Meterpreterセッションを検出するSnortルール

Question

私はSnortの構成中に学習しています。私のセットアップは、攻撃者（Linux）、被害者（Androidスマートフォン）、および1つの検出システム（IDS）で構成されています。これまでのところ、Meterpreterセッションを含め、攻撃者と被害者の間のすべてのパケットをログに記録することができました。 Meterpreterセッションを検出したい場合、何を行う/調査する必要がありますか？少しのパケット分析で、ステージャーの16進数値がわかりました。使用されるペイロードはAndroid/meterpreter/reverse_tcp。

これら2つのデバイス間のMeterpreterセッションを検出するためのルールファイルを作成したいと思います。どうすればいいですか？誰かが私を正しい方向に向ければ、それは本当に役に立ちます。ありがとう！

OscarAkaElvis · Answer

私はこれが古い質問であることを知っていますが、検索するとこれが見つかりました興味深い投稿。必要なヒントがあります。そこから抽出

Snortルールとして、外部接続のMeterpreterセッションを検出できます。つまり、外部に接続しようとしているMeterpreterシェルを逆にします。これを行う：

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit Meterpreter"; flow:to_server,established; content:"RECV"; http_client_body; depth:4; fast_pattern; isdataat:!0,relative; urilen:23<>24,norm; content:"POST"; pcre:"/^\/[a-z0-9]{4,5}_[a-z0-9]{16}\/$/Ui"; classtype:trojan-activity; reference:url,blog.didierstevens.com/2015/05/11/detecting-network-traffic-from-metasploits-meterpreter-reverse-http-module/; sid:1618008; rev:1;)

他の種類のシナリオでは、ルールの変更を行う必要がありますが、それは始まりです。

MikeSchem · Answer

新しい脅威のルールをチェックします。

https://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules

Meterpreterを検索すると、さまざまな段階と攻撃のバリエーションでMeterpreterを検出するシグの少なくとも50の異なる例を確認できます。