<div dir="ltr">$dayjob has been receiving reports that a few of our hosts are acting as ZeroAccess 'supernodes'.<div>Since we have a bunch of ZeroAccess rules enabled, I was wondering why I didn't see them fire.</div>
<div><br></div><div>It seems that rule sid:23493; rev:5 will fire on outbound traffic particular to this ZeroAccess incident, however it won't fire on the inbound traffic.</div><div><br></div><div>alert udp $HOME_NET any -> $EXTERNAL_NET [16464,16465,16470,16471] (msg:"MALWARE-CNC Win.Trojan.ZeroAccess outbound communication"; flow:to_server; dsize:16; content:"|28 94 8D AB|"; depth:4; offset:4; metadata:impact_flag red, policy balanced-ips drop, policy connectivity-ips drop, policy security-ips drop; reference:url,<a href="http://www.virustotal.com/file/50cdd9f6c5629630c8d8a3a4fe7d929d3c6463b2f9407d9a90703047e7db7ff9/analysis/">www.virustotal.com/file/50cdd9f6c5629630c8d8a3a4fe7d929d3c6463b2f9407d9a90703047e7db7ff9/analysis/</a>; classtype:trojan-activity; sid:23493; rev:5; )</div>
<div><br></div><div>So I tweaked the rule as follows to allow for the alerting on inbound ZeroAccess:</div><div><br></div><div>alert udp $EXTERNAL_NET any -> $HOME_NET [16464,16465,16470,16471] (msg:"ZeroAccess Supernode Inbound Traffic"; flow:to_server; dsize:16; content:"|28 94 8D AB|"; depth:4; offset:4; metadata:impact_flag red, policy balanced-ips drop, policy connectivity-ips drop, policy security-ips drop; classtype:trojan-activity;)</div>
<div><br></div><div>I need to tweak thresholding a bit, but overall it has been working well in my limited tests.</div><div>Any thoughts or comments?<br clear="all"><div><br></div>-- <br><br>Andre' M. DiMino<br>DeepEnd Research<br>
<a href="http://deependresearch.org" target="_blank">http://deependresearch.org</a><br><a href="http://sempersecurus.org" target="_blank">http://sempersecurus.org</a><br><br>"Make sure that nobody pays back wrong for wrong, but always try to be<br>
kind to each other and to everyone else" - 1 Thess 5:15 (NIV)
</div></div>