<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>My intention of adding the ET ruleset was never driven for a comparison sake. The website I was checking clearly had similar behavior/symptoms of exploit methods based on Java and/or Adobe and I was not aware that the AV already detected them at the time. My intention was if this is a new exploit that's not yet covered by VRT/ET, I would gather as much information and forward them to the community. However, once I saw the AV complaining about it, I thought to share it anyway for further improvements as it may benefit someone.<BR> <BR>If the specifics that I was testing with can add some help, like the blackhole website, pcaps or any other information I have, please let me know so I can forward them.<BR><br> Joel and Nathan, thank you both for the wonderful attitude and news about the community ruleset.<BR> <BR>YM<BR><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">Subject: Re: [Snort-sigs] CVE-2012-5076 and CVE-2012-1723 Rules<br>From: jesler@...435...<br>Date: Mon, 26 Nov 2012 10:14:20 -0500<br>CC: snort@...3751...; snort-sigs@lists.sourceforge.net<br>To: lists@...3397...<br><br><div><div>On Nov 26, 2012, at 10:00 AM, "<a href="mailto:lists@...3406......">lists@...3397...</a>" <<a href="mailto:lists@...3397...">lists@...202....3397...</a>> wrote:</div><blockquote><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">On 11/25/2012 07:34 PM, Joel Esler wrote:> I'll take a look and see what we can</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">do to improve any coverage we are missing,</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><blockquote style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;">blackhole, especially v2, is a pain.<br></blockquote><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">Joel, on the ET side and based on my network analysis, I am seeing very good</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">methods for combating some of this.  I would like for us to work more on this,</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">any more news regarding a community focused ruleset without delay between</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">registered users and subscribers?</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"></blockquote><div><br></div><div>We cover blackholev2 in much the same way.  Eoin's rules started our coverage with bhekv2 and we've made modifications along the way, and added a ton ourselves.  They have worked very well.  I watch exploit kits pretty regularly to make sure we improve coverage for these.  I just wrote protection for 3 other exploit kits this weekend and they should be shipped soon after testing.</div><div><br></div><div>As far as the community ruleset, the tl;dr is yes.</div><div><br></div><div>Longer:</div><div>We were going to get this done in Q2 of this year, but with the massive ClamAV transition that took place this was placed on the back burner.  Now that we have recovered much of our cycles and reorganized the organization a bit to deal with the changes, we are now moving forward on it again.  There was some legal license work to do with the legal team that I had to get knocked out first, which involves writing provisions into the VRT license for the community ruleset (and some other beneficial changes!) along with making it simpler to read.  I'm due to provide my followup comments to the legal team this week about it, and then our DIE team can get working on the actual coding of the ruleset.  The way we have decided to do it is beneficial for everyone.  Registered, Subscriber, OEM, etc.  It'll involve a bit of coding, but it shouldn't be an issue.</div><br><blockquote><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">On 11/25/2012 04:26 AM, Snort Troubleshooting wrote:</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><blockquote style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;">I went ahead and downloaded ET (open-source) rules and stuck them in there.<br>Then I browsed to the blackhole website again, and Snort fired on two ET<br>Rules, namely, sid:2015724, and sid:2015725.<br></blockquote><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">You've just stumbled across some idiosyncratic differences between the VRT and</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">ET rulesets.  This has been discussed in the past but myself being a participant</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">in the ET ruleset I can say that as compared to VRT, ET/we are more focused on</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">the exploit kit and permutations of the exploit kits as a community and have</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"><span style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; float: none; display: inline !important; white-space: normal; orphans: 2; widows: 2;">great coverage based on community input.</span><br style="text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2;"></blockquote><div><br></div><div>As I said above, we have some fantastic coverage for exploit kits (in exploit-kit.rules) and we adapt it to change the situations that pop up when needed.</div><br></div><div><br></div><div><span style='font-family: "Lucida Grande"; font-size: 12px;'>--</span><br><span style='font-family: "Lucida Grande"; font-size: 12px;'><b>Joel Esler</b></span><br><span style='font-family: "Lucida Grande"; font-size: 12px;'>Senior Research Engineer, VRT</span><br><span style='font-family: "Lucida Grande"; font-size: 12px;'>OpenSource Community Manager</span><br><span style='font-family: "Lucida Grande"; font-size: 12px;'>Sourcefire</span></div><br></div>                                       </div></body>
</html>