Snort规则用于检测Meterpreter会话

Question

我正在学习如何配置Snort，我的设置由攻击者(Linux)、受害者(Android智能手机)和一个检测系统(IDS)组成。到目前为止，我已经能够记录攻击者和受害者之间的所有数据包，包括Meterpreter会话。如果我想要检测Meterpreter会话，我应该做什么/研究？一个小的数据包分析给了我一个六角形值的堆垛机。所使用的有效载荷是android/meterpreter/reverse_tcp。

我想要创建一个规则文件来检测这两个设备之间的Meterpreter会话。我该怎么做？如果有人给我指明正确的方向，那将是很有帮助的。谢谢!

Answer 1

我会检查新出现的威胁的规则。

https://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules

搜索Meterpreter，您可以看到至少50个不同的sigs示例，它们在不同的阶段和攻击的变化中检测到Meterpreter。