内容完全一致
案例1案例2案例3 格式相似邮件传输内容完全不同ip.option乱码
压缩包SMBDHCP混淆
如果有人跟你说bps可以一对一告警,你一定不要当真!
案例1漏洞不同没关系,但是数据包可以相同啊,对喽,不能误报啊!
漏洞描述(tid:63252)
Cyrus IMAP Server是一款免费开放源代码Interactive Mail Access Protocol (IMAP)协议实现,可使用在Unix和Linux操作系统下。当imapmagicplus选项打开的时候,Cyrus IMAP Server处理验证存在问题,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以进程权限执行任意指令。当imapmagicplus选项在服务器上激活时,PROXY和LOGIN命令存在典型的栈缓冲区溢出,问题是当把用户名拷贝到临时栈缓冲区时缺少充分的边界检查,精心构建提交数据,可能以进程权限执行任意指令。
与其内容一致的数据包举例:
63252_CVE-2004-1011_Cyrus_IMAP_Server_IMAPMAGICPLUS_Buffer_Overflow_attack_IP_1.1.4.86.pcap63413_CVE-2004-1067_Cyrus_IMAP_Server_Username_Buffer_Overflow_attack_IP_1.1.11.228.pcap63252_CVE-2004-1011_Cyrus_IMAP_Server_IMAPMAGICPLUS_Buffer_Overflow_attack_IP_1.1.4.86.pcap 案例2
tid63858 与 tid62495 的所有数据包都是一个东西,所有数据包都长得一样!
漏洞描述(tid:63858)
avast! Antivirus Home/Professional Edition 4.6.665和Server Edition 4.6.460中版本所使用的第三方压缩程序库(UNACEV2.DLL)存在缓冲区溢出漏洞。远程攻击者可以通过包含长文件名的ACE档案文件,执行任意代码。
漏洞描述(tid:62495)
各种HAURI杀毒产品中存在缓冲区溢出漏洞,成功利用这个漏洞的攻击者可以远程执行任意代码。起因是在解压文档时ACE文档解压库vrAZace.dll中存在边界条件错误。如果扫描的恶意ACE文档中包含有文件名大于272个字符的压缩文件的话,就可能导致栈溢出。
数据包举例:
所有的tid63858与tid62495数据包都一样,随便选一个都行。
案例3情况完全同案例2,所有tid63656和tid62737的数据包都长的一样
漏洞描述(tid:63656)
Real Networks RealPlayer 10版本存在缓冲区溢出漏洞。远程攻击者借助有大量"."(period)字符的URL执行任意代码。
漏洞描述(tid:62737)
如果用户使用播放器处理畸形的RAM文件时就会触发该漏洞。远程攻击者可以利用这个漏洞以使用有漏洞版本播放器用户的权限执行任意代码。
数据包举例:
所有tid63656和tid62737的数据包都长的一样,随便选一个都行。
格式相似有内鬼,停止交易
漏洞描述(tid:63602)
HP Operation Agent是一款用于系统管理的应用代理,包括收集管理数据,对整个异构基础设施实现事件与可用性自动监控及管理流程自动化;HP Operation Agent存在未明安全漏洞;目前没有详细漏洞细节提供;
数据包举例:
63602_CVE-2012-2019_HP Operations Agent coda.exe Last Chunk Buffer Overflow_IP_1.1.43.206.pcap63602_CVE-2012-2019_HP Operations Agent coda.exe Last Chunk Buffer Overflow.pcap66635_CVE-2012-2020_HP Operations Agent coda.exe Stack Buffer Overflow_IP_1.1.0.122.pcap 邮件传输内容完全不同
为什么同一种漏洞对应的攻击形式几乎完全不同呢?你又怎么让它都告警呢?
源文件如下图所示:
经过base64解码比较之后如下:几乎完全不同,这个tid对应的数据包都是这个德行
漏洞描述(tid:66760)
Free MP3 CD Ripper 1.1、2.6及更早版本在转换文件时存在安全漏洞,攻击者通过特制的.wav文件,可执行任意代码。
数据包举例:
66760_CVE-2011-5165_Free MP3 CD Ripper File Buffer Overflow_IP_1.1.255.14766760_CVE-2011-5165_Free MP3 CD Ripper File Buffer Overflow_IP_1.1.92.20.pcap
更较为常见的是以65617为例的邮件传输的GIF文件,base64解码后的内容几乎完全不同!
ip.option一对一告警的最高境界,真的是一个数据包对应一个规则藍
漏洞描述(tid:63528)
Symantec Norton Internet Security/个人防火墙是一类桌面防火墙系统。 Symantec Norton Internet Security/个人防火墙存在未明安全问题,远程攻击者可以利用这个漏洞对运行此软件的系统进行拒绝服务攻击。 根据报告,此漏洞不能利用来执行任意指令,目前没有详细漏洞细节提供。
问题描述:
一个数据包,一个tcp.option,几乎都不相同,不可能做到几条规则完全匹配所有的相关数据包
数据包案例:
63528_68265_CVE-2004-0375_Symantec Client Firewall SACK Attack_IP_1.1.247.151.pcap63528_68265_CVE-2004-0375_Symantec Client Firewall SACK Attack_IP_1.1.74.34.pcap 乱码
压缩包虽然乱码了,但是不能漏报哦,也不能误报
漏洞描述(tid:61819)
HP Easy Printer Care Software 2.5及之前版本的HPTicketMgr.dll的某个ActiveX控件中存在漏洞。远程攻击者可利用该漏洞借助未明向量下载任意程序到客户机上,并执行这个程序。
数据包案例:
61819_CVE-2011-4786_HP Easy Printer Care CachedocumentXMLWithID ActiveX Control Directory Traversal_IP_1.1.223.150.pcap SMB
漏洞描述(tid:60803)
MRXSMB.SYS驱动负责执行SMB客户端操作以及处理SMB服务器返回的响应。一些重要的Windows文件共享操作以及所有的RPC-over-named-pipes操作使用SMB命令Trans(25h)和Trans2(32h)。一个恶意的SMB服务器通过发送特殊的Transaction响应数据可能导致一个缓冲区溢出漏洞。溢出可能发生在任何这个数据被处理的地方,例如MRXSMB.SYS或其他客户端代码中。例如,如果Trans2 FIND_FIRST2响应报文中的文件名和短文件名长度字段被设置为一个过大的值,就可能导致一个缓冲区溢出。攻击者也可以通过设置一个恶意的file://链接,当远程用户点击这个链接时,导致代码被执行。
数据包举例:
60803_CVE-2005-0045_Microsoft Windows Server Messsage Block (SMB) Code Execution_IP_1.1.73.68.pcap DHCP
DHCP类型的数据包基本都这个德行,它并非难在漏报,而是难在误报。
比如64385数据包误报了
DHCP Server Client ID DoSDHCPD Buffer OverflowISC dhclient Shell metacharacter InjectionISC_DHCP_Buffer_Overflow_Vulnerabilities_dhcp_attackMicrosoft Windows DHCP Client ACK Options Remote Code ExecutionMicrosoft Windows DHCP Client Remote Code ExecutionMicrosoft Windows DHCP Client Service Buffer OverflowMicrosoft Windows DHCP Server Vendor Specific Remote Code ExecutionRed Hat NetworkManager DHCP Command InjectionSolaris DHCP Malformed BOOTREQUEST Packet Denial of Service
这些数据包,随便挑,你能不误报不漏报算我输
混淆tid 统计如下(部分):
62097,68264 66216,68118,68119 63275 61622 61327,68032,68033,68091 67217 67741 67742 61240 63086 62201 63086
大家可能对混淆没概念,举一些例子如下图:
这些数据包,随便挑,你能不误报不漏报算我输
