e
Я правильно понимаю что это детекты не netbios/llmnr спуфинга а срабатывания на эксплоиты?
Вам интересен спуфинг в чистом виде?
Size: a a a
2018 October 30
e
Я сам с PT Network Attack Discovery исключительно в пользовательских взаимоотношениях, но фанат ребят, которые его делают, поэтому могу спросить у них интересующие вас вопросы.
N
Вам интересен спуфинг в чистом виде?
Да интересно как выявлять попытки netbios/llmnr спуфинга.например с помощью анализа нетфлоу
N
Или даже в общем: выявить можно так-то если есть такие-то логи. На ум только нетфлоу приходит со свитчей
e
Да интересно как выявлять попытки netbios/llmnr спуфинга.например с помощью анализа нетфлоу
Честно говоря, у меня нет идей, как выявлять спуфинг прикладного протокола по логам соединений с сетевого оборудования (транспортный уровень). Если вы знаете как, то намекните, пожалуйста.)
y
Честно говоря, у меня нет идей, как выявлять спуфинг прикладного протокола по логам соединений с сетевого оборудования (транспортный уровень). Если вы знаете как, то намекните, пожалуйста.)
да можно, но для ограниченного количества кейсов.
типо кто-то отправил запрос на wpad, отвечает вообще левая тачка, и тут же через нее начинает проксироваться трафик.
но да, источник с низким потециалом для таких атак, количество возможных кейсов ограничено
типо кто-то отправил запрос на wpad, отвечает вообще левая тачка, и тут же через нее начинает проксироваться трафик.
но да, источник с низким потециалом для таких атак, количество возможных кейсов ограничено
y
ответ (на прикладном уровне) не видно, это правда. но видно по каким портам коммуникация идет
y
100% покрытие обеспечит bro framework, ибо он именно прикладной уроввень анализирует.
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
e
да можно, но для ограниченного количества кейсов.
типо кто-то отправил запрос на wpad, отвечает вообще левая тачка, и тут же через нее начинает проксироваться трафик.
но да, источник с низким потециалом для таких атак, количество возможных кейсов ограничено
типо кто-то отправил запрос на wpad, отвечает вообще левая тачка, и тут же через нее начинает проксироваться трафик.
но да, источник с низким потециалом для таких атак, количество возможных кейсов ограничено
А вы в netflow увидите wpad?
Вангую огромное количество фолзов.
Вангую огромное количество фолзов.
e
Достовернее смотреть в сырой трафик, но это не про netflow.
y
nope, не увижу. но увижу netbios запрос и ответ от левой тачки.
e
Увы, но ответ вы не увидите, а предположите, что это он.
y
Увы, но ответ вы не увидите, а предположите, что это он.
ответ (саму коммуникацию) я увижу, но не увижу wpad это или нет
e
Если разбирать прикладной трафик, то можно запоминать у какого хоста какое имя и выявлять аномалии в ответах, но как это будет работать на большом потоке не известно.
y
все верно. но вопрос же не об этом был
y
100% покрытие обеспечит bro framework, ибо он именно прикладной уроввень анализирует.
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
.
e
100% покрытие обеспечит bro framework, ибо он именно прикладной уроввень анализирует.
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
полагаю, ваши кумиры именно его используют, @CatSchrodinger ?
Я спрошу у них)
Я Bro framework-ом не пользовался, нужно посмотреть хоть что это.
А вы не пробовали реализовать свою теорию и попробовать на живом трафике словить эмуляцию атаки?
Я Bro framework-ом не пользовался, нужно посмотреть хоть что это.
А вы не пробовали реализовать свою теорию и попробовать на живом трафике словить эмуляцию атаки?
y
hah, like PoC||GTFO
y
да без проблем, у меня тиммейт сейчас пилит детекты под кербероастинг, может вместе сядем сделаем, поделюсь PoC. но как я уже сказал, источник хреновый, и условия срабатывания ограниченные, так что полезность довольно условная