Entender el desarrollo de una firma basada en valores de cabecera

Vamos a entender a través de un ejemplo de famoso malware Ramen porque los paquetes de ese malware tienen varias características distintivas. Éstos son algunos de los valores de cabecera IP y TCP que estaban presentes en los paquetes de Ramen malware. Varias direcciones IP de origen

• Puerto de origen TCP 21, puerto de destino 21

• Tipo de servicio 0

• Número de identificación IP 39426

• Banderas SYN y FIN marcado

• Varios números de secuencia establecida

• Varios números de confirmación establecida

• Tamaño de la ventana TCP 1028

Según Webimprints, empresa de seguridad informática, durante el desarrollo de firmas basadas en los valores de cabecera debemos buscar valores que son ilegales, inusual o sospechoso - en muchos casos, estas características se corresponden con las vulnerabilidades que el hacker está tratando de explotar, o una técnica particular que utiliza herramienta del atacante.

Dice Dave Smith experto de pruebas de penetración que ciertas características de los paquetes de Ramen malware podríamos utilizarse en firmas:

Una señal bien conocida de la actividad maliciosa es tener las banderas SYN y FIN marcados en un paquete.

Otra señal de que estos paquetes son modificados es que el número de reconocimiento tiene varios valores, pero la bandera ACK no se ha establecido. Cuando esa bandera no está definida, el número de reconocimiento se debe establecer en 0.

Según investigadores de empresa de seguridad informática, otra característica sospechosa es que los puertos de origen y destino están establecidos en 21, por lo general asociados con los servidores FTP. Cuando estos puertos son iguales, decimos que son reflexivos. En el tráfico FTP normal, esperamos ver un número alto de puerto (mayor que 1023) como el origen y el puerto 21 como destino.

Otra característica sospechosa es que el tamaño de la ventana TCP, que siempre se establece en 1028, normalmente, el tamaño de la ventana TCP es más grande que 1028 y no es la misma en todos los paquetes.

Otra característica sospechosa es que el número de identificación IP, que se fija en todos los paquetes a 39426. Este valor debe variar entre los paquetes, por lo que el mismo valor es muy sospechoso.

Como se señaló anteriormente experto de empresa de pruebas de penetración hemos identificado cinco posibles elementos de la firma y tenemos muchas opciones diferentes para el desarrollo de una firma basada en la cabecera, ya que una firma puede incluir una o más de estas características.

Una simple firma tendría configurado elementos de banderas SYN y FIN establecidos. Aunque esto sin duda sería un buen indicador de la actividad maliciosa probable es que no nos da ninguna idea de por qué se produjo esta actividad. Sin embargo, una firma basada en los cinco elementos sospechosas puede ser demasiado específica. Aunque proporcionará información mucho más precisa sobre el origen de la actividad, sino que también sería mucho menos eficiente.

Podríamos desarrollar varias firmas que utilizan varias combinaciones de estas características. Desarrollo de firmas depende mucho sobre los ambientes y tipos de ataques y experiencia con los sistemas de detección de intrusos mencionan expertos de empresa de seguridad informática en México.