Attack bypass snort

các bro có biết loại tấn công nào bypass qua snort được không ạ ? và rule để chặn cái loại đó luôn ạ
Bạn hỏi vậy chung chung quá. Việc có bypass được các rule của snort hay không sẽ phụ thuộc vào rule đấy mà việc đặt rule sẽ phụ thuộc vào trình độ và kinh nghiệm của người đặt. Bạn đưa ra 1 tình huống cụ thể của các rule thì mọi người mới đưa ra hướng được :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cụ thể là mình đang test chương trình trojan backdoor msfvenom. Ở trên máy attacker sẽ tạo ra một chương trình payload.exe rồi bỏ sang máy victim đồng thời máy attacker lắng nghe kết nối. Khi máy victim chạy chương trình payload.exe đó thì máy attacker sẽ có phiên điều khiển của victim. Nhưng có một điều là mình download bộ rule của snort về, nhưng khi chạy tập rule này về thì không hề có một cảnh bảo nào về cuộc tấn công trên cả. Vậy mấy anh cho em biết mình phải làm viết rule hay tìm ở đâu để nó cảnh báo ạ ! Em cảm ơn nhiều ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tmnt53
Comment
cụ thể là mình đang test chương trình trojan backdoor msfvenom. Ở trên máy attacker sẽ tạo ra một chương trình payload.exe rồi bỏ sang máy victim đồng thời máy attacker lắng nghe kết nối. Khi máy victim chạy chương trình payload.exe đó thì máy attacker sẽ có phiên điều khiển của victim. Nhưng có một điều là mình download bộ rule của snort về, nhưng khi chạy tập rule này về thì không hề có một cảnh bảo nào về cuộc tấn công trên cả. Vậy mấy anh cho em biết mình phải làm viết rule hay tìm ở đâu để nó cảnh báo ạ ! Em cảm ơn nhiều ạ
BẠn nên check những trường hợp sau.
  • Máy chạy snort đã run đúng cách chưa.
  • Snort đã config forward cho máy victim chưa hoặc đã forward sniff cho toàn dãy mạng chưa.
  • Rule đã đúng với exploit chưa, bản chất của rule không phải là cứ bắt đúng. Hãy suy nghĩ theo hướng phân tích những dấu hiệu lạ, ví dụ như reverse tcp hay bất cứ thứ gì lạ cổng đi ra ngoài mạng. Etc.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
BẠn nên check những trường hợp sau.
  • Máy chạy snort đã run đúng cách chưa.
  • Snort đã config forward cho máy victim chưa hoặc đã forward sniff cho toàn dãy mạng chưa.
  • Rule đã đúng với exploit chưa, bản chất của rule không phải là cứ bắt đúng. Hãy suy nghĩ theo hướng phân tích những dấu hiệu lạ, ví dụ như reverse tcp hay bất cứ thứ gì lạ cổng đi ra ngoài mạng. Etc.
mình đã tạo ra một shell code dạng alpha_mixed ( dạng chữ vs số thôi ) . chạy cái shell trên máy victim thì máy attacker mở đc kết nối. đồng thời snort cũng ghi n
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mình đã tạo ra một shell code dạng alpha_mixed ( dạng chữ vs số thôi ) . chạy cái shell trên máy victim thì máy attacker mở đc kết nối. đồng thời snort cũng ghi n
nhận là có tấn công . bây giờ mình mình vẫn đoạn shell đó mà mình mã hoá đi cho snort ko biết . những vẫn thực thi đc như ban đầu . anh có cách gì ko . làm bằng cách nào trên máy victim cũng đc ! tks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nhận là có tấn công . bây giờ mình mình vẫn đoạn shell đó mà mình mã hoá đi cho snort ko biết . những vẫn thực thi đc như ban đầu . anh có cách gì ko . làm bằng cách nào trên máy victim cũng đc ! tks
Về khoản này thì mình không chắc lắm, bạn có thể tham khảo thêm với keyword "obfucation shell script" trên mạng cũng khá nhiều.
Phần mình cũng chỉ làm với một số shell php thôi nên không chắc lắm với các shell từ application programming.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên