IDS: MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client

Разбор сигнатуры IDS: MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client

IDS: MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client

 

Glupteba - это вредоносная программа для Windows, монетизирующаяся за счет добычи криптовалюты, проксирования вредоносного трафика и кражи пользовательских cookie/реквизитов.

Сигнатура:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-CNC Win.Trojan.Glupteba C&C server HELLO request to client"; flow:to_client,established; dsize:6; content:"HELLO|0A|"; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community; reference:url,www.virustotal.com/en/file/0bcc2bf3cf06952e18c3e1d9860698dbb3ff1644a0389a9756c1b82b66fb2b83/analysis/; classtype:trojan-activity; sid:31603; rev:2;)

Сигнатура фиксирует ответ от внешнего сервера в домашнюю сеть содержащую последовательность  HELLO + символ перевод каретки (перенос строки)

Данная сигнатура может создавать ложно положительные уведомления и необходимо проверять как содержимое пакета так и другую активность узла.

Общий список правил

Список правил доступный на сайте

 

Добавить комментарий