- 1. 概要
- 2. 見てみる
- 3. 何もないものもある
1. 概要
「oinkcode」を取得して、せっかく公式(?)な、ルールを取得しているのですが、実はまだ(2023年6月6日)有効にしていない。
いきなり、有効にして、ネットワークに支障があるのが怖いのだ。
ネットワーク侵入検知と防止の機能があるらしいので、検知はよいとして、防止の機能で、自分がログインできなくなったらどうしようとか・・・杞憂かもしれないが。
とりあえず、ダウンロードした、ルールをながめて見ようと思うのであります。
2. 見てみる
ルールを取得したところにも書いていますが。
ls -l /usr/local/etc/snort/rules/*.rules | wc -l
で数えてみたら、116 あります(2023年6月6日)。
3. 何もないものもある
ファイルのサイズを見てみると、1000バイトちょっとくらいのものがあります。
これは、たいてい、中身には有効なルールは書かれていません。
試しに、2023年6月6日時点で、1032バイトの「web-php.rules」を見てみると
# Copyright 2001-2023 Sourcefire, Inc. All Rights Reserved.
#
# This file contains (i) proprietary rules that were created, tested and certified by
# Sourcefire, Inc. (the "VRT Certified Rules") that are distributed under the VRT
# Certified Rules License Agreement (v 2.0), and (ii) rules that were created by
# Sourcefire and other third parties (the "GPL Rules") that are distributed under the
# GNU General Public License (GPL), v2.
#
# The VRT Certified Rules are owned by Sourcefire, Inc. The GPL Rules were created
# by Sourcefire and other third parties. The GPL Rules created by Sourcefire are
# owned by Sourcefire, Inc., and the GPL Rules not created by Sourcefire are owned by
# their respective creators. Please see http://www.snort.org/snort/snort-team/ for a
# list of third party owners and their respective copyrights.
#
# In order to determine what rules are VRT Certified Rules or GPL Rules, please refer
# to the VRT Certified Rules License Agreement (v2.0).
#
#---------------
# WEB-PHP RULES
#---------------
とまぁ、全部コメントです。
逆に、一番大きいのが、「malware-other.rules」ですな。
3.3MB あります。
中を覗いてみると、全体で 4070行、定義がずらっと並んでいるのですが、結構、コメントアウトされています。
コメントされていない行が出現するのが、下記からですね。
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"MALWARE-OTHER Keylogger ghost Keylogger runtime detection - flowbit set"; flow:to_server,established; content:"|23|"; nocase; content:"Ghost"; distance:0; nocase; content:"keylogger"; distance:0; nocase; content:"has"; distance:0; nocase; content:"started"; distance:0; nocase; pcre:"/^\x23\s+Ghost\s+Keylogger\s+has\s+started\x2E/smi"; flowbits:set,ghost_keylogger_start; flowbits:noalert; metadata:service smtp; reference:url,attack.mitre.org/techniques/T1056; reference:url,www3.ca.com/securityadvisor/pest/pest.aspx?id=70892; classtype:successful-recon-limited; sid:9649; rev:6;)
これ、1行ですからね、1行が結構長い。
また、その後もコメントアウトされている行が続いたりします。
|
|