Técnicas generales para identificar un servicio desconocido

3

Tengo una muestra específica sobre la que me gustaría recibir comentarios, pero mi opinión es que una respuesta sobre técnicas generales es más valiosa para este sitio. Dejaré los detalles en caso de que alguien que esté en Google haya encontrado el mismo servicio.

Mis preguntas:

  1. ¿Cuáles son las técnicas y recursos generales para identificar un servicio desconocido, o algo en un puerto no estándar que no está siendo hablador?

  2. ¿El comportamiento a continuación suena con alguien? (¿He omitido algunos pasos para seguir identificando el servicio?)

-

Durante un compromiso, hemos encontrado un puerto abierto, 10001. Como puede haber adivinado, por lo que puedo decir, no responde a los protocolos que generalmente se usan en ese puerto. Mi búsqueda no ha sido completamente exhaustiva, pero he confundido los primeros tres bytes y he encontrado una respuesta para el primer byte.

Observaciones sobre mi servicio desconocido específico:

  • Habla TCP

  • Cuando se envía un capital i, I\n , responde I211568 \x00 \x00

  • Los mensajes parecen estar terminados en nulo y en nueva línea; Cualquier cosa que no sea posterior al capital no afecta el comportamiento, sino un nulo antes de que afecte la respuesta.

  • nmap lo muestra como scp-config , una vez como tcpwrapped

EDIT:

Resulta que era el Puerto remoto de un DVR de Swann

    
pregunta J.A.K. 13.02.2017 - 03:55
fuente

1 respuesta

2

Creo que lo que estás preguntando (en retrospectiva) es Identificación de protocolo independiente del puerto (PIPI) , un método para detectar el protocolo de capa de aplicación conocido (publicado como RFC) o dark-protocol (como el malware, la puerta trasera encubierta, etc.) se atienden en un puerto no estándar. De hecho, eso es lo que los investigadores de la ofuscación de protocolo, los desarrolladores de malware (y antimalware) y los equipos de IDS / IPS consideran todo el tiempo. El objetivo en parte es identificar la aplicación sin depender de los números de puerto de capa 4. Hay dos técnicas ampliamente utilizadas en IDS,

  1. Análisis estadístico del tráfico dentro de una conexión
  2. Localizar patrones de bytes específicos del protocolo en la carga útil de la conexión

Lea lea este documento técnico para obtener una explicación completa.

En tu caso particular, podrías,

  1. Personalice archivo nmap-services-probes para agregar una nueva firma de servicio basado en las observaciones de su servicio desconocido específico.
  2. Considera escribir un disector Wireshark una vez que hayas reunido lo suficientemente confiable detalles sobre el comportamiento del protocolo, como el tamaño del paquete, el patrón de comunicación, las idiosincrasias en la carga útil y similares.
respondido por el Deepak Devanand 14.02.2017 - 11:05
fuente

Lea otras preguntas en las etiquetas