Python으로 작성한 Snort Rule 검색기 제작 및 사용 후기

보안계통 업무를 하다보면...

항상 새로운 취약점이 나오고

이런 새로운 취약점을 탐지하기 위해 보안장비에 Signature를 추가하여, 탐지 및 차단을 하는 업무를 종종 하게 됩니다. 

대부분의 이벤트를 탐지하는 IPS, IDS 보안장비는 Snort Rule을 사용하는 기능이 있습니다. 

때문에, 새로운 취약점이 발표가 되면 Snort Rule에서 그 취약점에 대한 Rule이 있는지 확인을 하게 되는데... 

이게 일일히 수동으로 검색하는데 다소 번거롭다는 느낌이 들었습니다. 

때문에... Python을 이용하여, 간단하게 Snort Rule을 검색하는 툴을 한번 만들어 보았습니다. 

참고로 이 툴은 기본적으로 wget 프로그램을 사용하기 때문에 PC에 wget이 존재해야 합니다. 

wget.exe

wget.exe 프로그램은 다운로드 하신 뒤 C:\Windows\System32 경로에 넣어주시거나, 

wget.exe 프로그램이 존재하는 경로를 환경변수에 추가해주시면 됩니다. 

그리고 제가 만든 Snort Rule 검색기를 돌려서 실행을 시키게 되면 우선 입력값을 하나 받게 됩니다. 

저는 여기서 최근에 나온 IIS 6.0 취약점인 CVE-2017-7269 를 넣어 보았습니다. 

입력을 하게 되면... 프로그램이 동작하게 되면서 Snort Rule을 제공하는 사이트에서 모든 RULES 파일을 다운로드 받게 됩니다. 

그리고 마지막으로 전체 RULES 파일 내에 CVE-2017-7269와 관련된 Snort Rule을 검색하게 되고

검색된 Rule은 result.txt 파일로 저장되며, wget을 통해 다운로드 받은 파일은 모두 삭제됩니다. 

result.txt 파일을 확인해보면... 

위 결과 화면과 같이 확인이 됩니다. ^^

최근에 Snort Rule 검색기 같은거 하나 있으면 업무가 편해질것 같다라는 생각으로 만들어 보았는데.. 

다음에는 깔끔하게 GUI 형식으로 검색되는 툴을 만들어볼 생각입니다. 

이상 커마잠이었습니다. :D