Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Автоматизация построения правил для Approof

Positive Development User Group
September 25, 2017
Programming
0
42

Автоматизация построения правил для Approof

Доклад Дениса Ефремова (ИСП РАН), посвященный написанию правил для утилиты Approof, на PHDays VII.

Positive Development User Group

September 25, 2017
Tweet

More Decks by Positive Development User Group

See All by Positive Development User Group
JavaScript: анализируем динамику статикой
pdugslides
0
28
SAST, CWE, SEI CERT и другие умные слова из мира информационной безопасности
pdugslides
0
180
Уязвимости в процессе десериализации в .NET: прошлое, настоящее и будущее
pdugslides
0
34
Даром преподаватели время со мною тратили…
pdugslides
0
68
Как создать GDPR-compliant-продукт
pdugslides
0
50
Актуальные вопросы безопасности Android-приложений
pdugslides
1
100
Конвейер непрерывной проверки приложений на безопасность
pdugslides
0
35
Построение процесса безопасного программирования
pdugslides
1
74
Моделирование угроз: делаем вовремя вместе с командой разработки
pdugslides
0
58

Other Decks in Programming

See All in Programming
subpath importsで始めるモック生活
10tera
0
310
イベント駆動で成長して委員会
happymana
1
330
Enabling DevOps and Team Topologies Through Architecture: Architecting for Fast Flow
cer
PRO
0
340
C++でシェーダを書く
fadis
6
4.1k
AWS Lambdaから始まった
Serverlessの「熱」とキャリアパス / It started with AWS Lambda Serverless “fever” and career path
seike460
PRO
1
260
CSC509 Lecture 12
javiergs
PRO
0
160
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
as(型アサーション)を書く前にできること
marokanatani
10
2.7k
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520
ペアーズにおけるAmazon Bedrockを⽤いた障害対応⽀援 ⽣成AIツールの導⼊事例 @ 20241115配信AWSウェビナー登壇
fukubaka0825
6
2k
3rd party scriptでもReactを使いたい! Preact + Reactのハイブリッド開発
righttouch
PRO
1
610
距離関数を極める! / SESSIONS 2024
gam0022
0
290

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
YesSQL, Process and Tooling at Scale
rocio
169
14k
A better future with KSS
kneath
238
17k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Raft: Consensus for Rubyists
vanstee
136
6.6k
KATA
mclloyd
29
14k
Statistics for Hackers
jakevdp
796
220k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Six Lessons from altMBA
skipperchong
27
3.5k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
100

Transcript

  1. Заголовок ptsecurity.com Автоматизация построения правил для Approof м.н.с. Ефремов Д.В.

    ИСП РАН [email protected]

  2. Заголовок • Статический анализатор • Младший брат Application Inspector •

    Свободно доступен для использования «Без регистрации и смс» • https://approof.ptsecurity.ru/ • Движок FingerPrint – поиск известных версий библиотек с уязвимостями

  3. Заголовок • Метаинформация • Имя, версия, описание угрозы, уровень угрозы

    … • Паттерны • Строки, регулярные выражения • Условия сопоставления паттернов • Логическое условие на основе существующих паттернов и правил • http://yara.readthedocs.io/en/v3.6.0/ • Правила добавляются через меню "Add Yara rules” • Либо "%LOCALAPPDATA%\Approof\YaraRules\" Правила Yara для Approof (1)

  4. Заголовок Правила Yara для Approof (2)

  5. Заголовок Правила Yara для Approof (2)

  6. Заголовок Правила Yara для Approof (2)

  7. Заголовок Правила Yara для Approof (2)

  8. Заголовок Правила Yara для Approof (3)

  9. Заголовок Правила Yara для Approof (4)

  10. Заголовок Правила Yara для Approof (5)

  11. Заголовок Правила Yara для Approof (5)

  12. Заголовок Правила Yara для Approof (5)

  13. Заголовок •Описание уязвимости •http://cve.mitre.org/, http://vuldb.com, https://vulners.com/, … •Исходный код разных

    версий пакетов •https://api.metacpan.org/source •https://registry.npmjs.org/ •https://pypi.python.org/pypi/ •… Автоматизация (1) (Метаинформация)

  14. Заголовок •Имя пакета •package HTML::Scrubber; •"name": "dns-sync" •__title__ = ”requests"

    •Версия пакета •our $VERSION = '0.10'; •"version": "0.1.0" •__version__ = "1.0.0" Автоматизация (2) (Паттерны в исходных кодах)

  15. Заголовок Автоматизация (3) (Синтез) Определение версий пакетов Загрузка и обрабока

    Поиск идентификаторов Преобразование в шаблон

  16. Заголовок • Perl • Нет проблем, всё шикарно • Python

    • setup.py не устанавливается • __init.py__ может ничего не содержать • __version__, __title__, __build__, __author__ ещё надо найти • Модуль может не содержать идентификаторов версий • Модуль может не содержать имя модуля в явном виде в файлах • Pyc, Pyo файлы • JavaScript • Когда есть package.json всё шикарно • … Проблемы при автоматизации

  17. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (1)

  18. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (2)

  19. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  20. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  21. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  22. Заголовок •Сопоставление по пути файла • Python (__init__.py и остальные

    файлы) • setup.py не устанавливается • Файлы пакета могут не содержать идентификатора имени пакета • JavaScript (package.json) •Сопоставления по нескольким файлам • Идентификаторы пакета и версий находятся в разных файлах Каких возможностей недостаёт?

  23. Заголовок •Публичный репозиторий правил •https://github.com/PositiveTechnologies/FP- community-rules •Репозиторий программы генерации правил

    •https://github.com/evdenis/yargen Дополнительная информация

  24. Заголовок ptsecurity.com Спасибо! Спасибо!