Re: [Snort-sigs] Snort Signatures for LSD-PL.NET Exploit

From: Michael Scheidell (scheidellat_private)
Date: Tue Mar 11 2003 - 05:20:27 PST
Next message: Brad Arlt: "Re: CANADA.EXE program"
Previous message: Arjan Hulsebos: "Unknown attack, possible trojan?"
In reply to: Loki: "Snort Signatures for LSD-PL.NET Exploit"
Next in thread: Martin Roesch: "Re: [Snort-sigs] Snort Signatures for LSD-PL.NET Exploit"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
> 
> We agree with the views of Mike Poor. We do considder the use of depth
> and offsets in IDS signatures to be dangerous. Once attackers start to
> see IDS' looking for specific characters within the packets at a certain
> depth or offset, they can simply move them to a new location within the
> packet.
> 
> Our signatures haven't seemed to produce any false positives as of yet.
> Our paper will be released shortly from here at SANS 2003.

Kinda wondering if we can't get different sids for offical snort sigs
and yours.

Even though it looks like this was triggered by the official snort rules,
it would also have triggered yours..
(so, even the snort sigs with distance and depth and additional checks in
it seemed to trigger this one, but I am at a loss as to why)

> +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
> SNORT signatures from research
> +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
> 
> 
> alert tcp any any > $SMTP_SERVERS 25 (msg:"LSD-PL.NET Sendmail Buffer
> Overflow (1)";\
> flow: to_server; content:"|3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E|";\
> flag: A+; nocase;reference:cve,CAN-2002-1337;\
> classtype:attempted-admin; sid:2087;rev:1;)
> 

------------------------------------------------------------------------------
#(2 - 72921) [2003-03-10 22:16:35] [snort/2087]  SMTP From comment overflow
IPv4: 61.166.111.106 -> 0.0.0.0
      hlen=5 TOS=0 dlen=1500 ID=10391 flags=2 offset=0 TTL=47 chksum=25777
TCP:  port=58448 -> dport: 25  flags=***A**** seq=2384370835
      ack=2005365732 off=8 res=0 win=6432 urp=0 chksum=42532
Payload:  length = 1448

000 : 52 65 63 65 69 76 65 64 3A 20 66 72 6F 6D 20 74   Received: from t
010 : 61 69 70 65 69 6C 69 6E 6B 2E 6E 65 74 20 28 64   aipeilink.net (d
020 : 6F 63 73 69 73 31 33 30 2D 37 2E 6D 65 6E 74 61   ocsis130-7.menta
030 : 2E 6E 65 74 20 5B 36 32 2E 35 37 2E 31 33 30 2E   .net [62.57.130.
040 : 37 5D 29 0D 0A 09 62 79 20 6C 6F 63 61 6C 68 6F   7])...by localho
050 : 73 74 2E 6C 6F 63 61 6C 64 6F 6D 61 69 6E 20 28   st.localdomain (
060 : 38 2E 39 2E 33 2F 38 2E 38 2E 37 29 20 77 69 74   8.9.3/8.8.7) wit
070 : 68 20 45 53 4D 54 50 20 69 64 20 47 41 41 30 31   h ESMTP id GAA01
080 : 32 33 33 3B 0D 0A 09 54 75 65 2C 20 31 31 20 4D   233;...Tue, 11 M
090 : 61 72 20 32 30 30 33 20 30 36 3A 30 32 3A 35 37   ar 2003 06:02:57
0a0 : 20 2B 30 38 30 30 0D 0A 4D 65 73 73 61 67 65 2D    +0800..Message-
0b0 : 49 44 3A 20 3C 30 30 30 30 34 31 36 36 34 36 37   ID: <00004166467
0c0 : 30 24 30 30 30 30 31 31 62 64 24 30 30 30 30 35   0$000011bd$00005
0d0 : 66 34 33 40 6D 31 2E 64 6E 73 69 78 2E 63 6F 6D   f43at_private
0e0 : 3E 0D 0A 54 6F 3A 20 3C 6A 6B 6E 69 67 68 74 40   >..To: <jknight@
0f0 : 63 75 72 61 67 65 6E 2E 63 6F 6D 3E 2C 20 3C 73   victim1.com>, <s
100 : 74 61 72 5F 74 72 65 6B 40 73 77 62 65 6C 6C 2E   victim22@swbell.
110 : 6E 65 74 3E 2C 20 3C 73 62 65 73 73 6F 6E 65 74   net>, <victim222
120 : 74 65 40 65 61 72 74 68 6C 69 6E 6B 2E 63 6F 6D   teat_private
130 : 3E 2C 0D 0A 20 20 20 20 20 20 20 20 3C 74 77 65   >,..        <jjj
140 : 65 74 31 36 79 40 61 6F 6C 2E 63 6F 6D 3E 0D 0A   et16yat_private>..
150 : 46 72 6F 6D 3A 20 22 70 61 75 6C 61 22 20 3C 70   From: "paula" <p
160 : 69 6E 6B 61 73 40 6C 61 70 6F 73 74 65 2E 6E 65   inkasat_private
170 : 74 3E 0D 0A 53 75 62 6A 65 63 74 3A 20 48 61 73   t>..Subject: Has
180 : 20 59 6F 75 72 20 49 64 65 6E 74 69 74 79 20 42    Your Identity B
190 : 65 65 6E 20 53 74 6F 6C 65 6E 20 20 20 28 73 6E   een Stolen   (sn
1a0 : 64 73 6B 6E 29 0D 0A 44 61 74 65 3A 20 53 75 6E   dskn)..Date: Sun
1b0 : 2C 20 31 34 20 4A 75 6C 20 32 30 30 32 20 30 36   , 14 Jul 2002 06
1c0 : 3A 32 33 3A 34 34 20 2D 31 39 30 30 0D 0A 4D 49   :23:44 -1900..MI
1d0 : 4D 45 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30 0D   ME-Version: 1.0.
1e0 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
1f0 : 65 78 74 2F 70 6C 61 69 6E 3B 0D 0A 09 63 68 61   ext/plain;...cha
200 : 72 73 65 74 3D 22 57 69 6E 64 6F 77 73 2D 31 32   rset="Windows-12
210 : 35 32 22 0D 0A 43 6F 6E 74 65 6E 74 2D 54 72 61   52"..Content-Tra
220 : 6E 73 66 65 72 2D 45 6E 63 6F 64 69 6E 67 3A 20   nsfer-Encoding: 
230 : 37 62 69 74 0D 0A 52 65 70 6C 79 2D 54 6F 3A 20   7bit..Reply-To: 
240 : 66 75 68 72 6D 61 6E 6E 40 6C 69 62 65 72 6F 6D   fuhrmann@liberom
250 : 61 69 6C 2E 63 6F 6D 0D 0A 58 2D 4D 61 69 6C 65   ail.com..X-Maile
260 : 72 3A 20 41 4F 4C 20 35 2E 30 20 66 6F 72 20 57   r: AOL 5.0 for W
270 : 69 6E 64 6F 77 73 20 73 75 62 20 31 33 38 0D 0A   indows sub 138..
280 : 0D 0A 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   ..<><><><><><><>
290 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
2a0 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
2b0 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 0D 0A   <><><><><><><>..
2c0 : 42 72 61 6E 64 2D 4E 65 77 20 56 45 52 53 49 4F   Brand-New VERSIO
2d0 : 4E 20 38 2E 32 20 4A 75 73 74 20 52 65 6C 65 61   N 8.2 Just Relea
2e0 : 73 65 64 3A 0D 0A 41 73 74 6F 75 6E 64 69 6E 67   sed:..Astounding
2f0 : 20 4E 65 77 20 53 6F 66 74 77 61 72 65 20 4C 65    New Software Le
300 : 74 73 20 59 6F 75 20 46 69 6E 64 0D 0A 4F 75 74   ts You Find..Out
310 : 20 41 6C 6D 6F 73 74 20 41 4E 59 54 48 49 4E 47    Almost ANYTHING
320 : 20 61 62 6F 75 74 20 41 4E 59 4F 4E 45 2E 2E 2E    about ANYONE...
330 : 0D 0A 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   ..<><><><><><><>
340 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
350 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
360 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 0D 0A   <><><><><><><>..
370 : 0D 0A 44 6F 77 6E 6C 6F 61 64 20 69 74 20 72 69   ..Download it ri
380 : 67 68 74 20 6E 6F 77 20 28 6E 6F 20 63 68 61 72   ght now (no char
390 : 67 65 20 63 61 72 64 20 6E 65 65 64 65 64 29 3A   ge card needed):
3a0 : 0D 0A 0D 0A 2A 20 46 6F 72 20 74 68 65 20 62 72   ....* For the br
3b0 : 61 6E 64 2D 6E 65 77 20 56 45 52 53 49 4F 4E 20   and-new VERSION 
3c0 : 38 2E 32 2C 20 77 69 74 68 20 61 63 63 65 73 73   8.2, with access
3d0 : 20 74 6F 20 2A 2A 20 0D 0A 2A 2A 2A 20 32 30 30    to ** ..*** 200
3e0 : 2B 20 6D 69 6C 6C 69 6F 6E 20 72 65 63 6F 72 64   + million record
3f0 : 73 20 6F 6E 20 55 2E 53 2E 20 63 69 74 69 7A 65   s on U.S. citize
400 : 6E 73 20 61 6C 6F 6E 65 2C 20 2A 2A 2A 2A 20 0D   ns alone, **** .
410 : 0A 2A 20 63 6C 69 63 6B 20 68 65 72 65 3A 20 2A   .* click here: *
420 : 2A 20 0D 0A 0D 0A 3C 61 20 68 72 65 66 3D 22 68   * ....<a href="h
430 : 74 74 70 3A 2F 2F 32 30 30 2E 31 36 30 2E 32 35   ttp://200.160.25
440 : 33 2E 32 34 35 2F 66 72 65 65 68 74 2F 6C 76 32   3.245/freeht/lv2
450 : 78 2E 68 74 6D 6C 22 3E 0D 0A 68 74 74 70 3A 2F   x.html">..http:/
460 : 2F 32 30 30 2E 31 36 30 2E 32 35 33 2E 32 34 35   /200.160.253.245
470 : 2F 66 72 65 65 68 74 2F 6C 76 32 78 2E 68 74 6D   /freeht/lv2x.htm
480 : 6C 20 3C 2F 61 3E 0D 0A 0D 0A 44 69 73 63 6F 76   l </a>....Discov
490 : 65 72 20 45 56 45 52 59 54 48 49 4E 47 20 79 6F   er EVERYTHING yo
4a0 : 75 20 65 76 65 72 20 77 61 6E 74 65 64 20 74 6F   u ever wanted to
4b0 : 20 6B 6E 6F 77 20 61 62 6F 75 74 3A 0D 0A 0D 0A    know about:....
4c0 : 2A 20 79 6F 75 72 20 66 72 69 65 6E 64 73 0D 0A   * your friends..
4d0 : 2A 2A 20 79 6F 75 72 20 66 61 6D 69 6C 79 0D 0A   ** your family..
4e0 : 2A 2A 2A 20 79 6F 75 72 20 65 6E 65 6D 69 65 73   *** your enemies
4f0 : 0D 0A 2A 20 79 6F 75 72 20 65 6D 70 6C 6F 79 65   ..* your employe
500 : 65 73 0D 0A 2A 2A 20 79 6F 75 72 73 65 6C 66 20   es..** yourself 
510 : 2D 20 49 73 20 53 6F 6D 65 6F 6E 65 20 55 73 69   - Is Someone Usi
520 : 6E 67 20 59 6F 75 72 20 49 64 65 6E 74 69 74 79   ng Your Identity
530 : 3F 0D 0A 2A 2A 2A 20 65 76 65 6E 20 79 6F 75 72   ?..*** even your
540 : 20 62 6F 73 73 21 0D 0A 0D 0A 7E 20 20 44 49 44    boss!....~  DID
550 : 20 59 4F 55 20 4B 4E 4F 57 20 79 6F 75 20 63 61    YOU KNOW you ca
560 : 6E 20 73 65 61 72 63 68 20 66 6F 72 20 41 4E 59   n search for ANY
570 : 4F 4E 45 2C 20 41 4E 59 54 49 4D 45 2C 0D 0A 41   ONE, ANYTIME,..A
580 : 4E 59 57 48 45 52 45 2C 20 72 69 67 68 74 20 6F   NYWHERE, right o
590 : 6E 20 74 68 65 20 49 6E 74 65 72 6E 65 74 3F 20   n the Internet? 
5a0 : 7E 7E 0D 0A 0D 0A 44 6F                           ~~....Do

-- 
Michael Scheidell, CEO
SECNAP Network Security, LLC 
Sales: 866-SECNAPNET / (1-866-732-6276)
Main: 561-368-9561 / www.secnap.net
Looking for a career in Internet security?
http://www.secnap.net/employment/

----------------------------------------------------------------------------

<Pre>Lose another weekend managing your IDS?
Take back your personal time.
15-day free trial of StillSecure Border Guard.</Pre>
<A href="http://www.securityfocus.com/stillsecure"> http://www.securityfocus.com/stillsecure </A>
Next message: Brad Arlt: "Re: CANADA.EXE program"
Previous message: Arjan Hulsebos: "Unknown attack, possible trojan?"
In reply to: Loki: "Snort Signatures for LSD-PL.NET Exploit"
Next in thread: Martin Roesch: "Re: [Snort-sigs] Snort Signatures for LSD-PL.NET Exploit"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Tue Mar 11 2003 - 09:45:40 PST