<div dir="ltr"><div>Hi el cabezon,<br><br></div>Thanks for your submission. Like Geoff pointed out, you don't need to hex escape the characters in question because they're all ASCII characters. Also, do you have a PCAP or a list of the sites in question? Once I've got that, we'll put this rule through testing.<br><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">--<br>Josh Williams<br>Detection Response Team<br>TALOS Security Group</div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Mon, Oct 3, 2016 at 3:47 PM, Geoffrey Serrao <span dir="ltr"><<a href="mailto:gserrao@...435..." target="_blank">gserrao@...435...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The content matches are all ascii, so there is no need to hex escape them:<div><br></div><div>content:"<wbr>6fx70x61x63x69x74x79x3ax30x3bx<wbr>66x69x6cx74x65x72x3ax61x6cx70x<wbr>68x61x28x6fx70x61x63x69x74x79x<wbr>3dx30x29x3bx20"; fast_pattern:only; </div></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Sun, Oct 2, 2016 at 10:04 AM, el cabezon <span dir="ltr"><<a href="mailto:elcabezzonn@...2420..." target="_blank">elcabezzonn@...2420...</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><div dir="ltr"><div>I've visited several websites that  follow the same pattern as rule sid:38275, "EXPLOIT-KIT Neutrino exploit kit redirection attempt, but replace the ascii with hex ascii. So i just converted the rule to hex ascii to hex and followed the same template that rule, sid:38275, used. Please let me know if this rule is too bloated. Any critiques and recommendations are welcome.  </div><div><br></div><div><br></div><div>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"EXPLOIT-KIT Injected EITest script redirection attempt"; flow:to_client,established; file_data; content:"|36 66 78 37 30 78 36 31 78 36 33 78 36 39 78 37 34 78 37 39 78 33 61 78 33 30 78 33 62 78 36 36 78 36 39 78 36 63 78 37 34 78 36 35 78 37 32 78 33 61 78 36 31 78 36 63 78 37 30 78 36 38 78 36 31 78 32 38 78 36 66 78 37 30 78 36 31 78 36 33 78 36 39 78 37 34 78 37 39 78 33 64 78 33 30 78 32 39 78 33 62 78 32 30|"; fast_pattern:only; content:"|32 64 78 36 64 78 36 66 78 37 61 78 32 64 78 36 66 78 37 30 78 36 31 78 36 33 78 36 39 78 37 34 78 37 39 78 33 61 78 33 30 78 33 62 78 32 32 78 33 65|"; content:"|36 33 78 36 63 78 36 31 78 37 33 78 37 33 78 36 39 78 36 34 78 33 64 78 32 32 78 36 33 78 36 63 78 37 33 78 36 39 78 36 34 78 33 61 78 36 34 78 33 32 78 33 37 78 36 33 78 36 34 78 36 32 78 33 36 78 36 35 78 32 64 78 36 31 78 36 35 78 33 36 78 36 34 78 32 64 78 33 31 78 33 31 78 36 33 78 36 36 78 32 64 78 33 39 78 33 36 78 36 32 78 33 38 78 32 64 78 33 34 78 33 34 78 33 34 78 33 35 78 33 35 78 33 33 78 33 35 78 33 34 78 33 30 78 33 30 78 33 30 78 33 30 78 32 32|"; within:500; classtype:trojan-activity; sid:1000000008;rev:1;)</div><div><br></div></div>
<br></span>------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>______________________________<wbr>_________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@...1306...<wbr>et</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>
<br>------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>______________________________<wbr>_________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...1744...<wbr>net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>