<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Thanks Yaser!  We'll take a look at this. <br><br>--<div>Joel Esler</div><div>Sent from my iPhone</div></div><div><br>On Feb 15, 2014, at 17:16, "Y M" <<a href="mailto:snort@...3751...">snort@...3751...</a>> wrote:<br><br></div><blockquote type="cite"><div>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"><style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">Good points Rmkml. Unfortunately I do not have a pcap, just the wireshark screenshot from the reference. My initial thought was not to tag on the value of the query string "p" as it may change, but now I see the confusion with the pcre (always gets me), hence, the reason I did not include urilen. I added the (i) to ignore the case in the pcre.<br> <br>Here is a revised sig (will do another revision!):<br> <br>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"EXPLOIT-KIT Redkit exploit kit payload request"; flow:to_server,established; content:"/download.asp?p="; nocase; http_uri; content:" Java/1."; http_header; fast_pattern:only; pcre:"/\/download\.asp\?p\=\d$/Ui"; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,<a href="http://www.invincea.com/2014/02/ekia-citadel-a-k-a-the-malware-the-popped-fazio-mechanical/">http://www.invincea.com/2014/02/ekia-citadel-a-k-a-the-malware-the-popped-fazio-mechanical/</a>; classtype:trojan-activity; sid: 100160; rev:12)<br> <br>Thanks Rmkml.<br>YM<br> <br><br> <br><div>> Date: Sat, 15 Feb 2014 22:37:44 +0100<br>> From: <a href="mailto:rmkml@...174...">rmkml@...174...</a><br>> To: <a href="mailto:snort@...3751...">snort@...3751...</a><br>> CC: <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>; <a href="mailto:rmkml@...174...">rmkml@...174...</a><br>> Subject: Re: [Snort-sigs] flowbits check needed?<br>> <br>> Thx you YM for sharing,<br>> <br>> Well not easy to understand if you need (java) flowbits or not,<br>> <br>> I think not because Java User-Agent are on same than URI.<br>> <br>> warn: pcre miss '/' after first escape '\'.<br>> <br>> Could you have pcap please ?<br>> <br>> Maybe add urilen:17.<br>> <br>> Remove {1} on pcre because \d is not more repeat.<br>> <br>> warn2: http_uri are not nocase, but pcre yes (i): why ?<br>> <br>> <br>> Another similar sig already exist:<br>> alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET <br>> CURRENT_EVENTS X20 EK Payload Download"; flow:established,to_server; <br>> content:"/download.asp?p=1"; http_uri; content:" Java/1."; http_header; <br>> fast_pattern:only; classtype:trojan-activity; sid:2017039; rev:2;)<br>> <br>> <br>> Regards<br>> @Rmkml<br>> <br>> <br>> On Sat, 15 Feb 2014, Y M wrote:<br>> <br>> > I am trying to write this signature but not sure whether to add the flowbits check for the java user agent. Thoughts?<br>> >  <br>> > alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"EXPLOIT-KIT Redkit exploit kit payload request"; flow:to_server,established; content:"/download.asp?p="; http_uri; content:" Java/1."; http_header;<br>> > fast_pattern:only; pcre:"/\download\.asp\?p\=\d{1}$/Ui"; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http;<br>> > reference:url,<a href="http://www.invincea.com/2014/02/ekia-citadel-a-k-a-the-malware-the-popped-fazio-mechanical/">http://www.invincea.com/2014/02/ekia-citadel-a-k-a-the-malware-the-popped-fazio-mechanical/</a>; classtype:trojan-activity; sid: 100160; rev:1;)<br>> >  <br>> > YM<br>> > <br>> ><br></div>                                        </div>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Android apps run on BlackBerry 10</span><br><span>Introducing the new BlackBerry 10.2.1 Runtime for Android apps.</span><br><span>Now with support for Jelly Bean, Bluetooth, Mapview and more.</span><br><span>Get your Android app in front of a whole new audience.  Start now.</span><br><span><a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-sigs mailing list</span><br><span><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a></span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span><br><span><a href="http://www.snort.org">http://www.snort.org</a></span><br><span></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!</span></div></blockquote></body></html>