IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl

snort signatures
Опубликовано

Разбор сигнатуры IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl

 

Sinkhole (Воронка) - это тактика, используемая специалистами по безопасности для перенаправления вредоносного трафика в резерв, где он анализируется.

Сигнатура

alert tcp $EXTERNAL_NET any -> $HOME_NET any ( msg:"MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl"; flow:to_client,established; content:"|3A|irc|2D|sinkhole|2E|cert|2E|pl",fast_pattern,nocase; content:"|3A|End of MOTD command|2E|"; metadata:policy balanced-ips drop,policy connectivity-ips drop,policy max-detect-ips drop,policy security-ips drop,ruleset community; classtype:trojan-activity; sid:32260; rev:3; )

Сигнатура фиксирует пакеты из внешней сети в домашнюю сеть, содержащую домен irc-sinkhole.cert.pl и последовательность IRC команд IRC: irc-sinkhole.cert.pl End of MOTD command

Воронка принадлежит CERT Польши

Данное уведомление может служит признаком заражения вредосным ПО

Общий список правил

Список правил доступный на сайте

Похожие записи:
  1. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  2. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  3. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  4. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray
IDS Sinkhole
Добавить комментарий