EICAR аналог для IDS

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()
EICAR - это строка, которая позволяет проверить работоспособность антивируса. Очень удобно - бросил файл, смотришь АВ лог, чинишь поломанные агенты.
К моему удивлению, EICAR аналог для IDS отсуствует, что, конечно, большой просчет вендоров.

Но исправить его можно с помощью паттерн пинга.

 

Как известно, каждый ICMP пакет имеет поле для данных, в которое обычно операционная система засовывает строку abcdefghijklmnopqrstuvwabcdefghi.

Но может засовывать и любые другие данные, что активно используется для создания ICMP туннелей.

Засунуть в ICMP пакет произвольную строку можно с помощью утилиты nping с ключем "--data-string <TOKEN>", либо можно скомпилировать свой собственный пинг с дата-паттерном и кастомным баннером из исходников Microsoft с помощью бесплатной VisualStudio Express.


Тогда Snort сигнатура для детектирования такого пакета будет выглядеть так:
alert icmp any any -> any any (sid:1000000; gid:1; content:"b1gb00b5"; nocase; fast_pattern; msg:"FSB covered channel detected"; classtype:string-detect; rev:3; )

Такими пакетами не только удобно выявлять мертвые сенсоры IDS, но и можно забросать ими всю сеть для определения "темных" подсетей, которые не мониторятся IDS.
Оцените материал:
Total votes: 77
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.