Um...<div><br></div><div><span style>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"COMMUNITY</span><br style><span style>SPECIFIC-THREATS High Probability Blackhole Landing with specific catch qq</span><br style>
<span style>structure"; flow:established,from_server; content:")|3b|}catch(qq";</span><br style><span style>fast_pattern:only; classtype:trojan-activity; sid:x; rev:1;)</span>
</div><div><br></div><div>THE WAY would be to add file_data; before the content match and remove fast_pattern:only;  That would be a standardized formatting issue rather than anything that would affect the performance of the rule.  We remove fast_pattern:only; because it allows the match outside of the file_data buffer (not that that would matter in this case, you're not going to see }catch{qq anywhere else.  </div>
<div><br>Because it is a file, and you're not using any http_inspect buffers, we'd use $FILE_DATA_PORTS in case it is delivered via mail (saw one like that yesterday).</div><div><br></div><div>Since you're associating with an exploit kit, rather than an active trojan, and given that exploits are typically aimed at user applications, I'd use classtype:attempted-user;</div>
<div><br></div><div>So WE would probably write it something like:</div><div><br></div><div><span style>alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"COMMUNITY</span><br style><span style>SPECIFIC-THREATS Possible Blackhole landing page with specific catch qq</span><br style>
<span style>structure"; flow:to_client,established; file_data; content:")|3b|}catch(qq"; </span><span style>classtype:attempted-user; sid:x; rev:1;)</span>
</div><div><span style><br></span></div><div><span style>Again, primarily cosmetic changes, and does nothing, in this simple case, to modify the functionality of the rule.</span></div><div><span style><br></span></div><div>
<span style>Matt</span></div><div><br><div class="gmail_quote">On Wed, Feb 29, 2012 at 12:39 PM, Community Proposed <span dir="ltr"><<a href="mailto:lists@...3397...">lists@...3397...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Below is a proposed signature to detect the try{ catch()} approaches used by<br>
the Blackhole exploit kits which to date share a commonality with the<br>
attachment to "catch(qq".  Looking at all of my PCAP samples these match<br>
nicely, perform well, and have not been prone to false positives.<br>
<br>
This is also doing very well in detecting new Blackhole initial landings and<br>
the various, near daily, changing permutations of the string<br>
splitting/building methods.  I am seeing a large presence of legitimate sites<br>
which have been compromised now delivering Blackhole.  Some of these are k12<br>
US education/school sites.<br>
<br>
21438 can be retired in place of the proposed above.  Joel, existing PCAPs for<br>
Blackhole landings should suffice for validation of the above, if more are<br>
needed, please let me know.<br>
<br>
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"COMMUNITY<br>
SPECIFIC-THREATS High Probability Blackhole Landing with specific catch qq<br>
structure"; flow:established,from_server; content:")|3b|}catch(qq";<br>
fast_pattern:only; classtype:trojan-activity; sid:x; rev:1;)<br>
<br>
I know there is a VRT standard for writing these, please respond to me after<br>
transforming the rule for compliance so that future submissions can adhere to<br>
this standard.  The reference from 21438 can be used here.<br>
<br>
Thanks,<br>
Nathan<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Virtualization & Cloud Management Using Capacity Planning<br>
Cloud computing makes use of virtualization - but cloud computing<br>
also focuses on allowing computing to be delivered as a service.<br>
<a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div>