[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00279] Re: [FYI] ポリモーフィックな shellcode?



しかP@やはりそうだったか、です。


On Mon, 9 Apr 2001 18:12:52 +0900
Sonoda Michio <sonodam@xxxxxxxxx> wrote:
> >ついでにいえば、
> >ISS-RealSecureはバッファオーバーフロー攻撃を検出するアルゴリズムや実装が
> >異なるため、ADMutateは効かないよ、と言う発言がありました。
> >(from focus-IDS auther:Rouland,Chris(ISS Atlanta))
> 
> Chrisさんと聞いてもしかしてISSのツール開発者で現CTOのChristopher Klausかと思 
> ったら、違う人みたいですね。しかしX-ForceというのはISSの研究所で、ISSの中で 
> は一応技術のトップというところですし、あまり根拠の無いことを言わないとは思う 
> んですけど。しかしツールもアルゴリズム詳細も出てきていないので何とも言えませ 
> んですね(苦笑)。

K2氏本人がfocus-IDSでISS RealSecureでのテスト結果を示してます。
http://www.securityfocus.com/archive/96/175148

どうやらRealSecureはパケットレングスも検査の対象としているみたいですね。
ですから、例えばSMTPの様な、事実上長さが決まってしまう類のプロトコルは
長さでチェックするようです。
ですから、シグネチャでチェックするのに比べ、ADMutateに対してタフであると
いえます。
しかし、HTTPみたいな可変長のプロトコルについてはそういった長さを利用する
類のチェックはあまり有効ではない、という事だそうです。
それらのことから考えても、ADMutateはシグネチャチェックを回避するための
ツール、ということでしょうね。どうやっているのかはともかく。

確かに、今現在、snortなどでもパケット長をみるようなチェック機能を追加しよう
としているように、シグネチャベースには限度がある、というのは確かです。
しかし、シグネチャ以外できちんとチェックできるのか、というのは疑わしいです
ねぇ。当面はハイブリッド検知を目指すことになるのでしょう。

-- 
  ===============================
    鹿田 幸治       Koji.Shikata
     E-Mail:shikap@xxxxxxxxxxxx
              :shikap@xxxxxxxxxxxx
 snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
  ===============================

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
    ◆桜も良いけど爽やか季節♪ 〜お出かけどこ行く?!
 http://www.infoseek.co.jp/Playspot?pg=playspot_top.html&svx=971122