...
Рекомендуемые открытые источники обновления правил
SSL Blacklist
Чёрный список SSL (SSLBL) — это проект abuse.ch, целью которого является обнаружение вредоносных SSL-соединений путём идентификации и внесения в чёрный список SSL-сертификатов, используемых серверами управления ботнетами.
https://sslbl.abuse.ch/blacklist/sslblacklist_tls_cert.rules
...
Вы можете использовать набор правил SSL-сертификатов от SSLBL для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка SSL-сертификата.
Набор правил SSL-сертификатов генерируется каждые 5 минут. Пожалуйста, не запрашивайте его чаще, чем раз в 5 минут.
...
...
blacklist/ja3_fingerprints.rules
Вы можете использовать набор правил JA3 FingerprintRuleset от SSLBL для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка JA3.
Набор правил для отпечатков пальцев Suricata JA3 генерируется каждые 5 минут. Пожалуйста, не запрашивайте его чаще, чем раз в 5 минут.
| Предупреждение | ||
|---|---|---|
| ||
Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов, с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний! |
Feodo Tracker
Feodo Tracker — это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot / Qbot) и BazarLoader (также известным как BazarBackdoor).
...
...
...
...
...
...
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules
...
Правила, детектирующие поведение хоста после успешно проведенных атак.
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules
...
Вы можете использовать этот набор правил для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта).
Набор правил генерируется каждые 5 минут. Мы рекомендуем обновлять набор правил IDS не реже чем каждые 15 минут (а лучше — каждые 5 минут), чтобы обеспечить наилучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.
| Примечание |
|---|
Поскольку IP-адреса перерабатываются и используются повторно, в этот список блокировки входят только C2-серверы ботнетов, которые либо активны, либо в последний раз использовались в течение последних 30 дней. Таким образом, процент ложных срабатываний в этом списке блокировки должен быть низким. |
https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules
Если вы хотите получить полный список всех C2-серверов ботнетов, которые когда-либо видел Feodo Tracker, вы можете воспользоваться набором правил IDS, приведённым выше. Однако, поскольку IP-адреса повторно используются, количество ложных срабатываний в этом наборе данных намного выше.
| Предупреждение | ||
|---|---|---|
| ||
Настоятельно не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания. |
Travis Green
Набор правил для поиска угроз от специалиста по кибер безопасности Тревиса Грина
https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules
Etnetera Core
Набор правил с "агрессивными" ip-адресами от центра кибер безопасности компании Etnetera Core
https://security.etnetera.cz/feeds/etn_aggressive.rules
| Scroll Pagebreak |
|---|
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети
| Scroll Pagebreak |
|---|
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети:
| Блок кода |
|---|
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit |
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# object-group bridgenetwork 1LAN esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-ipsobject-group-network)# loggingip remote-serverprefix 192.168.101.10/24 esr(config-ips)# logging update-interval 15 esr(config-ips)# policy OFFICE esr(config-ips)# enable |
...
object-group-network)# exit |
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# domain lookup enable esr(config)# perfomance max |
| Scroll Pagebreak |
|---|
...
domain nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# auto-upgrade esr(config-auto-upgrade)# user-server ET-Opensecurity ips policy OFFICE esr(config-ips-upgrade-user-serverpolicy)# description "emerging threats open rulesMy Policy" esr(config-ips-upgrade-user-serverpolicy)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exitprotect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# bridge 1
esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-auto-upgradeips)# logging userremote-server Aggressive192.168.10.1 esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"logging update-interval 15 esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rulespolicy OFFICE esr(config-ips)# enable |
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
| Блок кода |
|---|
-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# perfomance max |
| Scroll Pagebreak |
|---|
Настроим автообновление правил с сайтов etnetera.cz и Abuse.ch:
| Блок кода |
|---|
enable esr(config-ips-upgrade-user-server)# exitauto-upgrade esr(config-auto-upgrade)# user-server SSL-BlackListAggressive esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist" esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2 IPSSL Blacklist" esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit |
...