<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-sigs] RE: [Snort-users] Who doesn't care about virus rules, and why?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Pardon me.. I don't usually post in the open, and I am slightly out of the loop on this thread... </FONT>
</P>

<P><FONT SIZE=2>Is there a problem with a correct signature for Welchia? I have been using the Webdav Nessus Safe Scan signature to great success. The network that I watch is quite large, and when I detect via Webdav attempt (one of welchia's attack vectors), it is always correct. </FONT></P>

<P><FONT SIZE=2>I have detected almost every major worm with Snort, and it has played a great role. </FONT>
</P>

<P><FONT SIZE=2>Again, if I am out of step on this thread, I apologize, but your statement about correct signatures Welchia got me. </FONT>
</P>

<P><FONT SIZE=2>Regards,</FONT>
</P>

<P><FONT SIZE=2>James Lohman</FONT>
<BR><FONT SIZE=2>Lead Network Security Analyst</FONT>
<BR><FONT SIZE=2>ACS IS-Team, x7771</FONT>
</P>

<P><FONT SIZE=2>"Network penetration is network engineering, in reverse." </FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Williams Jon [<A HREF="mailto:WilliamsJonathan@...843.....2134...">mailto:WilliamsJonathan@...2134...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, November 06, 2003 7:36 AM</FONT>
<BR><FONT SIZE=2>To: kenw@...10492...; snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Cc: snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-sigs] RE: [Snort-users] Who doesn't care about virus</FONT>
<BR><FONT SIZE=2>rules, and why?</FONT>
</P>
<BR>

<P><FONT SIZE=2>While I agree that IDS plays a role in tracking down virus-infected machines, I have to agree that most of the rules specifically written to detect virus traffic aren't of much use.  My reasons, though, are probably different from what others think.</FONT></P>

<P><FONT SIZE=2>Over the past several months, I've been amazed at the amount of time spent trying to come up with the "correct" signature for Blaster/Welchia/whatever.  While it is true that we can write fairly specific rules to detect these things, those specific rules will almost never trigger, particularly in a large network that is only sparsely populated.</FONT></P>

<P><FONT SIZE=2>The majority of worms that I've seen, with the notable exception of SQLSlammer, are TCP-based.  They also use a randomization technique to spread beyond their local subnet.  What this ends up meaning is that something like 90% of the time (in networks I monitor), the worm tries to connect to non-existant or unreachable IP addresses.  In these cases, if you're only looking for the worm-specific data within the session, your rules won't trigger - all that passes the sensor (if anything) is the TCP SYN packet and maybe a TCP RST.</FONT></P>

<P><FONT SIZE=2>What we've ended up doing is monitoring the default route path for our network and watching for either TCP SYNs that are going places they shouldn't or TCP RST packets generated either by the firewall or the odd host that is actually hit.  With thresholding, we can generate fairly useful alerts in cases where, in Blaster's case, one source address sends out TCP port 135 SYN packets to more than X number of hosts in Y period of time.  This is so reliable, in nearly every case we've used it on, that we are able to auto-generate email alerts that go to someone else to actually _deal_ with the problem rather than making the IDS staff track down and call each victim independantly.</FONT></P>

<P><FONT SIZE=2>Of course, we also have content-specific rules, but they rarely fire and the don't catch varients.  The thresholded behaviour rules have been catching both varients of what we were trying to find and propegation activity from worms we didn't know about.</FONT></P>

<P><FONT SIZE=2>So, to answer your question, if you've got a place where all your junk traffic goes (i.e. your main Internet connection) _and_ you don't allow the protocol out, such as with MSRPC stuff on 135, 137, 139, 445, etc., run a simple set of rules looking for those SYN packets outbound and use the thresholding thing if you can.  I think you'll find it more useful than the virus.rules.</FONT></P>

<P><FONT SIZE=2>Good luck.</FONT>
</P>

<P><FONT SIZE=2>Jon</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: kenw@...10492... [<A HREF="mailto:kenw@...10544.....">mailto:kenw@...10492...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Wednesday, November 05, 2003 9:45 PM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Who doesn't care about virus rules, and why?</FONT>
</P>
<BR>

<P><FONT SIZE=2>The header of virus.rules says:</FONT>
</P>

<P><FONT SIZE=2>># NOTE: These rules are NOT being actively maintained.</FONT>
<BR><FONT SIZE=2><snip></FONT>
<BR><FONT SIZE=2>># These rules are going away.  We don't care about virus rules anymore.</FONT>
</P>

<P><FONT SIZE=2>Who are "we", and what makes them think these rules aren't important?</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: SF.net Giveback Program.</FONT>
<BR><FONT SIZE=2>Does SourceForge.net help you be more productive?  Does it</FONT>
<BR><FONT SIZE=2>help you create better code?   SHARE THE LOVE, and help us help</FONT>
<BR><FONT SIZE=2>YOU!  Click Here: <A HREF="http://sourceforge.net/donate/" TARGET="_blank">http://sourceforge.net/donate/</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-sigs mailing list</FONT>
<BR><FONT SIZE=2>Snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A></FONT>
</P>

</BODY>
</HTML>