[Emerging-Sigs] Possible FP 2013437

Lay, James james.lay at wincofoods.com
Mon Oct 3 15:48:46 EDT 2011


Rule:
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET POLICY
Executable served from Amazon S3"; flow:established,to_client;
content:"Server|3A| AmazonS3"; http_header; file_data; content:"MZ";
distance:0; isdataat:80,relative; content:"PE"; distance:0;
classtype:bad-unknown;
reference:url,blog.trendmicro.com/cybercriminals-using-amazon-web-servic
es-aws-to-host-malware/;
reference:url,www.securelist.com/en/blog/208188099/Financial_data_steali
ng_Malware_now_on_Amazon_Web_Services_Cloud; sid:2013437; rev:1;)

ET POLICY Executable served from Amazon S3
IPv4: 72.21.211.168 -> <blick>
      hlen=5 TOS=0 dlen=1400 ID=4995 flags=0 offset=0 TTL=44 chksum=4123
TCP:  port=80 -> dport: 3950  flags=***A**** seq=269576295
      ack=2147483647 off=5 res=0 win=8190 urp=0 chksum=64900
Payload:  length = 1360

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 78 2D 61 6D 7A 2D 69 64 2D 32 3A 20 77 71 79   .x-amz-id-2: wqy
020 : 41 4C 68 6A 53 63 79 39 61 33 37 41 75 33 35 7A   ALhjScy9a37Au35z
030 : 62 45 6B 70 5A 59 75 30 6B 4E 44 65 49 71 54 43   bEkpZYu0kNDeIqTC
040 : 37 73 47 4A 70 35 6D 7A 6F 69 2F 61 51 57 66 2B   7sGJp5mzoi/aQWf+
050 : 57 38 33 58 66 4B 4B 6C 65 61 50 4A 4B 0D 0A 78   W83XfKKleaPJK..x
060 : 2D 61 6D 7A 2D 72 65 71 75 65 73 74 2D 69 64 3A   -amz-request-id:
070 : 20 39 31 31 45 38 31 43 30 36 36 34 39 30 32 33    911E81C06649023
080 : 42 0D 0A 44 61 74 65 3A 20 54 75 65 2C 20 32 37   B..Date: Tue, 27
090 : 20 53 65 70 20 32 30 31 31 20 31 36 3A 32 38 3A    Sep 2011 16:28:
0a0 : 35 31 20 47 4D 54 0D 0A 78 2D 61 6D 7A 2D 6D 65   51 GMT..x-amz-me
0b0 : 74 61 2D 73 33 66 6F 78 2D 66 69 6C 65 73 69 7A   ta-s3fox-filesiz
0c0 : 65 3A 20 31 38 35 35 39 34 0D 0A 78 2D 61 6D 7A   e: 185594..x-amz
0d0 : 2D 6D 65 74 61 2D 73 33 66 6F 78 2D 6D 6F 64 69   -meta-s3fox-modi
0e0 : 66 69 65 64 74 69 6D 65 3A 20 31 33 31 36 30 39   fiedtime: 131609
0f0 : 34 36 30 38 30 35 34 0D 0A 4C 61 73 74 2D 4D 6F   4608054..Last-Mo
100 : 64 69 66 69 65 64 3A 20 54 75 65 2C 20 32 30 20   dified: Tue, 20 
110 : 53 65 70 20 32 30 31 31 20 31 36 3A 32 31 3A 35   Sep 2011 16:21:5
120 : 32 20 47 4D 54 0D 0A 45 54 61 67 3A 20 22 30 64   2 GMT..ETag: "0d
130 : 38 62 31 65 63 38 39 63 65 35 31 36 31 32 32 39   8b1ec89ce5161229
140 : 39 65 39 39 38 38 31 66 63 35 34 37 65 30 22 0D   9e99881fc547e0".
150 : 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A 20   .Accept-Ranges: 
160 : 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D 54   bytes..Content-T
170 : 79 70 65 3A 20 69 6D 61 67 65 2F 70 6E 67 0D 0A   ype: image/png..
180 : 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20   Content-Length: 
190 : 31 38 35 35 39 34 0D 0A 53 65 72 76 65 72 3A 20   185594..Server: 
1a0 : 41 6D 61 7A 6F 6E 53 33 0D 0A 0D 0A 89 50 4E 47   AmazonS3.....PNG
1b0 : 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 00 00 01 F9   ........IHDR....
1c0 : 00 00 01 25 08 06 00 00 00 E7 4A 9B B0 00 00 00   ...%......J.....
1d0 : 19 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64   .tEXtSoftware.Ad
1e0 : 6F 62 65 20 49 6D 61 67 65 52 65 61 64 79 71 C9   obe ImageReadyq.
1f0 : 65 3C 00 00 03 64 69 54 58 74 58 4D 4C 3A 63 6F   e<...diTXtXML:co
200 : 6D 2E 61 64 6F 62 65 2E 78 6D 70 00 00 00 00 00   m.adobe.xmp.....
210 : 3C 3F 78 70 61 63 6B 65 74 20 62 65 67 69 6E 3D   <?xpacket begin=
220 : 22 EF BB BF 22 20 69 64 3D 22 57 35 4D 30 4D 70   "..." id="W5M0Mp
230 : 43 65 68 69 48 7A 72 65 53 7A 4E 54 63 7A 6B 63   CehiHzreSzNTczkc
240 : 39 64 22 3F 3E 20 3C 78 3A 78 6D 70 6D 65 74 61   9d"?> <x:xmpmeta
250 : 20 78 6D 6C 6E 73 3A 78 3D 22 61 64 6F 62 65 3A    xmlns:x="adobe:
260 : 6E 73 3A 6D 65 74 61 2F 22 20 78 3A 78 6D 70 74   ns:meta/" x:xmpt
270 : 6B 3D 22 41 64 6F 62 65 20 58 4D 50 20 43 6F 72   k="Adobe XMP Cor
280 : 65 20 35 2E 30 2D 63 30 36 30 20 36 31 2E 31 33   e 5.0-c060 61.13
290 : 34 37 37 37 2C 20 32 30 31 30 2F 30 32 2F 31 32   4777, 2010/02/12
2a0 : 2D 31 37 3A 33 32 3A 30 30 20 20 20 20 20 20 20   -17:32:00       
2b0 : 20 22 3E 20 3C 72 64 66 3A 52 44 46 20 78 6D 6C    "> <rdf:RDF xml
2c0 : 6E 73 3A 72 64 66 3D 22 68 74 74 70 3A 2F 2F 77   ns:rdf="http://w
2d0 : 77 77 2E 77 33 2E 6F 72 67 2F 31 39 39 39 2F 30   ww.w3.org/1999/0
2e0 : 32 2F 32 32 2D 72 64 66 2D 73 79 6E 74 61 78 2D   2/22-rdf-syntax-
2f0 : 6E 73 23 22 3E 20 3C 72 64 66 3A 44 65 73 63 72   ns#"> <rdf:Descr
300 : 69 70 74 69 6F 6E 20 72 64 66 3A 61 62 6F 75 74   iption rdf:about
310 : 3D 22 22 20 78 6D 6C 6E 73 3A 78 6D 70 4D 4D 3D   ="" xmlns:xmpMM=
320 : 22 68 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65   "http://ns.adobe
330 : 2E 63 6F 6D 2F 78 61 70 2F 31 2E 30 2F 6D 6D 2F   .com/xap/1.0/mm/
340 : 22 20 78 6D 6C 6E 73 3A 73 74 52 65 66 3D 22 68   " xmlns:stRef="h
350 : 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65 2E 63   ttp://ns.adobe.c
360 : 6F 6D 2F 78 61 70 2F 31 2E 30 2F 73 54 79 70 65   om/xap/1.0/sType
370 : 2F 52 65 73 6F 75 72 63 65 52 65 66 23 22 20 78   /ResourceRef#" x
380 : 6D 6C 6E 73 3A 78 6D 70 3D 22 68 74 74 70 3A 2F   mlns:xmp="http:/
390 : 2F 6E 73 2E 61 64 6F 62 65 2E 63 6F 6D 2F 78 61   /ns.adobe.com/xa
3a0 : 70 2F 31 2E 30 2F 22 20 78 6D 70 4D 4D 3A 4F 72   p/1.0/" xmpMM:Or
3b0 : 69 67 69 6E 61 6C 44 6F 63 75 6D 65 6E 74 49 44   iginalDocumentID
3c0 : 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37 31 32   ="xmp.did:EF7712
3d0 : 31 43 37 32 44 44 45 30 31 31 42 39 46 42 41 39   1C72DDE011B9FBA9
3e0 : 35 39 36 35 34 41 31 31 43 38 22 20 78 6D 70 4D   59654A11C8" xmpM
3f0 : 4D 3A 44 6F 63 75 6D 65 6E 74 49 44 3D 22 78 6D   M:DocumentID="xm
400 : 70 2E 64 69 64 3A 32 38 36 33 39 32 38 44 44 44   p.did:2863928DDD
410 : 37 32 31 31 45 30 42 44 34 37 42 41 46 39 41 45   7211E0BD47BAF9AE
420 : 44 37 33 35 38 37 22 20 78 6D 70 4D 4D 3A 49 6E   D73587" xmpMM:In
430 : 73 74 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69   stanceID="xmp.ii
440 : 64 3A 32 38 36 33 39 32 38 43 44 44 37 32 31 31   d:2863928CDD7211
450 : 45 30 42 44 34 37 42 41 46 39 41 45 44 37 33 35   E0BD47BAF9AED735
460 : 38 37 22 20 78 6D 70 3A 43 72 65 61 74 6F 72 54   87" xmp:CreatorT
470 : 6F 6F 6C 3D 22 41 64 6F 62 65 20 50 68 6F 74 6F   ool="Adobe Photo
480 : 73 68 6F 70 20 43 53 35 20 57 69 6E 64 6F 77 73   shop CS5 Windows
490 : 22 3E 20 3C 78 6D 70 4D 4D 3A 44 65 72 69 76 65   "> <xmpMM:Derive
4a0 : 64 46 72 6F 6D 20 73 74 52 65 66 3A 69 6E 73 74   dFrom stRef:inst
4b0 : 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69 64 3A   anceID="xmp.iid:
4c0 : 45 46 37 37 31 32 31 43 37 32 44 44 45 30 31 31   EF77121C72DDE011
4d0 : 42 39 46 42 41 39 35 39 36 35 34 41 31 31 43 38   B9FBA959654A11C8
4e0 : 22 20 73 74 52 65 66 3A 64 6F 63 75 6D 65 6E 74   " stRef:document
4f0 : 49 44 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37   ID="xmp.did:EF77
500 : 31 32 31 43 37 32 44 44 45 30 31 31 42 39 46 42   121C72DDE011B9FB
510 : 41 39 35 39 36 35 34 41 31 31 43 38 22 2F 3E 20   A959654A11C8"/> 
520 : 3C 2F 72 64 66 3A 44 65 73 63 72 69 70 74 69 6F   </rdf:Descriptio
530 : 6E 3E 20 3C 2F 72 64 66 3A 52 44 46 3E 20 3C 2F   n> </rdf:RDF> </
540 : 78 3A 78 6D 70 6D 65 74 61 3E 20 3C 3F 78 70 61   x:xmpmeta> <?xpa




More information about the Emerging-sigs mailing list