<div dir="ltr"><div><div>Hi,<br><br></div>That won't work in that port 1000 can't use HTTP keywords unless you add it to your local $HTTP_PORTS variable in snort.conf. So your choice is either:<br><br></div>1) add port 1000 to the $HTTP_PORTS variable and change to this (I have corrected the other rule options for your reference, mostly external_host, no flow etc.<br>
<div>Alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"alert vbs rat"; flow:established,to_server; content:"<a href="http://some.website.net" target="_blank">some.website.net</a>"; http_header; fast_pattern:only; pcre:"/Host\x3A[^\r\n]*some\.website\.net/H"; classtype:trojan-activity; sid:123991; rev:1;)<br>
<br></div><div>2) Don't have it in your HTTP_PORTS and go like the rule below (although personally I would have it being a destination port of any instead of 1000 which increases detection because I assume being a RAT they can change the server listening port:<br>
Alert tcp $HOME_NET any -> $EXTERNAL_NET 1000 (msg:"alert vbs rat"; flow:established,to_server; content:"<a href="http://some.website.net" target="_blank">some.website.net</a>"; fast_pattern:only; pcre:"/Host\x3A[^\r\n]*some\.website\.net/sm"; classtype:trojan-activity; sid:123992; rev:1;)<br>
<br></div><div>Hope that helps you out on the idea behind this. Personally though if I was you specific blacklist type things are not ideal for snort rules so I would look at the structure of the command and control rather than where it is going. If you are looking for sites I would recommend alongside snort running passiveDNS <a href="https://github.com/gamelinux/passivedns">https://github.com/gamelinux/passivedns</a> which will record your name/ip resolutions and then if you ever wonder if you have been compromised you can query that and get a time for first and last querying which can help out a lot - especially as databases of DNS traffic can be retained for a long time. <br>
<br></div><div>I would also recommend you use BRO which very nicely complements Snort in that you can log all that extra information like files, HTTP traffic, FTP, IRC, SMTP etc. What you can then do is send it over to ELSA <a href="http://code.google.com/p/enterprise-log-search-and-archive/">http://code.google.com/p/enterprise-log-search-and-archive/</a>. This is a video of it <a href="https://www.youtube.com/watch?v=INRJZ3_Dsyc">https://www.youtube.com/watch?v=INRJZ3_Dsyc</a>. You can also extract files and do lots of other things with it (which you can do in the latest Snort too). Still I think BRO & Snort work well and with ELSA it allows you to query data quickly and form interesting queries to find anomalous things.<br>
<br></div><div>Kind Regards,<br>Kevin Ross<br></div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 28 January 2014 17:07, Feroz Basir <span dir="ltr"><<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Hi,</div><div><br></div><div>Thanks for replying. My packet go through a proxy and snort is between 2 proxies. I've just learned that this proxy might change or encapsulate the packet. I'm trying to monitor vbs rat threat that making connection from the inside to outside world via various port numbers and hostname. I have the rule but it didn't work. So I thought vrt could have a special rule for this. </div>
<div><br></div><div>Alert tcp $home_net any -> $external_host 1000 (msg:"alert vbs rat" content:"Host|3A|"; nocase; http_header; content:"<a href="http://some.website.net" target="_blank">some.website.net</a>"; nocase; http_header; fast_pattern:only; priority:1; Sid:1000002; rev:1;)</div>
<div><br></div><div>Thanks.</div><div><br><br>Regards,<div>Feroz Basir</div></div><div><div class="h5"><div><br>On 28 Jan 2014, at 10:40, "Joel Esler (jesler)" <<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>> wrote:<br>
<br></div><div><span></span></div><blockquote type="cite"><div>




Perhaps the reason is, “vbs rat” isn’t a specific attack, it’s a generic term.  We have lots of detection for Remote Access Tools, which<i> one</i> is really the question.
<div><br>
</div>
<div><br>
<div>
<div>On Jan 27, 2014, at 7:49 PM, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<br>
<blockquote type="cite">
<div style="font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
Hi again,<br>
<br>
Anybody knows? Please help. Thanks.<br>
<br>
<br>
Regards,<br>
Feroz Fazidi Bin Basir<br>
<br>
<blockquote type="cite">On 25 Jan 2014, at 19:34, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...14459.....</a>> wrote:<br>
<br>
Hi all,<span> </span><br>
<br>
Anybody knows which rule that vrt uses for detecting VBS RAT threat? Im sniffing proxy packet which I think change the packet.<br>
<br>
Thanks.<br>
<br>
<br>
Regards,<br>
Feroz Basir<br>
</blockquote>
<br>
------------------------------------------------------------------------------<br>
CenturyLink Cloud: The Leader in Enterprise Cloud Services.<br>
Learn Why More Businesses Are Choosing CenturyLink Cloud For<br>
Critical Workloads, Development Environments & Everything In Between.<br>
Get a Quote or Start a Free Trial Today.<span> </span><br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit<span> </span><a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a><span> </span>to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br>
</div>


</div></blockquote></div></div></div><br>------------------------------------------------------------------------------<br>
WatchGuard Dimension instantly turns raw network data into actionable<br>
security intelligence. It gives you real-time visual feedback on key<br>
security issues and trends.  Skip the complicated setup - simply import<br>
a virtual appliance and go from zero to informed in seconds.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=123612991&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=123612991&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>