<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>No love for this rule?</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>nmavis <<a href="mailto:nmavis@...3865...">nmavis@...3865...</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, July 3, 2014 at 1:03 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>" <<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@...680...orge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-sigs] Rig Exploit Kit outbound URI request signature<br>
</div>
<div><br>
</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Forgot a forward slash in the content match. Revised below:</div>
<div><br>
</div>
<div>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"EXPLOIT-KIT Rig Exploit Kit Outbound DGA Request"; flow:to_server,established; content:”/nbe.html?0."; http_uri; fast_pattern:only; pcre:"/^\/nbe\.html\?0\.[0-9]{16,17}$/Ui”; flowbits:set,file.exploit_kit.jar&file.exploit_kit.silverlight;
 metadata:service http; classtype:trojan-activity; )</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>nmavis <<a href="mailto:nmavis@...3865...">nmavis@...3865...</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, July 3, 2014 at 12:49 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>" <<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@...680...orge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-sigs] Rig Exploit Kit outbound URI request signature<br>
</div>
<div><br>
</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>We have a few rules for Rig Exploit Kit however here is one for the DGA algorithm used. The reference article and rule are below:</div>
<div><br>
</div>
<div><a href="http://www.symantec.com/connect/ko/blogs/rig-exploit-kit-used-recent-website-compromise">http://www.symantec.com/connect/ko/blogs/rig-exploit-kit-used-recent-website-compromise</a></div>
<div><br>
</div>
<div>
<div>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"EXPLOIT-KIT Rig Exploit Kit Outbound DGA Request"; flow:to_server,established; content:"nbe.html?0."; http_uri; fast_pattern:only; pcre:"/^\/nbe\.html\?0\.[0-9]{16,17}$/Ui”; flowbits:set,file.exploit_kit.jar&file.exploit_kit.silverlight;
 metadata:service http; classtype:trojan-activity; )</div>
</div>
</div>
</div>
</span></div>
</div>
</span>
</body>
</html>