25.03.09
ชื่อ : SHELLCODE x86 NOOP
ความหมาย :
พบชุดคำสั่ง NOP (No Operation) สำหรับ CPU x86 ซึ่งมีโอกาสที่จะเกิด Buffer Overflow exploit ได้
ชุดคำสั่งที่พบได้แก่
1. 90 90 90 90 90 90 90 90 90 90 /bin/sh
2. AAAAAAAAAAAAAAAAAAAAAAAAA
ส่วนมากจะถูกแทรกเข้ามาใน โปรแกรมภาษา C ซึ่งใช้คำสั่งร่วมกับภาษา Assembly
การวิเคราะห์ :
Signature ในหมวด shellcode นี้ต้องวิเคราะห์ใน payload ให้อย่างละเอียดเพราะว่ามีโอกาสที่จะเกิดความผิดพลาดได้ง่ายเนื่องจากในปัจจุบันข้อมูลทาง LAN , WAN มีส่วนซ้ำๆกันมาก
เช่น การส่งไฟล์ขนาดใหญ่ , ข้อความใน Web , IRC , IM ที่มีรูปแบบตรงกับ Signature นี้
เหตุการณ์ที่เจอมากที่สุดของ SHELLCODE นี้คือเหตุการณ์ที่เกิดขึ้นกับ port 137
