IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray

snort signatures
Опубликовано

Разбор сигнатуры IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray

Содержание

 

EternalBlue (или ETERNALBLUE, CVE-2017-0144) — имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB v1. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.

Сигнатура

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00 08 ff fe 00 08|"; offset:4; depth:30; fast_pattern:10,20; content:"|00 09 00 00 00 10|"; distance:1; within:6; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type both, track by_src, count 3, seconds 30; classtype:trojan-activity; sid:2024217; rev:3; metadata:attack_target SMB_Server, created_at 2017_04_17, deployment Internal, former_category EXPLOIT, signature_severity Critical, updated_at 2017_05_13;)

Сигнатура фиксирует ответ с порта SMB (139|445 /tcp) домашнюю сеть, содержащий последовательность бит соответствующую уязвимости ETERNALBLUE

Похожие записи:
  1. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  2. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  3. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  4. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
CVE-2017-0144 EternalBlue IDS
Добавить комментарий