<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Webdings;
        panose-1:5 3 1 2 1 5 9 6 7 3;}
@font-face
        {font-family:"Barclays Sans";
        panose-1:2 0 5 3 0 0 0 0 0 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-GB link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hello,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>The same here we do see lots of (FP) hits. Doesn’t seem this SIG to be very useful at this point.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Kestutis<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Kestutis Malakauskas |  Lead Attack Monitoring Analyst  | Global Information Security | Security Operations<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Tel +370 5 251 1847 | Mobile +370 652 89466 | Email <a href="mailto:kestutis.malakauskas@...3980...">kestutis.malakauskas@...3980...</a><o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Barclays , </span><span lang=LT style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>8th Floor | Balčikonio str. 7</span><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'> | </span><span lang=EN-US style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Vilnius | Lithuania </span><b><span lang=EN-US style='font-size:8.0pt;font-family:"Calibri","sans-serif";color:#7F7F7F'>GMT+2</span></b><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'><o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Barclays.com<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=EN-US style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#7F7F7F'>Hotline: +370 520 62424</span></b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:5.0pt;margin-right:0cm;margin-bottom:5.0pt;margin-left:0cm;text-autospace:none'><span style='font-size:10.0pt;font-family:Webdings;color:green'>P</span><span style='font-size:10.0pt;color:green'> </span><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:green'>Please consider the environment before printing this email</span><b><span lang=EN-US style='font-size:11.0pt;font-family:"Barclays Sans";color:#1F497D'><o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Ronny Vaningh [mailto:ronny@...3979...] <br><b>Sent:</b> 25 November 2014 09:56<br><b>To:</b> snort-sigs@lists.sourceforge.net<br><b>Subject:</b> [Snort-sigs] lots of alerts on so rule "possible DGA detected"<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>Hi<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>I'm seeing a lot of alerts on an SO rule that looks for DGA's.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected"; sid:31738; gid:3; rev:1; classtype:trojan-activity; metadata: engine shared, soid 3|31738, service dns;)<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>It seems to trigger on dns requests that are appending search domains like<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>First the host does a request for <a href="http://myserverhostname001.subdomain.domain.com">myserverhostname001.subdomain.domain.com</a><o:p></o:p></p></div><div><p class=MsoNormal>After receiving a NXDOMAIN it appends a search domain suffix and generates a request like<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><a href="http://myserverhostname543.subdomain.domain.com.searchdomain.com">myserverhostname543.subdomain.domain.com.searchdomain.com</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Does anyone knows what this SO rule is actually looking for and is there any way I can influence this, since it looks pretty useful so I want to avoid disabling it.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Regards<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Ronny<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div></div>
<P>This e-mail and any attachments are confidential and intended solely for the 
addressee and may also be privileged or exempt from disclosure under applicable 
law. If you are not the addressee, or have received this e-mail in error, please 
notify the sender immediately, delete it from your system and do not copy, 
disclose or otherwise act upon any part of this e-mail or its attachments.</P>
<P>Internet communications are not guaranteed to be secure or virus-free. The 
Barclays Group does not accept responsibility for any loss arising from 
unauthorised access to, or interference with, any Internet communications by any 
third party, or from the transmission of any viruses. Replies to this e-mail may 
be monitored by the Barclays Group for operational or business reasons.</P>
<P>Any opinion or other information in this e-mail or its attachments that does 
not relate to the business of the Barclays Group is personal to the sender and 
is not given or endorsed by the Barclays Group.</P>
<P>Barclays Bank PLC. Registered in England and Wales (registered no. 1026167). 
Registered Office: 1 Churchill Place, London, E14 5HP, United Kingdom. Barclays 
Bank PLC is authorised by the Prudential Regulation Authority and regulated by 
the Financial Conduct Authority and the Prudential Regulation Authority 
(Financial Services Register No. 122702).  </P>
</body></html>