<div dir="ltr"><div>I did a research 2 years ago about mostly this blogpost. I did a presentation at SecTor 2011.<br><br>HTTP Header Hunter - Looking for malicious behavior into your http header traffic - Rodrigo Montoro<br>

 <br>Most malware uses HTTP/HTTPS to call home or install other parts of a malicious action. Since thousands and thousands of samples appear daily, it is almost impossible to create signatures to dectect all malicious activities.<br>

 <br>Based on this problem, we started to analyze common headers and behaviors for malicious connections based on Spiderlabs research analysis and lot of packet captures from various sources. With that info, we scored each header in an HTTP request and based that score on the frequency that it appears, blacklisting, and a few other tricks.<br>

 <br>Our goal with this initial presentation and PoC is to show that we can score HTTP headers as a way to find malicious activity in HTTP/HTTPS traffic.<br><br><a href="http://www.esecurityplanet.com/news/looking-for-malicious-traffic-in-http-headers.html">http://www.esecurityplanet.com/news/looking-for-malicious-traffic-in-http-headers.html</a><br>

<br></div>Pretty hard to create snort rules for that without FPs.<br><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Oct 25, 2013 at 12:25 PM, James Lay <span dir="ltr"><<a href="mailto:jlay@...3266..." target="_blank">jlay@...3266...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="http://blogs.mcafee.com/mcafee-labs/periodic-links-to-control-server-offer-new-way-to-detect-botnets" target="_blank">http://blogs.mcafee.com/mcafee-labs/periodic-links-to-control-server-offer-new-way-to-detect-botnets</a><br>


<br>
Wonder if this is something to think about sigging....<br>
<br>
James<br>
<br>
------------------------------------------------------------------------------<br>
October Webinars: Code for Performance<br>
Free Intel webinars can help you accelerate application performance.<br>
Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from<br>
the latest Intel processors and coprocessors. See abstracts and register ><br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=60135991&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=60135991&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br><br clear="all"><br>-- <br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://spookerlabs.blogspot.com" target="_blank">http://spookerlabs.blogspot.com</a><br><a href="http://www.twitter.com/spookerlabs" target="_blank">http://www.twitter.com/spookerlabs</a><br>

<a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>
</div>