Tecnologías Libres - SegInf Informa

Hoy: 09 / 02 / 2012

Inicio

Noticias

SegInf Informa

Principal

Profesional

Blog:

Topics:

Software Libre, IT, Open Source

Join my network

SegInf Informa

escrito por SoftwareLibre.Net

miércoles, 08 de abril de 2009

Como parte del esfuerzo para prevenir el mayor daño posible proveniente del famoso gusano Conficker, AlienVault emitió esta dirección hacia el público en general. Originalmente este tipo de informacion se habia dado como parte de una suscripción, pero sentimos la necesidad de hacerla públicamente disponible, para que los usuarios de OSSIM puedan detectarlo y protegerse.

Este gusano tiene un comportamiento aleatorio e impredecible por lo que es muy difícil encontrar una constante, y tenemos que asumir en un 100% su comportamiento en algoritmos de detección de anomalías. Esta directiva busca la comunicación de los servidores hacia diferentes servidores vía udp, usando un puerto de recursos mezclado, de esta manera podemos controlar el comportamiento del mimmick Conficker's p2p.

Puede agregar la directiva o copiar y pegar el código escrito a continuación en cualquiera de sus archivos de dirección xml:

<rule type="detector" name="Peer Scanning" reliability="1"

occurrence="1" from="ANY" to="ANY" port_from="ANY"

port_to="ANY" plugin_id="1104" plugin_sid="1,3" protocol="UDP">

<rules>

<rule type="detector" name="Peer Scanning" reliability="+1" time_out="7" occurrence="10"

from="1:SRC_IP" to="ANY" port_from="1:SRC_PORT" port_to="ANY"

plugin_id="1104" plugin_sid="1,3" sticky="true"

sticky_different="DST_IP" protocol="UDP">

<rules>

<rule type="detector" name="Peer Scanning" reliability="+1" time_out="20" occurrence="30"

from="1:SRC_IP" to="ANY" port_from="1:SRC_PORT" port_to="ANY"

plugin_id="1104" plugin_sid="1,3" sticky="true"

sticky_different="DST_IP" protocol="UDP">

<rules>

<rule type="detector" name="Peer Scanning" reliability="+2" time_out="100" occurrence="90"

from="1:SRC_IP" to="ANY" port_from="1:SRC_PORT" port_to="ANY"

plugin_id="1104" plugin_sid="1,3" sticky="true"

sticky_different="DST_IP" protocol="UDP">

<rules>

<rule type="detector" name="Peer Scanning" reliability="+3" time_out="3600" occurrence="2000"

from="1:SRC_IP" to="ANY" port_from="1:SRC_PORT" port_to="ANY"

plugin_id="1104" plugin_sid="1,3" sticky="true"

sticky_different="DST_IP" protocol="UDP"/>

</rules>

</rule>

</rules>

</rule>

</rules>

</rule>

</rules>

</rule>

</directive>

La liga a la página de OSSIM, es la siguiente: http://www.ossim.net/news.php#89

Acerca de SegInf

SegInf es una empresa mexicana, especializada en brindar servicios profesionales de alto nivel para la administración de riesgos informáticos.

Sus especialistas han sido reconocidos como líderes en las distintas áreas de seguridad de la información, la planificación estratégica y en la auditoria de computación. Participan activamente en organizaciones profesionales que impulsan el desarrollo de las tareas de control de las tecnologías de información tales como ISC2, ISACA y ALAPSI, entre otras.

Es representante de varias marcas y entre las principales se encuentran AlienVault.

Para mayores informes favor de consultar la página web: www.seginf.com o a los teléfonos: +52 55 57528857

####

Todos los nombres de productos y marcas en el presente comunicado, son marcas registradas, propiedad de sus respectivas firmas.

Este comunicado de prensa contiene estatutos de seguimiento que involucran riesgos e inexactitudes que pueden causar resultados diferentes a las expectativas actuales. Estos riesgos e inexactitudes incluyen, sin limitación, el tiempo esperado y los beneficios de las transacciones propuestas, así como el riesgo y las inexactitudes del tiempo establecido por cada compañía que contrate los servicios. La compañía específicamente se desliga de cualquier responsabilidad, cuando esos estatutos de seguimiento cambien.

©SegInf es una marca registrada, así como su logotipo, los servicios y beneficios que ofrece.

Fuente: www.alcancelibre.org