<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body dir="auto">
<div>Exactly.  If you can get us a pcap, the false positive system on <a href="http://Snort.org">
Snort.org</a> is working perfectly.  <br>
<br>
--
<div>Sent from my iPhone</div>
</div>
<div><br>
On Jan 11, 2017, at 7:20 PM, Al Lewis (allewi) <<a href="mailto:allewi@...3865...">allewi@...3865...</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div>
<div>Hello,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>If possible it would help if you shared the packet information. It will be hard to tell if this is a false positive or not without it.</div>
<div><br>
</div>
<div>Thanks.</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...3865..." style="color: purple;">allewi@...3865...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>"Jonathan A. Yee" <<a href="mailto:jyee@...4215...">jyee@...4215...</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, January 11, 2017 at 7:44 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>" <<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@...680...orge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-sigs] Snort Rule 40755 and Shockwave Flash detection<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div bgcolor="#FFFFFF" text="#000000">
<p>Hi all,</p>
<p>Apologies of this is posted to the incorrect mailing list.  <br>
</p>
<p>One of our SourceFire boxes has been getting many alerts in relation to SID 40755 "FILE-FLASH Adobe Flash EnableDebugger2 obfuscation attempt" on seemingly innocuous Shockwave Flash sites.  The entire rule is:
<span style="color: rgb(51, 51, 51);
        font-family: verdana, sans-serif; font-size: 10.6667px;
        font-style: normal; font-variant-ligatures: normal;
        font-variant-caps: normal; font-weight: normal; letter-spacing:
        normal; orphans: 2; text-align: left; text-indent: 0px;
        text-transform: none; white-space: normal; widows: 2;
        word-spacing: 0px; -webkit-text-stroke-width: 0px;
        background-color: rgb(255, 255, 255); display: inline
        !important; float: none;">
<br>
</span></p>
<div class="section" id="section_1_0_0" style="margin: 0px 0px 8px;
      padding: 0px; color: rgb(51, 51, 51); font-family: verdana,
      sans-serif; font-size: 10.6667px; font-style: normal;
      font-variant-ligatures: normal; font-variant-caps: normal;
      font-weight: normal; letter-spacing: normal; orphans: 2;
      text-align: left; text-indent: 0px; text-transform: none;
      white-space: normal; widows: 2; word-spacing: 0px;
      -webkit-text-stroke-width: 0px; background-color: rgb(255, 255,
      255);">
<table class="simple-table content" style="font-family: verdana,
        sans-serif; font-size: 8pt; color: rgb(51, 51, 51);
        border-collapse: collapse; border: none; padding: 0px; margin:
        0px; line-height: 16px; text-align: left; vertical-align:
        middle;">
<tbody>
<tr>
<td style="margin: 0px; padding: 2px 8px; color: rgb(51, 51,
              51); font-size: 8pt; line-height: 14px; font-family:
              verdana, sans-serif; text-align: left; vertical-align:
              baseline;">
alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"FILE-FLASH Adobe Flash EnableDebugger2 obfuscation attempt"; flow:to_client,established; file_data; content:"FWS"; depth:3; content:"|1F 10 75 19 24 31 24|"; content:"|00|"; within:1; distance:25;
 metadata:policy balanced-ips drop, policy security-ips drop, service ftp-data, service http, service imap, service pop3; reference:url,<a class="moz-txt-link-abbreviated" href="http://www.virustotal.com/en/file/1613acd34bfb85121bef0cd7a5cc572967912f9f674eefd7175f42ad2099e3d1/analysis/">www.virustotal.com/en/file/1613acd34bfb85121bef0cd7a5cc572967912f9f674eefd7175f42ad2099e3d1/analysis/</a>;
 classtype:attempted-user; sid:40755; rev:1; )</td>
</tr>
</tbody>
</table>
</div>
After examining the packet information, I can't seem to find a single occurrence of either the string or binary data within any of the frames.  However, the rule does seem to be triggering at seemingly random intervals.  I've tried going to the specific URIs
 and have not been able to forcibly trigger the rule.  I've checked the hash of each SWF file it's triggering on and not a single one matches the reference found in VT.  This leads me to believe that the rules is too broadly written and is causing false positives.<br>
<p>I was wondering if anyone had seen something similar or might have some insight for why this rule might be triggering on different SWF files.</p>
<p>Thanks in advance.<br>
</p>
<pre class="moz-signature" cols="72">-- 
Jonathan (Jay) Yee
New Professional
Network Monitoring Team at SSCPAC
RDT&E Network Security, Code 82900
619-553-1064</pre>
</div>
</div>
</span></span></div>
</blockquote>
<blockquote type="cite">
<div><span>------------------------------------------------------------------------------</span><br>
<span>Developer Access Program for Intel Xeon Phi Processors</span><br>
<span>Access to Intel Xeon Phi processor-based developer platforms.</span><br>
<span>With one year of Intel Parallel Studio XE.</span><br>
<span>Training and support from Colfax.</span><br>
<span>Order your platform today. <a href="http://sdm.link/xeonphi">http://sdm.link/xeonphi</a></span></div>
</blockquote>
<blockquote type="cite">
<div><span>_______________________________________________</span><br>
<span>Snort-sigs mailing list</span><br>
<span><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...2570...sourceforge.net</a></span><br>
<span><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span><br>
<span></span><br>
<span><a href="http://www.snort.org">http://www.snort.org</a></span><br>
<span></span><br>
<span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!</span><br>
<span></span><br>
<span>Visit the <a href="http://Snort.org">Snort.org</a> to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a href="
<a href="https://snort.org/downloads/#rule-downloads">https://snort.org/downloads/#rule-downloads</a>">emerging threats</a>!</span></div>
</blockquote>
</body>
</html>