IDS: MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client

snort signatures
Опубликовано

Разбор сигнатуры IDS: MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client

Glupteba - это вредоносная программа для Windows, монетизирующаяся за счет добычи криптовалюты, проксирования вредоносного трафика и кражи пользовательских cookie/реквизитов.

Сигнатура:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client"; flow:to_client,established; dsize:6; content:"HELLO|0A|"; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community; reference:url,www.virustotal.com/en/file/0bcc2bf3cf06952e18c3e1d9860698dbb3ff1644a0389a9756c1b82b66fb2b83/analysis/; classtype:trojan-activity; sid:31603; rev:2;)

Сигнатура фиксирует ответ от внешнего сервера в домашнюю сеть содержащую последовательность HELLO + символ перевод каретки (перенос строки)

Данная сигнатура может создавать ложно положительные уведомления и необходимо проверять как содержимое пакета так и другую активность узла.

Похожие записи:
  1. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  2. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  3. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  4. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
Glupteba IDS
Добавить комментарий