reglas de Snort para detectar sesiones de Meterpreter

Navega tus respuestas
5

Estoy aprendiendo mientras configuro Snort, mi configuración consiste en un atacante (Linux), una víctima (teléfono inteligente Android) y un sistema de detección (IDS). Hasta ahora, he podido registrar todos los paquetes entre el atacante y la víctima, incluida la sesión del Meterpreter. ¿Qué debo hacer / investigar si deseo detectar la sesión del Meterpreter? Un poco de análisis de paquetes me dio un valor hexadecimal para el stager. La carga útil utilizada es android/meterpreter/reverse_tcp .

Quiero crear un archivo de reglas para detectar una sesión de Meterpreter entre esos dos dispositivos. ¿Cómo debo proceder? Sería realmente útil si alguien me señalara en la dirección correcta. Gracias!

    
pregunta Mahip 14.07.2016 - 07:03
fuente

2 respuestas

3

Sé que esta es una pregunta antigua, pero al buscar encontré esta publicación interesante . Hay los consejos que necesitas. Extraído de allí

Puede hacer como regla Snort para detectar sesiones de Meterpreter para conexiones externas. Quiero decir, revertir los depósitos de Meterpreter tratando de conectarse al exterior. Haciendo esto: 

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit Meterpreter"; flow:to_server,established; content:"RECV"; http_client_body; depth:4; fast_pattern; isdataat:!0,relative; urilen:23<>24,norm; content:"POST"; pcre:"/^\/[a-z0-9]{4,5}_[a-z0-9]{16}\/$/Ui"; classtype:trojan-activity; reference:url,blog.didierstevens.com/2015/05/11/detecting-network-traffic-from-metasploits-meterpreter-reverse-http-module/; sid:1618008; rev:1;)

Para otro tipo de cambios de escenario se deben hacer en la regla, pero es un comienzo.

    
respondido por el OscarAkaElvis 27.03.2017 - 21:11
fuente
1

Revisaría las reglas de las amenazas emergentes.

enlace

Busca Meterpreter y podrás ver al menos 50 ejemplos diferentes de señales que detectan Meterpreter en diferentes etapas y variaciones del ataque.

    
respondido por el MikeSchem 27.03.2017 - 22:00
fuente

Lea otras preguntas en las etiquetas

Cómo se verifica la cadena de certificados TLS ¿Cómo se intercambia la clave simétrica en el protocolo SSL / TLS?