EICAR - это строка, которая позволяет проверить работоспособность антивируса. Очень удобно - бросил файл, смотришь АВ лог, чинишь поломанные агенты. К моему удивлению, EICAR аналог для IDS отсуствует, что, конечно, большой просчет вендоров.
Но исправить его можно с помощью паттерн пинга.
name='more'>
Как известно, каждый ICMP пакет имеет поле для данных, в которое обычно операционная система засовывает строку abcdefghijklmnopqrstuvwabcdefghi. Но может засовывать и любые другие данные, что активно используется для создания ICMP туннелей.
Засунуть в ICMP пакет произвольную строку можно с помощью утилиты nping с ключем "--data-string ", либо можно скомпилировать свой собственный пинг с дата-паттерном и кастомным баннером из исходников Microsoft с помощью бесплатной VisualStudio Express.
Тогда Snort сигнатура для детектирования такого пакета будет выглядеть так: alert icmp any any -> any any (sid:1000000; gid:1; content:"b1gb00b5"; nocase; fast_pattern; msg:"FSB covered channel detected"; classtype:string-detect; rev:3; )
Такими пакетами не только удобно выявлять мертвые сенсоры IDS, но и можно забросать ими всю сеть для определения "темных" подсетей, которые не мониторятся IDS.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
ТВОЕ «МНЕ ПОМОГЛО» — ЭТО ДИАГНОЗ
Миру плевать на то, во что ты веришь. Твой личный опыт — это статистическая погрешность и ошибка выжившего. Пока ты лечишься подорожником и верой, умные люди смотрят на двойные слепые плацебо-контролируемые исследования. Узнай, почему быть циничным занудой выгоднее, чем восторженным идиотом.
