[connect24h:02009] Re: snort IIS Unicode attack signature

[Shikata Koji <koji.shikata@xxxxxxxxxxxx>]

kirei　　『ねぇ、見た？このサイト』
　suteki　『これでしょう！いいよね♪』
         http://www.kadan.ne.jp/bn.cgi?info02 
　kantan　『お、いいね。早速使おうっと！』
------------------------------------------------------------------------


しかＰ＠会社です。

大体見えてきました。UNICODEの誤検知。

on 01.3.8 10:21 AM, Keiji Takeda at keiji@xxxxxxxxxxxxxx wrote:
> snortの
> spp_http_decodeのPreprocUrlDecode()の中で、
> %c0%c1%e0%f0%f8%fc
> のチェックをかけてるんです。

ここは正確には、
%c0%c1%e0%f0%f8%fcのうち、「どれか１つでも」パケット内にあれば
ひっかける、というロジックになっているようです。
だから、UNICODEでエンコードした２バイト文字列を送信すると
やたらめったら引っかかってしまう、という事になりますね。

というわけで、

on 01.3.8 11:09 AM, DANNA at danna@xxxxxxxxxxx wrote:
> ちょっとみてきました、単なる誤検知っぽい気がします。と言うか、SNORT
> のUNICODE DETECTORの部分って、英語圏しか想定してないみたいですから、
> 「信じちゃイカン！」ってカンジですか？

というカンジです(^^;

ですからsnortのUNICODE DETECTORを止めるか、ダンナ＠サポセンさんの
おっしゃるように、検知したらhttp要求を出してチェックする、というの
が現実解かと思います。

これ以上は私にはなんともしがたいです。
なんせ「||」演算子が何か思い出せなくて教科書引っぱり出したくらい
ですから(-_-;;;;

でも、ここの部分に、「本当の」UNICODEアタックで使用されるUNICODE文字
列を検知するようなパッチを作ってあててやれば、ちっとはましになるかも
しれないですね。

どんな文字列だと怪しいんでしたっけ？＞All

-- 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:shikap@xxxxxxxxxxxx
            :shikap@xxxxxxxxxxxx
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝