Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Jacky_Chen
Participant

Block keywords via Snort Rules

Dear 各位先進,

    近期某家金融客戶,由 third-party 資安設備偵測到某台 Web server 一直遭到 Hydra Webshell 攻擊, 如下面 report

Hydra_report.jpg

    這問題我們有開 Ticket , IPS database 更新到最新版本, 也 import 最新的 Snort rules, 並把所有有關 Hydra Signature 都設為 Prevent, 但還是偵測不到這個攻擊

    最後我們是用 Snort rules 來阻擋含有 "public/hydra.php?xcmd=cmd.exe" 這個關鍵字的流量, 步驟如下:

1. 準備 Snort rules

Snort rules 檔案請參考附件
或是將以下語法存成 file-name.rules

alert tcp any any -> any any (content: "public/hydra.php?xcmd=cmd.exe"; msg: "HYDRA Attack-jacky_test";)

至於語法的說明, 在 Google 大神上都可以查的到,這邊就不加說明


2. 將 Snort rule 檔案滙入 Check Point

ScreenShot01090.jpg

詳細的滙入說明可參考松倫大大分享的文章
https://community.checkpoint.com/t5/Taiwan%E8%AB%96%E5%A3%87/New-Exploits-for-Unsecure-SAP-Systems-H...

若是 R77.30 的版本, 可參考
https://sc1.checkpoint.com/documents/R77/CP_R77_IPS_WebAdminGuide/12857.htm

3. 滙入完成後, 將滙入的 Snort rules Action 設為Prevent, 並且勾選Capture Packets

ScreenShot01091.jpg

4. Install Threat Prevention policy, 然後產生一些 http://IP/public/hydra.php?xcmd=cmd.exe%20/c%20 測試流量

例如用 pchome 來做測試, 會看到連線被 reset 掉

ScreenShot01098.jpg


5. 查看 IPS log 是否有相關 logScreenShot01093.jpgScreenShot01094.jpg

 

點選 Packet Captures 可看到阻擋的封包內容

ScreenShot01097.jpg

所以透過 Snort Rules, 只要簡單修改一些內容, 就可以達到阻檔 keyword 的目的, 很簡單

PS. 若是 HTTPS 的流量, 當然是要開 HTTPS Inspection 才看的到囉

 

Regards,

Jacky

0 Replies
Upcoming Events

    CheckMates Events