IDS: ET MALWARE Librarian Ghouls CnC Domain in DNS Lookup (hostingforme .nl)

Разбор сигнатуры IDS: ET MALWARE Librarian Ghouls CnC Domain in DNS Lookup (hostingforme .nl)

Оглавление

Описание

Сигнатура обнаруживает запросы DNS запросы из локальной сети, заканчивающиеся на домен .hostingforme.nl.

Является индикатором TTP APT группы Librarian Ghouls.

Сигнатура

alert dns $HOME_NET any -> any any (msg:"ET MALWARE Librarian Ghouls CnC Domain in DNS Lookup (hostingforme .nl)"; dns.query; dotprefix; content:".hostingforme.nl"; nocase; endswith; reference:url,www.kaspersky.ru/blog/librarian-ghouls-cad-formats/38199/; classtype:trojan-activity; sid:2055806; rev:1; metadata:attack_target Client_Endpoint, created_at 2024_09_09, deployment Perimeter, signature_severity Major, updated_at 2024_09_09;)

alert dns $HOME_NET any -> any any (msg:"ET MALWARE Librarian Ghouls CnC Domain in DNS Lookup (hostingforme .nl)"; dns.query; dotprefix; content:".hostingforme.nl"; nocase; endswith; reference:url,www.kaspersky.ru/blog/librarian-ghouls-cad-formats/38199/; classtype:trojan-activity; sid:2055806; rev:1; metadata:attack_target Client_Endpoint, created_at 2024_09_09, deployment Perimeter, signature_severity Major, updated_at 2024_09_09;)