à « alerte » pour chaque signature.

Les étapes suivantes vous aideront à déterminer les paramètres de profil corrects pour un emplacement ou un hôte donné.

• Configurer un profil de protection «alerte uniquement».
• Configurez les règles firewall nécessaires pour les hôtes et les segments que vous souhaitez protéger.
• Appliquez le profil de protection «alerte uniquement» à chaque règle.
• Surveiller les registres des menaces pendant une période représentative (p. ex. 1 semaine, 1 mois).
• Enquêter sur les faux positifs potentiels.
• Utilisez les informations d'analyse collectées pour générer et affiner un profil de protection activé pour les blocs.