Разбор сигнатуры IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
Sinkhole (Воронка) - это тактика, используемая специалистами по безопасности для перенаправления вредоносного трафика в резерв, где он анализируется.
Сигнатура
alert tcp $EXTERNAL_NET any -> $HOME_NET any ( msg:"MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl"; flow:to_client,established; content:"|3A|irc|2D|sinkhole|2E|cert|2E|pl",fast_pattern,nocase; content:"|3A|End of MOTD command|2E|"; metadata:policy balanced-ips drop,policy connectivity-ips drop,policy max-detect-ips drop,policy security-ips drop,ruleset community; classtype:trojan-activity; sid:32260; rev:3; )
Сигнатура фиксирует пакеты из внешней сети в домашнюю сеть, содержащую домен irc-sinkhole.cert.pl и последовательность IRC команд IRC: irc-sinkhole.cert.pl End of MOTD command
Воронка принадлежит CERT Польши
Данное уведомление может служит признаком заражения вредосным ПО
