Snort

Disponível somente no TrabalhosFeitos
  • Páginas : 8 (1893 palavras )
  • Download(s) : 0
  • Publicado : 25 de março de 2013
Ler documento completo
Amostra do texto
Detecção do Malware Conficker com Snort
Evandro Costa1, Fausto Levandoski1, Guilherme Hoescher1, Vanessa Fernandes1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 – 93.022-000 – São Leopoldo– RS – Brasil
evandrorsc@hotmail.com, {farole, guinhog}@gmail.com, vanessavrf@hotmail.com
1

Abstract. This article aims to demonstrate thebehavior of the IDS Snort in detection of the malware Conficker, detailing the structure and functioning of the Worm and finally to explain how the Snort alert him based on a given signatures. Resumo. Este artigo tem por objetivo demonstrar o comportamento do IDS Snort na detecção do Malware Conficker, detalhalhando a estrutura e funcionamento deste Worm e por fim explicar o modo como o Snort oalerta baseado em uma determinada assinatura. Palavras-chave: Malware, Conficker, IDS, assinatura.

1. Introdução
Todo o ano cresce o número de incidentes de segurança relacionados a empresas e usuários domésticos, gerando prejuízo para as mesmas. Entre eles estão roubo de informações, senhas de banco, cartões de crédito, alteração e uso indevido de dados coletados sem consentimento, espionagem,chantagem, motivações religiosas e terroristas, concorrência desleal ou até mesmo uma simples brincadeira de adolescente. As técnicas para tais crimes virtuais são inúmeros, em sua maior parte são realizadas sem que a vítima perceba que está sendo lesada. Mas então como se prevenir? Ferramentas antivírus, atualizações do sistema operacional, antispyware já não são suficientes. Algumas delas nãoconseguem detectar novas pragas virtuais, pois a arquitetura e funcionamento destas estão cada vez mais elaborados para se ocultarem dentro dos sistemas operacionais, programas, etc. As ferramentas de detecção de intrusão (IDS) auxiliam nestas descobertas, alertando o administrador da rede de que algo estranho pode estar ocorrendo e que pode ser um possível ataque. No estudo a seguir o exemplo édado através do Malware Conficker que infectou milhões de máquinas no mundo inteiro causando lentidão nas redes coorporativas, alto consumo de CPU de servidores, bloqueio ao acesso de páginas antivírus e atualizações de softwares, entre outros transtornos. Na sessão 2 deste artigo serão descritos Malwares e IDS, na sessão 3 será abordado o funcionamento do Malware conficker, formas de propagação eseus objetivos. Na sessão 4 será comentada uma breve estrutura do IDS Snort bem como a

assinatura existente para detecção do Conficker, como ela o identifica e o alerta de forma mais detalhada. Na sessão 5 será desmonstrado o estudo do caso. Por fim, na sessão 6 será mostrada a conclusão.

2. Descrição de Malwares e IDS
Malwares são programas com códigos maliciosos projetados para executarações danosas em um ou mais computadores alheios de forma ilícita. Dentre eles estão os vírus, cavalos de tróia, spywares, bakcdoors, keyloggers, worms, bots e rootkits. Os programas de malware destrutivos utilizam ferramentas conhecidas de comunicação para se propagarem. Por exemplo, worms enviados por e-mail e mensagens instantâneas, Cavalos de Tróia provenientes de websites e arquivos infectadoscom vírus obtidos por download. O malware também tenta explorar as vulnerabilidades existentes nos programas e sistemas operacionais, tornando sua entrada discreta e fácil. O Malware foi desenvolvido com a intenção de permanecer despercebido, ocultando-se ativamente ou simplesmente não se fazendo notar em um sistema conhecido pelo usuário [1, 2]. Com essa preocupação, a partir de observaçõesrealizadas por estudiosos, é que surgiram os IDS (Sistema de detecção de Intrusão) com a finalidade de monitorar a rede, atividades maliciosas no sistema ou violações de políticas em busca de possíveis incidentes de segurança, produzindo relatórios e enviando alertas aos administradores de redes, o que antes era feito manualmente, através da leitura de logs, eventos, etc. As técnicas de detecção que...
tracking img