[Snort-sigs] Snort Alert 1:3003:0 NETBIOS SMB-DS Session Setup NTMLSSP unicode asn1 overflow attempt

Taylor, Graham grahamt at ...2930...
Wed Dec 15 05:14:06 EST 2004


Hi People, I hope you can help me with looking at packets that trigger the
above alert.  I am getting packets that are triggering this alert, although
I can't see where all of the conditions for the trigger exist! It is the
byte test portion I am having trouble identifying. I have broken down the
alert into its separate components as so:

 

 

 

alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS SMB-DS Session
Setup NTMLSSP unicode asn1 overflow attempt";

 

flow:established,to_server; 

 

content:"|00|"; offset:0; depth:1;

 

content:"|FF|SMBs"; distance:3; within:5;

 

byte_test:1,&,128,6,relative;

 

byte_test:4,&,2147483648,48,relative,little;

 

content:!"NTLMSSP"; distance:54; within:7;

 

asn1:double_overflow, bitstring_overflow, relative_offset 54,
oversize_length 2048;

 

reference:bugtraq,9633; reference:bugtraq,9635; reference:cve,2003-0818;
reference:nessus,12052; reference:nessus,12065;
classtype:protocol-command-decode; sid:3003; rev:1;)

 

 

The payload of the packet is included below,  the points confusing me are
the byte_test and the asn1 elements of the trigger. Could anyone point them
out to me or point me at some more reading material.

 

Many thanks 

 

 

Graham

 

 

 

 

 

 

length = 1460
 
000 : 00 00 0B 60 FF 53 4D 42 73 00 00 00 00 18 07 C8   ...`.SMBs.......
010 : 00 00 42 53 52 53 50 59 4C 20 00 00 00 00 FF FE   ..BSRSPYL ......
020 : 00 00 40 00 0C FF 00 60 0B 04 41 32 00 00 00 00   .. at ...552...`..A2....
030 : 00 00 00 BE 0A 00 00 00 00 D4 00 00 A0 25 0B 60   .............%.`
040 : 82 0A BA 06 06 2B 06 01 05 05 02 A0 82 0A AE 30   .....+.........0
050 : 82 0A AA A0 24 30 22 06 09 2A 86 48 82 F7 12 01   ....$0"..*.H....
060 : 02 02 06 09 2A 86 48 86 F7 12 01 02 02 06 0A 2B   ....*.H........+
070 : 06 01 04 01 82 37 02 02 0A A2 82 0A 80 04 82 0A   .....7..........
080 : 7C 60 82 0A 78 06 09 2A 86 48 86 F7 12 01 02 02   |`..x..*.H......
090 : 01 00 6E 82 0A 67 30 82 0A 63 A0 03 02 01 05 A1   ..n..g0..c......
0a0 : 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 04   ......... ......
0b0 : 23 61 82 04 1F 30 82 04 1B A0 03 02 01 05 A1 13   #a...0..........
0c0 : 1B 11 4D 49 43 48 41 45 4C 50 41 47 45 2E 4C 4F   ..MICHAELPAGE.LO
0d0 : 43 41 4C A2 2B 30 29 A0 03 02 01 02 A1 22 30 20   CAL.+0)......"0 
0e0 : 1B 04 63 69 66 73 1B 18 6C 6F 6E 61 64 32 2E 6D   ..cifs..lonad2.m
0f0 : 69 63 68 61 65 6C 70 61 67 65 2E 6C 6F 63 61 6C   ichaelpage.local
100 : A3 82 03 D0 30 82 03 CC A0 03 02 01 17 A1 03 02   ....0...........
110 : 01 2B A2 82 03 BE 04 82 03 BA 20 00 30 8A CE D8   .+........ .0...
120 : 77 CD 10 3F 03 A3 A9 04 FA A5 61 D6 AC D0 50 96   w..?......a...P.
130 : 0F D2 ED 9C F9 BA 0B 7E BB 14 DE E2 AF 30 4E 85   .......~.....0N.
140 : DB D9 2D A3 B2 D0 05 6E 32 62 F0 89 81 31 42 41   ..-....n2b...1BA
150 : 82 B0 85 5B 4E 99 97 02 60 99 FE 22 9A 2B CE BF   ...[N...`..".+..
160 : 74 55 8D E5 60 8D 1B 54 9E 9A 4F E0 73 54 1A 5C   tU..`..T..O.sT.\
170 : 04 BA 6F A1 18 15 28 E3 02 D6 3E AA 0D 84 08 8F   ..o...(...>.....
180 : 36 9D 56 4B 84 C2 7D 6F AD 73 D3 CA A4 C0 03 9A   6.VK..}o.s......
190 : B8 91 39 94 B2 FA 6E ED A1 11 F8 9E 74 68 9E 3F   ..9...n.....th.?
1a0 : 8A A1 38 BA 71 34 E6 67 77 7B C5 1B DD 97 C7 F6   ..8.q4.gw{......
1b0 : 5D 00 B3 FB 00 A6 B9 E6 70 17 26 0B 12 6F 9F 3F   ].......p.&..o.?
1c0 : 74 47 D2 0F 00 54 BB 13 2A AE 42 54 44 A7 D8 88   tG...T..*.BTD...
1d0 : 09 DB 1F 6A A8 E1 80 6E 03 81 82 65 81 1C 0F 6C   ...j...n...e...l
1e0 : 51 95 FE DD 6E A8 2F E2 05 5D 89 02 B0 D3 E7 01   Q...n./..]......
1f0 : 08 F2 EB BB 4B 3F 08 45 F9 53 13 EA FD F9 2A FB   ....K?.E.S....*.
200 : F5 D9 8B FD E5 EA 6D 6A D9 6A 9E 49 8D 3A F1 0E   ......mj.j.I.:..
210 : 59 7A F7 E1 10 E3 28 1D C5 25 A0 23 9D 60 6A EA   Yz....(..%.#.`j.
220 : 19 A7 47 71 F1 FD 43 09 6F C3 F4 6C A3 95 DA 29   ..Gq..C.o..l...)
230 : 4C F5 D4 10 BA 99 C0 B8 2C 97 66 84 10 79 3A CE   L.......,.f..y:.
240 : A3 F6 7C C2 8C 12 48 82 AD 12 D2 57 D1 90 AE 87   ..|...H....W....
250 : 19 60 73 14 5A 64 56 8C AC 96 50 18 3A B5 69 EA   .`s.ZdV...P.:.i.
260 : E2 32 D2 0C 40 15 CB 21 D9 B1 21 6A F9 D3 3E 84   .2.. at ...202...!..!j..>.
270 : 8E 18 68 94 F7 36 63 35 89 8D 78 CD AF 3D 4A 86   ..h..6c5..x..=J.
280 : FD AF 74 12 0E 60 D6 85 43 F4 F0 98 3E D7 59 2D   ..t..`..C...>.Y-
290 : 6B D2 E5 85 E2 32 42 83 12 D3 34 57 CE 31 C6 5F   k....2B...4W.1._
2a0 : 7B 32 DC 3E 36 0E 44 40 BF 14 36 E0 53 83 C3 A5   {2.>6.D at ...2931...
2b0 : DE 80 A9 15 BB 93 F7 61 94 79 33 45 5A 00 0F C3   .......a.y3EZ...
2c0 : 43 97 26 2F 73 76 E1 2E 36 0F EF 7D 91 45 AA C5   C.&/sv..6..}.E..
2d0 : BB EB C4 DE E9 93 27 DF 86 0D 2E AB C2 4F 06 EE   ......'......O..
2e0 : AE F0 A4 D5 27 A5 72 C4 B2 80 A7 D8 DC 35 21 4E   ....'.r......5!N
2f0 : 47 52 E5 6F 7D 49 CA 36 3F B4 19 B0 2A C7 95 64   GR.o}I.6?...*..d
300 : 99 C9 BA F6 FD 34 71 DA B7 57 60 6C F6 32 F0 F3   .....4q..W`l.2..
310 : 40 F2 CE 4E D7 97 4F 39 B9 E4 9A 07 CE 03 09 D2   @..N..O9........
320 : 49 ED ED F8 69 92 60 9B 4E 6D 57 BB 5C C5 B6 A7   I...i.`.NmW.\...
330 : 83 F7 19 7C 24 E2 F3 4E FD 2A 99 26 7F CA CC D0   ...|$..N.*.&...
340 : 66 7D B3 99 DD B8 14 68 E9 AF 5B 0C 5B 1C 5D 6F   f}.....h..[.[.]o
350 : 40 C3 97 16 0A 1B 80 E0 AC 7E 18 C4 75 40 64 68   @........~..u at ...2932...
360 : CE 67 8E B9 25 DA 9A F1 50 6E 55 99 9D 86 97 60   .g..%...PnU....`
370 : C7 46 C7 DC 40 F1 BF FC C5 51 00 F5 F2 43 5A AF   .F.. at ...2933...
380 : A9 81 E0 21 E1 4D A0 1A DC B8 6C 9D 62 D6 5B 32   ...!.M....l.b.[2
390 : 95 97 3C C8 F9 DC 6C BC DE 3F 2E 70 5C 4F 89 67   ..<...l..?.p\O.g
3a0 : B6 F6 E8 F5 45 BE C0 B0 17 C9 E7 DA FB 28 F1 C0   ....E........(..
3b0 : 4A E2 EB B0 52 8A 79 6B 7C 60 CC DF DB 6B 97 04   J...R.yk|`...k..
3c0 : 62 17 F9 86 B7 1E B2 C5 68 AB 15 B9 B7 AC 93 33   b.......h......3
3d0 : C1 71 53 1B B0 0F CB FC 70 1F E9 23 6A 80 90 25   .qS.....p..#j..%
3e0 : F6 36 6B 8C E0 30 04 1B 86 B4 F5 56 7B C7 FA FA   .6k..0.....V{...
3f0 : AA BB 46 4B C4 D6 C4 73 88 07 E4 4C 56 C6 30 56   ..FK...s...LV.0V
400 : 45 55 54 0F AC C9 B6 75 B0 E5 38 EE 5C F2 28 B2   EUT....u..8.\.(.
410 : 18 7B 71 DB 24 C4 74 21 10 BA 9D 0F A9 DE 20 DB   .{q.$.t!...... .
420 : 12 27 F2 CC 26 0A 27 CF BA 20 A5 CB 57 54 5B FE   .'..&.'.. ..WT[.
430 : 37 39 AF 2C F1 96 90 D2 12 14 37 1F 86 48 25 FE   79.,......7..H%.
440 : B2 C0 D2 CF 76 C2 3A 4C 21 13 B5 7D 1B 9A AD 98   ....v.:L!..}....
450 : EB FC 04 05 CE B5 D0 86 FD C6 40 EA 3E 59 F0 6B   .......... at ...180...>Y.k
460 : A1 07 AE 28 B5 E2 9C 88 74 89 4E 6B E9 66 74 56   ...(....t.Nk.ftV
470 : 45 6D 15 EA 5B C6 23 CD 31 AC 79 04 6F 2E 2A CE   Em..[.#.1.y.o.*.
480 : D9 F8 F2 EE 15 5B CE 02 06 84 7D 3C 7A F7 1D 87   .....[....}<z...
490 : 7E E6 94 FD 5A 6D 33 43 70 EA 15 A3 18 99 32 0A   ~...Zm3Cp.....2.
4a0 : 7E 96 7C ED C4 4B 1D FD BF 85 5C 1D AE 8D 9E 99   ~.|..K....\.....
4b0 : CD 08 D3 FB 1A 5A 44 10 23 D5 43 0F A9 5F A3 89   .....ZD.#.C.._..
4c0 : 8F 3F FB 2A AB 88 C9 E2 57 E0 1A AE CD 14 CF 46   .?.*....W......F
4d0 : 0C F0 52 98 A4 82 06 25 30 82 06 21 A0 03 02 01   ..R....%0..!....
4e0 : 17 A2 82 06 18 04 82 06 14 97 37 44 9A FC 48 DB   ..........7D..H.
4f0 : ED C6 69 74 A7 D7 46 9B 69 DA 54 32 9E DF A5 3D   ..it..F.i.T2...=
500 : F5 3A D3 24 62 C3 8B 6E 69 A3 0B 34 FE CC 09 19   .:.$b..ni..4....
510 : 3A FA 55 AC EE 62 C1 53 DB 9E 14 EB 04 55 6A DB   :.U..b.S.....Uj.
520 : 8D 88 B3 13 96 77 C8 37 28 55 23 E6 FD E0 7E 4B   .....w.7(U#...~K
530 : 8E D7 04 E1 A2 CC 05 CD D7 5C EE ED 96 69 92 3D   .........\...i.=
540 : ED 22 C0 D1 99 20 5C EA CF E1 E0 A4 18 1B 1C E8   ."... \.........
550 : DF 93 7C E7 3B 0C 57 6C 6E 8D 1C 87 87 21 F2 49   ..|.;.Wln....!.I
560 : 4A 38 BE 90 48 15 24 CA 59 2C 73 2D 59 9A E4 C3   J8..H.$.Y,s-Y...
570 : A9 6B 5C EE 1B 4D 2B 2C C5 4F 1C 36 DF 2D 97 3C   .k\..M+,.O.6.-.<
580 : AC 1B 98 92 77 C3 72 71 FA C6 3F 2C C1 F7 F2 BB   ....w.rq..?,....
590 : F8 04 54 97 C0 40 37 3F B3 FC 69 F3 17 1C C7 2D   ..T.. at ...2120...?..i....-
5a0 : 92 87 54 F7 D5 80 DC 4E CD 58 26 0F B3 EB 8E B2   ..T....N.X&.....
5b0 : A5 49 9A 36                                       .I.6

 

 

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-sigs/attachments/20041215/a6581888/attachment.html>


More information about the Snort-sigs mailing list