linefilt

특정 트래픽들을 탐지하기 위해서 snort 및 suricata에서는 단순 문자열 매치뿐만 아니라 TCP 헤더에 관한 여러 가지 키워드를 제공하고 있다. flowbits나 stream_size 등이 이 경우에 포함이 된다. flowbits는 한 번에 식별할 수 있는 버퍼(chunk-size)를 초과하는 경우에 사용하기도 하며, stream_size는 세션에서 처음 시퀀스를 기준(seq 0)으로 절대 위치를 식별하거나 클라이언트 또는 서버가 전송한 bytes의 양을 측정할 수 있다. 위와 같은 옵션에도 불구하고 일부 상황에서는 특정 세그먼트들을 탐지하기 어려움이 있다. 1. 암호화 스트림을 식별하기 위해서 dsize를 연속적으로 매치해야 하는 경우가 발생 flowbits는 시퀀스를 식별하지 않아 "TCP o..

트래픽에서 일반적인 패턴 기반은 손쉽게 문자열을 통해서 행위나 응용프로그램을 식별할 수 있다. 하지만, 암호화된 트래픽에서는 특정 문자열을 찾아내는 것이 불가능하다. 이때 패킷들의 특정 사이즈를 엮어 탐지의 방법으로 사용할 수 있다. 아래 룰들은 RDP over SSH를 탐지하는 룰 셋의 일부이다. snort는 dsize 범위 지정 ( )이 inclusive이지만, suricata는 exclusive로 동작한다. alert tcp-pkt any any -> any 22 (msg:"RDP over SSH (Reverse) set"; flow:established,to_server; dsize:96; prefilter; flowbits:isnotset,rostr; flowbits:set,rostr1; noa..

원격 데스크톱은 대상 컴퓨터가 원격 데스크톱을 허용해두었다면, 윈도의 mstsc 이용해서 간단하게 접속할 수 있고 RDP 환경에서는 대부분의 기능을 거의 동일하게 사용할 수 있기에 많은 표적이 될 수 있다. 그림 1은 윈도우에서 mstsc를 이용한 원격 데스크톱 접속 시 패킷, 그림 2는 우분투에서 RDV, KRDC, Remmina를 통해서 접속 시의 패킷 페이로드를 나타낸다. 두 개의 패킷에서 공통적으로 찾아볼 수 있는 패턴은 |03 00 00|과 |e0 00 00 00 00| 이며, 이 패턴들은 Emerging-Threats Open 룰에서도 거의 동일하다시피 찾아볼 수 있는 패턴이다. 이처럼 RDP가 경유하는 구간에서는 IDS, IPS의 간단한 정책만으로도 RDP 요청을 탐지할 수 있다. 문제는 R..

무료 인증서의 보편화로 인하여 기업의 서비스 뿐만 아니라 개인 도메인에 대한 암호화에 대한 처리는 날이 갈수록 높아지는 상황에서, 특히 응용프로그램 제어 뿐만 아니라 악성 코드를 배포하기 위한 서버 또한 암호화 통신을 하여 제어하기 어렵게 만들고 있다. 전용 암복호화 장비나 HAproxy와 같은 리버스 프록시를 이용하여 종단 서버구간의 페이로드를 식별하는 방법이 있지만, 성능 문제나 일부 응용프로그램들은 복호화 불가능한 문제가 여전히 남아있다. Inspection이 불가능한 패킷을 TCP 헤더 및 SSL/TLS Handshake 패턴을 통한 제어 alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"web.telegram"; flow:to_server,establis..