IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)

snort signatures
Опубликовано

Разбор сигнатуры IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)

Содержание

EternalBlue (или ETERNALBLUE, CVE-2017-0144) — имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB v1. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.

Сигнатура

alert tcp any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

Сигнатура фиксирует запрос содержащий последовательность бит свойственной уязвимости ETERNALBLUE направленную в локальную сеть из любой сети.

Обнаружение данной сработки может быть признаком заражения локальной сети или использования инструментов взлома

Похожие записи:
  1. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  2. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray
  3. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  4. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  5. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
CVE-2017-0144 EternalBlue IDS
Добавить комментарий