IDS: AM POLICY RDP session ended with RST

Разбор сигнатуры IDS: AM POLICY RDP session ended with RST

IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1

Сигнатура

alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:\"AM POLICY RDP session ended with RST\"; flow:from_client,established; flags:RA; classtype:network-scan; sid:3006261; rev:3; metadata:attack_target Client_Endpoint;)

Сигнатура фиксирует обращение из внешней сети, в домашнюю сеть по порту 3389, с флагом RA  (RST, ACK).

Фактически - соединение не устанавливается, а лишь проверяется доступность порта.

Может быть признаком сканирования и доступности RPD сервера во внешнюю сеть (Интернет)

Общий список правил

Список правил доступный на сайте

Добавить комментарий