<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>We received permission to use the other rule from the author.  We're putting it through QA now.  We can't just take people's rules.  <br><br>--<div>Joel Esler</div><div>Sent from my iPhone</div></div><div><br>On Feb 22, 2014, at 14:48, "Y M" <<a href="mailto:snort@...3751...">snort@...3751...</a>> wrote:<br><br></div><blockquote type="cite"><div>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"><style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">Another rule suggested/authored by ESET on welivesecurity. Sig is at the bottom:<br> <br><a href="http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/">http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/</a><br> <br><pre style="margin: 0px; padding: 0px; color: rgb(51, 51, 51); text-transform: none; line-height: normal; text-indent: 0px; letter-spacing: normal; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; word-spacing: 0px; -ms-word-wrap: break-word; background-color: rgb(255, 255, 255); -webkit-text-stroke-width: 0px;">alert tcp $EXTERNAL_NET any -> $HOME_NET $SSH_PORTS (msg:"Linux/Ebury SSH backdoor activty"; content:"SSH-2.0"; isdataat:20,relative; pcre:"/^SSH-2\.0-[0-9a-f]{22,46}/sm"; reference:url,<a href="http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/">http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/</a>; classtype:trojan-activity; sid:1000001; rev:1;)</pre><br> <br><div>> Date: Mon, 17 Feb 2014 13:33:31 +0100<br>> From: <a href="mailto:rmkml@...174...">rmkml@...174...</a><br>> To: <a href="mailto:snort@...3751...">snort@...3751...</a>; <a href="mailto:lukas.matt@...525...">lukas.matt@...525...</a><br>> CC: <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>; <a href="mailto:rmkml@...174...">rmkml@...174...</a><br>> Subject: Re: [Snort-sigs] Snort Ebury SSH Rootkit<br>> <br>> Thx you for sharing,<br>> <br>> I'm curious if this rootkit use always same dns transaction ID please ?<br>> <br>> This sig fixed 0x120b (4619 dec)<br>> <br>> Two comments:<br>> - extra [] on [\x00]{6}<br>> - extra | on [\x01|\x02|\x03]<br>> <br>> Regards<br>> @Rmkml<br>> <br>> <br>> On Mon, 17 Feb 2014, Y M wrote:<br>> <br>> > I can't help with that :).<br>> >  <br>> > YM<br>> >  <br>> > <br>> > ____________________________________________________________________________________________________________________________________________________________________________________________________________________________<br>> > Date: Mon, 17 Feb 2014 11:35:52 +0100<br>> > From: <a href="mailto:lukas.matt@...525...">lukas.matt@...525...</a><br>> > To: <a href="mailto:snort@...3751...">snort@...3751...</a><br>> > CC: <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a><br>> > Subject: Re: [Snort-sigs] Snort Ebury SSH Rootkit<br>> > <br>> > Thanks YM!<br>> > <br>> > But if I see that correctly there was no answer whether it will be included or not right (and when)?<br>> > <br>> > Cheers,<br>> > Lukas<br>> > <br>> > On 02/17/2014 11:30 AM, Y M wrote:<br>> >       Hi Lukas,<br>> >        <br>> >       This has been posted to the list 2 days ago :).<br>> >        <br>> >       <a href="http://seclists.org/snort/2014/q1/364">http://seclists.org/snort/2014/q1/364</a><br>> >        <br>> >       YM<br>> >        <br>> > <br>> > ____________________________________________________________________________________________________________________________________________________________________________________________________________________________<br>> >       Date: Mon, 17 Feb 2014 11:26:03 +0100<br>> >       From: <a href="mailto:lukas.matt@...525...">lukas.matt@...525...</a><br>> >       To: <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a><br>> >       Subject: [Snort-sigs] Snort Ebury SSH Rootkit<br>> ><br>> >       Hi guys,<br>> ><br>> >       the German intelligence agency wrote some Snort rule for detecting the Ebury Rootkit.<br>> >       Are you aware of that rule and when will it be included into the pattern-set.<br>> ><br>> >             <a href="https://www.cert-bund.de/ebury-faq">https://www.cert-bund.de/ebury-faq</a><br>> ><br>> >             alert udp $HOME_NET any -> $EXTERNAL_NET 53 \ (msg:"Ebury SSH Rootkit data exfiltration";\ content:"|12 0b 01 00 00 01|"; depth:6;\ pcre:"/^\x12\x0b\x01\x00\x00\x01[\x00]{6}.[a-f0-9]{6,}\<br>> >             (([\x01|\x02|\x03]\d{1,3}){4}|\x03::1)\x00\x00\x01/Bs";\ reference:url,<a href="https://www.cert-bund.de/ebury-faq;\">https://www.cert-bund.de/ebury-faq;\</a> classtype:trojan-activity; sid:10001; rev:1;)<br>> > <br>> ><br>> >       Cheers,<br>> >       Lukas<br>> > <br>> > <br>> > -- <br>> > Lukas Matt<br>> > Deep Packet Inspection Researcher, RnD<br>> > <br>> > tel: +49-721-25516-322, cell: +49-174-3440-555<br>> > <br>> > Sophos Technology GmbH <br>> > Amalienbadstr. 41/Bau 52, 76227 Karlsruhe, Germany<br>> > <br>> > SOPHOS Security made simple<br>> > <br>> > ---<br>> > Sophos Technology GmbH, Commercial Register: Mannheim HRB 712658<br>> > Headquarter Location: Amalienbadstr. 41/Bau 52 | 76227 Karlsruhe | Germany <br>> > Executive Board: Nicholas Bray, Pino von Kienlin, Joachim Frost, G?nter Junk<br>> ><br>> >       ------------------------------------------------------------------------------ Android apps run on BlackBerry 10 Introducing the new BlackBerry 10.2.1 Runtime for Android apps. Now with support for Jelly<br>> >       Bean, Bluetooth, Mapview and more. Get your Android app in front of a whole new audience. Start now. <a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a><br>> >       _______________________________________________ Snort-sigs mailing list <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a> <a href="http://www.snort.org">http://www.snort.org</a> Please visit<br>> >       <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!<br>> > <br>> > <br>> > <br>> > -- <br>> > Lukas Matt<br>> > Deep Packet Inspection Researcher, RnD<br>> > <br>> > tel: +49-721-25516-322, cell: +49-174-3440-555<br>> > <br>> > Sophos Technology GmbH <br>> > Amalienbadstr. 41/Bau 52, 76227 Karlsruhe, Germany<br>> > <br>> > SOPHOS Security made simple<br>> > <br>> > ---<br>> > Sophos Technology GmbH, Commercial Register: Mannheim HRB 712658<br>> > Headquarter Location: Amalienbadstr. 41/Bau 52 | 76227 Karlsruhe | Germany <br>> > Executive Board: Nicholas Bray, Pino von Kienlin, Joachim Frost, G?nter Junk<br>> > <br>> ><br></div>                                        </div>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Managing the Performance of Cloud-Based Applications</span><br><span>Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.</span><br><span>Read the Whitepaper.</span><br><span><a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-sigs mailing list</span><br><span><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a></span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span><br><span><a href="http://www.snort.org">http://www.snort.org</a></span><br><span></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!</span></div></blockquote></body></html>