security onion 악성코드가 아니지만 악성코드처럼 보여서 룰에 탐지되는 것에 대하여 룰 수정

---해보지는말고 이런게 있으니까 다음에 써먹자

 

 

 

 

 

악성코드가 아닌데

악성코드처럼 보며서(룰에 위반되서 탐지된 패킷)

트래픽한번보기

 

악성코드는 구하기가힘들어서 하는방법만이라도 알아보자

 

 

 

 

대표적으로 이렇게 룰에 걸려서 할수있던것이

 

공인인증서 inis60

 

이게  보안프로그램이지만

 

악성코드로 출력이되서

해보려했지만

리눅스에서는 지원을하지않아 테스트를 해볼수가없다.

하지만 확인이라도해보자.

 

efamily.scourt.go.kr

주소

 

 

 

 

 

 

 

 

security onion squert 접속

 

 

 

 

이걸탐지하는 룰은

 

 

 

 

=====없으면 하면된다.

 

 

sudo apt-get update

 

sudo apt-get install gedit           (gedit 다운)

 

 

 

====

 

 

cd /etc/nsm/rules

 

gedit downloaded.rules

 

 

 

User-agent 로 찾는것이다

 

 

 

 

 

 

 

 

capme  툴을 사용해서

 

wireshark 볼수 있는

 

pcap파일을 받을려고했는데

 

capme 다운 오류가 나기떄문에

 

다른 방법으로 한번 판단을해본다

 

 

그로그의 위치가

 

/nms/sensor_data/tak-~~~eht1/dailylogs/날짜

 

 

 

 

 

 

 

 

 

 

network miner  들어가기

 

 

file manager->>

/nms/sensor_data/tak-~~~eht1/dailylogs/날짜

 

 

 

 

 

 

 

 

이런식으로 해서 넣어본다 ...

 

 

 

 

 

 

 

 

 

 

 

 

이런식으로 패킷을 넣었는데

Files를 누르자

 

 

어떠한 패킷이 왔다갔다했는지 검색을해서 찾아볼수가있다.

 

 

 

 

 

 

 

 

이렇게

jpg도 볼수가있고  오른쪽 클릭을하면

 

 

 

 

open folder를 하면

 

 

 

 

 

 

 

이런식으로 파일의 위치가 어딨는지도 알수있다

 

 

cd /etc/nsm/rules

 

gedit downloaded.rules

 

이곳에 control+f 로 검색을해보면

 

그내용을 바꾸면 이제 저 룰에 걸리지않는다는것을 알수있다

 

 

 

 

 

 

 

 

 

 

 

 

                   저룰에 걸리지않게 이제 내용을 바꾸려면 이곳으로이동한다

 

                         threshold.conf 파일위치

 

sudo vi /etc/nsm/tak-virtual-machine-eth1/threshold.conf

 

                         (예외처리를해서 저 png파일이 룰에 걸리지않게 만든다.)

 

 

suppress gen_id 1, sig_id 2007943, track by_dst, ip 211.241.67.100

 

:wq!                   저장

                           오탐에 대해 예외 처리를 하는것이라는걸 알자

 

 

 

 

 

 

 

sudo rule-update             룰을 업데이트 해준다

 

 

 

 

 

악성코드로 예를 들지는 못했지만

 

이런식으로 만약에 룰에의해 탐지가됬을떄

그것이 악성코드가 아니라면 이렇게 변경을해서

오탐이 안나게만들수가있는것이다.

 

 

 

---해보지는말고 이런게 있으니까 다음에 써먹자