Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK icon VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

13 заметок с тегом

Security

Формат OpenIOC

OpenIOC — это формат для описания индикаторов компрометации (IOC), созданный Mandiant (теперь FireEye) для управления их инструментами безопасности для конечных точек.

OpenIOC использует XML, что делает эти документы почти нечитабельными для неподготовленного взгляда.

Далее приведен пример документа IOC, который ищет бэкдор Sourface, нацеленный на Windows-системы:

Это лишь отрывок файла, полная версия.

В первой части указаны метаданные с уникальными идентификаторами, автором и датой. Любопытная информация находится в разделе . Раздел начинается с элемента Indicator, который объявляет оператор OR, что означает: любой элемент IndicatorItem, который последует за ним, будет указывать на наличие соответствия (для оператора AND потребуется, чтобы все элементы IndicatorItem имели соответствия).

Затем в разделе Indicator определяются три элемента IndicatorItem.
—‰ PortItem проверяет, соединен ли удаленный IP-адрес 70.85.221.10 с системой.
—‰ FileItem проверяет присутствие файла с контрольной суммой MD5 8c4fa713… на диске, что потребует вычисления контрольных сумм MD5 всех файлов на диске, чтобы сравнить их с контрольной суммой вредоносного файла.
—‰ ProcessItem, исследуя память, ищет библиотеку conhost.dll, загруженную в запущенном процессе.

OpenIOC — формат не очень красивый, но мощный. Mandiant определили сотни условий для поиска указателей в различных частях операционной системы. Несмотря на то что они нацелены на Windows-системы (инструменты, предоставляемые Mandiant, такие как Redline и MIR, работают только на Windows), OpenIOC можно использовать для того, чтобы делиться IOC с другими типами систем.

Yara постепенно становится стандартом в индустрии, вероятно, из-за простоты написания правил Yara по сравнению со сложностью формата OpenIOC c XML, но OpenIOC все еще играет важную роль в распространении указателей среди участников сообществ из-за своей способности делиться не только сигнатурами файлов [1].

см. IOC Editor

Источники литературы:

  1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
 18   20 дн   Infosec   Security   SIEM

Пишем YARA правила

Yara — это и инструмент, и формат представления индикаторов компрометации (IOC), предназначенный для идентификации и классификации вредоносных программ. Он был создан Виктором Альварезом (Victor M. Alvarez) из VirusTotal для организации и распространения информации среди аналитиков.

см. Блокнот на Python с примерами Yara-правил.

Далее показан пример файла Yara для Linux-руткита Umbreon:

Документ разделен на три части.
—‰ Раздел «мета» содержит информацию об IOC, такую как имя автора, время создания или ссылка на подробную документацию.
— Раздел «строк» содержит три строки — одну в шестнадцатеричном формате и две в формате ASCII, которые идентифицируют руткит.
— В разделе «условий» к исследуемым файлам применяется фильтр, чтобы найти соответствующие особым критериям. В этом примере сначала производится поиск по заголовку файла, который соответствует формату ELF (uint32(0) == 0x464c457f), а затем поиск общедоступного выходного файла (uint8(16) == 0x0003) типа ELF. Если для обоих условий найдены соответствия, Yara станет искать строки, указанные ранее. Если все они будут присутствовать в файле, то это будет расцениваться как обнаружение руткита.

Консольный инструмент Yara способен сканировать целые системы на наличие файлов, которые соответствуют сигнатурам вредоносных файлов, применив команду Yara -r rulefile.yar /path/to/scan. Проект правил Yara собирает IOC, выявленные аналитиками безопасности во время расследований, и делает их широкодоступными. Yara сосредоточен на файловых IOC [1].

см. Как писать правила

Python-интерфейс к Yara

Про связь с ClamAV см. Hunting with YARA rules and ClamAV и тут.

Про написание сигнатур тут и тут.

Источники литературы:

  1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
 20   20 дн   Infosec   Security   SIEM

Правила Snort

Snort — самая старая IDS (1998, Мартин Рэш). Формат правил также поддерживает Suricata.

Правило Snort описывает вредоносную активность на сетевом уровне.

Далее приведено правило для выявления активности бэкдора Dagger:

Правило состоит из четырех частей:
— первая строка описывает действие (alert), согласно которому сгенерируется уведомление в случае нахождения соответствий правилу. Другие действия могут журналировать активность или полностью аннулировать соединение;
— вторая строка описывает сетевой протокол (tcp) и параметр соединения. Для того чтобы соответствовать этому правилу, соединение должно исходить из домашней сети во внешнюю (в большинстве случаев в Интернет), а также иметь порт-источник 2589 и порт назначения.
— дополнительные возможности для правила: сообщение msg, которое можно добавить в уведомление alert, журнал, запускаемый правилом, а также информацию, которая поможет организовать и классифицировать правила (metadata, classtype, sid и rev);
— параметры, используемые для нахождения соединений, активность которых соответствует поведению бэкдора Dagger: flow описывает то, к какой части цепи соединения применяется правило (здесь оно используется, начиная с ответов сервера до клиента), content содержит бинарные и ASCII-строки, которые будут применяться для выявления вредоносных пакетов с помощью нахождения соответствий в полезной нагрузке пакета, depth устанавливает ограничение на то, насколько глубоко правило должно погружаться ради поиска соответствий (здесь поиск ограничен первыми 16 байтами в каждой полезной нагрузке).

Источники литературы:

  1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
 17   20 дн   Infosec   Security   SIEM
Ранее Ctrl + ↓