OSSECはバッファオーバーフロー攻撃を検出できますか?
OSSECルールの例 および OSSECの本 に記載されているように、OSSEC(HIDSソフトウェア)を使用してバッファオーバーフローを検出しようとしています。
次のような単純なバッファオーバーフローの例を検出するようにOSSECを構成するにはどうすればよいですか。
#include <string.h>
#include <stdio.h>
void main(int argc, char *argv[]) {
char buffer[100];
strcpy(buffer, argv[1]);
printf("Done!\n");
}
ステージ1の攻撃(プロセス内のシェルコード)の検出を探している場合、EMET、 WDEG aka EMET II (Windowsの場合)およびLotan(クロスプラットフォーム)があります。
Leviathan SecurityがLotanに少なくとも2回ここに投稿しました:
- http://www.leviathansecurity.com/blog/reverse-engineering-firefox-and-tor-targeted-payload
- http://www.leviathansecurity.com/blog/bulk-aslr-data-analysis
EMETは .0 Notifier または 5.5 Event-Log メカニズムを通じて同様の機能を備えています。
OSSECはログベースのHIDSであることに注意してください。OSSECは、誰か(例:デーモン)がバッファオーバーフロールールに一致するログを追加した場合にのみ対応できることは明らかです。
あなたが言及した公式のコード例を見てください。
宜しくお願いします、