[Emerging-Sigs] Possible FP 2013437

Michael Scheidell michael.scheidell at secnap.com
Mon Oct 3 16:21:48 EDT 2011


On 10/3/11 3:48 PM, Lay, James wrote:
> Rule:
> alert tcp $EXTERNAL_NET $HTTP_PORTS ->  $HOME_NET any (msg:"ET POLICY
> Executable served from Amazon S3"; flow:established,to_client;
> content:"Server|3A| AmazonS3"; http_header; file_data; content:"MZ";
> distance:0; isdataat:80,relative; content:"PE"; distance:0;
> classtype:bad-unknown;
> reference:url,blog.trendmicro.com/cybercriminals-using-amazon-web-servic
> es-aws-to-host-malware/;
> reference:url,www.securelist.com/en/blog/208188099/Financial_data_steali
> ng_Malware_now_on_Amazon_Web_Services_Cloud; sid:2013437; rev:1;)
>
> ET POLICY Executable served from Amazon S3
> IPv4: 72.21.211.168 ->  <blick>
>        hlen=5 TOS=0 dlen=1400 ID=4995 flags=0 offset=0 TTL=44 chksum=4123
> TCP:  port=80 ->  dport: 3950  flags=***A**** seq=269576295
>        ack=2147483647 off=5 res=0 win=8190 urp=0 chksum=64900
> Payload:  length = 1360
can you explain?  looks like amazon cloud to me.

NetRange:       72.21.192.0 - 72.21.223.255
CIDR:           72.21.192.0/19
OriginAS:
NetName:        AMAZON-02
NetHandle:      NET-72-21-192-0-1
Parent:         NET-72-0-0-0-0
NetType:        Direct Assignment
RegDate:        2004-12-30
Updated:        2004-12-30
Ref:            http://whois.arin.net/rest/net/NET-72-21-192-0-1

> 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
> 010 : 0A 78 2D 61 6D 7A 2D 69 64 2D 32 3A 20 77 71 79   .x-amz-id-2: wqy
> 020 : 41 4C 68 6A 53 63 79 39 61 33 37 41 75 33 35 7A   ALhjScy9a37Au35z
> 030 : 62 45 6B 70 5A 59 75 30 6B 4E 44 65 49 71 54 43   bEkpZYu0kNDeIqTC
> 040 : 37 73 47 4A 70 35 6D 7A 6F 69 2F 61 51 57 66 2B   7sGJp5mzoi/aQWf+
> 050 : 57 38 33 58 66 4B 4B 6C 65 61 50 4A 4B 0D 0A 78   W83XfKKleaPJK..x
> 060 : 2D 61 6D 7A 2D 72 65 71 75 65 73 74 2D 69 64 3A   -amz-request-id:
> 070 : 20 39 31 31 45 38 31 43 30 36 36 34 39 30 32 33    911E81C06649023
> 080 : 42 0D 0A 44 61 74 65 3A 20 54 75 65 2C 20 32 37   B..Date: Tue, 27
> 090 : 20 53 65 70 20 32 30 31 31 20 31 36 3A 32 38 3A    Sep 2011 16:28:
> 0a0 : 35 31 20 47 4D 54 0D 0A 78 2D 61 6D 7A 2D 6D 65   51 GMT..x-amz-me
> 0b0 : 74 61 2D 73 33 66 6F 78 2D 66 69 6C 65 73 69 7A   ta-s3fox-filesiz
> 0c0 : 65 3A 20 31 38 35 35 39 34 0D 0A 78 2D 61 6D 7A   e: 185594..x-amz
> 0d0 : 2D 6D 65 74 61 2D 73 33 66 6F 78 2D 6D 6F 64 69   -meta-s3fox-modi
> 0e0 : 66 69 65 64 74 69 6D 65 3A 20 31 33 31 36 30 39   fiedtime: 131609
> 0f0 : 34 36 30 38 30 35 34 0D 0A 4C 61 73 74 2D 4D 6F   4608054..Last-Mo
> 100 : 64 69 66 69 65 64 3A 20 54 75 65 2C 20 32 30 20   dified: Tue, 20
> 110 : 53 65 70 20 32 30 31 31 20 31 36 3A 32 31 3A 35   Sep 2011 16:21:5
> 120 : 32 20 47 4D 54 0D 0A 45 54 61 67 3A 20 22 30 64   2 GMT..ETag: "0d
> 130 : 38 62 31 65 63 38 39 63 65 35 31 36 31 32 32 39   8b1ec89ce5161229
> 140 : 39 65 39 39 38 38 31 66 63 35 34 37 65 30 22 0D   9e99881fc547e0".
> 150 : 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A 20   .Accept-Ranges:
> 160 : 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D 54   bytes..Content-T
> 170 : 79 70 65 3A 20 69 6D 61 67 65 2F 70 6E 67 0D 0A   ype: image/png..
> 180 : 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20   Content-Length:
> 190 : 31 38 35 35 39 34 0D 0A 53 65 72 76 65 72 3A 20   185594..Server:
> 1a0 : 41 6D 61 7A 6F 6E 53 33 0D 0A 0D 0A 89 50 4E 47   AmazonS3.....PNG
> 1b0 : 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 00 00 01 F9   ........IHDR....
> 1c0 : 00 00 01 25 08 06 00 00 00 E7 4A 9B B0 00 00 00   ...%......J.....
> 1d0 : 19 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64   .tEXtSoftware.Ad
> 1e0 : 6F 62 65 20 49 6D 61 67 65 52 65 61 64 79 71 C9   obe ImageReadyq.
> 1f0 : 65 3C 00 00 03 64 69 54 58 74 58 4D 4C 3A 63 6F   e<...diTXtXML:co
> 200 : 6D 2E 61 64 6F 62 65 2E 78 6D 70 00 00 00 00 00   m.adobe.xmp.....
> 210 : 3C 3F 78 70 61 63 6B 65 74 20 62 65 67 69 6E 3D<?xpacket begin=
> 220 : 22 EF BB BF 22 20 69 64 3D 22 57 35 4D 30 4D 70   "..." id="W5M0Mp
> 230 : 43 65 68 69 48 7A 72 65 53 7A 4E 54 63 7A 6B 63   CehiHzreSzNTczkc
> 240 : 39 64 22 3F 3E 20 3C 78 3A 78 6D 70 6D 65 74 61   9d"?>  <x:xmpmeta
> 250 : 20 78 6D 6C 6E 73 3A 78 3D 22 61 64 6F 62 65 3A    xmlns:x="adobe:
> 260 : 6E 73 3A 6D 65 74 61 2F 22 20 78 3A 78 6D 70 74   ns:meta/" x:xmpt
> 270 : 6B 3D 22 41 64 6F 62 65 20 58 4D 50 20 43 6F 72   k="Adobe XMP Cor
> 280 : 65 20 35 2E 30 2D 63 30 36 30 20 36 31 2E 31 33   e 5.0-c060 61.13
> 290 : 34 37 37 37 2C 20 32 30 31 30 2F 30 32 2F 31 32   4777, 2010/02/12
> 2a0 : 2D 31 37 3A 33 32 3A 30 30 20 20 20 20 20 20 20   -17:32:00
> 2b0 : 20 22 3E 20 3C 72 64 66 3A 52 44 46 20 78 6D 6C    ">  <rdf:RDF xml
> 2c0 : 6E 73 3A 72 64 66 3D 22 68 74 74 70 3A 2F 2F 77   ns:rdf="http://w
> 2d0 : 77 77 2E 77 33 2E 6F 72 67 2F 31 39 39 39 2F 30   ww.w3.org/1999/0
> 2e0 : 32 2F 32 32 2D 72 64 66 2D 73 79 6E 74 61 78 2D   2/22-rdf-syntax-
> 2f0 : 6E 73 23 22 3E 20 3C 72 64 66 3A 44 65 73 63 72   ns#">  <rdf:Descr
> 300 : 69 70 74 69 6F 6E 20 72 64 66 3A 61 62 6F 75 74   iption rdf:about
> 310 : 3D 22 22 20 78 6D 6C 6E 73 3A 78 6D 70 4D 4D 3D   ="" xmlns:xmpMM=
> 320 : 22 68 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65   "http://ns.adobe
> 330 : 2E 63 6F 6D 2F 78 61 70 2F 31 2E 30 2F 6D 6D 2F   .com/xap/1.0/mm/
> 340 : 22 20 78 6D 6C 6E 73 3A 73 74 52 65 66 3D 22 68   " xmlns:stRef="h
> 350 : 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65 2E 63   ttp://ns.adobe.c
> 360 : 6F 6D 2F 78 61 70 2F 31 2E 30 2F 73 54 79 70 65   om/xap/1.0/sType
> 370 : 2F 52 65 73 6F 75 72 63 65 52 65 66 23 22 20 78   /ResourceRef#" x
> 380 : 6D 6C 6E 73 3A 78 6D 70 3D 22 68 74 74 70 3A 2F   mlns:xmp="http:/
> 390 : 2F 6E 73 2E 61 64 6F 62 65 2E 63 6F 6D 2F 78 61   /ns.adobe.com/xa
> 3a0 : 70 2F 31 2E 30 2F 22 20 78 6D 70 4D 4D 3A 4F 72   p/1.0/" xmpMM:Or
> 3b0 : 69 67 69 6E 61 6C 44 6F 63 75 6D 65 6E 74 49 44   iginalDocumentID
> 3c0 : 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37 31 32   ="xmp.did:EF7712
> 3d0 : 31 43 37 32 44 44 45 30 31 31 42 39 46 42 41 39   1C72DDE011B9FBA9
> 3e0 : 35 39 36 35 34 41 31 31 43 38 22 20 78 6D 70 4D   59654A11C8" xmpM
> 3f0 : 4D 3A 44 6F 63 75 6D 65 6E 74 49 44 3D 22 78 6D   M:DocumentID="xm
> 400 : 70 2E 64 69 64 3A 32 38 36 33 39 32 38 44 44 44   p.did:2863928DDD
> 410 : 37 32 31 31 45 30 42 44 34 37 42 41 46 39 41 45   7211E0BD47BAF9AE
> 420 : 44 37 33 35 38 37 22 20 78 6D 70 4D 4D 3A 49 6E   D73587" xmpMM:In
> 430 : 73 74 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69   stanceID="xmp.ii
> 440 : 64 3A 32 38 36 33 39 32 38 43 44 44 37 32 31 31   d:2863928CDD7211
> 450 : 45 30 42 44 34 37 42 41 46 39 41 45 44 37 33 35   E0BD47BAF9AED735
> 460 : 38 37 22 20 78 6D 70 3A 43 72 65 61 74 6F 72 54   87" xmp:CreatorT
> 470 : 6F 6F 6C 3D 22 41 64 6F 62 65 20 50 68 6F 74 6F   ool="Adobe Photo
> 480 : 73 68 6F 70 20 43 53 35 20 57 69 6E 64 6F 77 73   shop CS5 Windows
> 490 : 22 3E 20 3C 78 6D 70 4D 4D 3A 44 65 72 69 76 65   ">  <xmpMM:Derive
> 4a0 : 64 46 72 6F 6D 20 73 74 52 65 66 3A 69 6E 73 74   dFrom stRef:inst
> 4b0 : 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69 64 3A   anceID="xmp.iid:
> 4c0 : 45 46 37 37 31 32 31 43 37 32 44 44 45 30 31 31   EF77121C72DDE011
> 4d0 : 42 39 46 42 41 39 35 39 36 35 34 41 31 31 43 38   B9FBA959654A11C8
> 4e0 : 22 20 73 74 52 65 66 3A 64 6F 63 75 6D 65 6E 74   " stRef:document
> 4f0 : 49 44 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37   ID="xmp.did:EF77
> 500 : 31 32 31 43 37 32 44 44 45 30 31 31 42 39 46 42   121C72DDE011B9FB
> 510 : 41 39 35 39 36 35 34 41 31 31 43 38 22 2F 3E 20   A959654A11C8"/>
> 520 : 3C 2F 72 64 66 3A 44 65 73 63 72 69 70 74 69 6F</rdf:Descriptio
> 530 : 6E 3E 20 3C 2F 72 64 66 3A 52 44 46 3E 20 3C 2F   n>  </rdf:RDF>  </
> 540 : 78 3A 78 6D 70 6D 65 74 61 3E 20 3C 3F 78 70 61   x:xmpmeta>  <?xpa
>
>
> _______________________________________________
> Emerging-sigs mailing list
> Emerging-sigs at emergingthreats.net
> http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs
>
> Support Emerging Threats! Subscribe to Emerging Threats Pro http://www.emergingthreatspro.com
> The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!


-- 
Michael Scheidell, CTO
o: 561-999-5000
d: 561-948-2259
 >*| *SECNAP Network Security Corporation

    * Best Mobile Solutions Product of 2011
    * Best Intrusion Prevention Product
    * Hot Company Finalist 2011
    * Best Email Security Product
    * Certified SNORT Integrator


______________________________________________________________________
This email has been scanned and certified safe by SpammerTrap(r). 
For Information please see http://www.spammertrap.com/
______________________________________________________________________  
  
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.emergingthreats.net/pipermail/emerging-sigs/attachments/20111003/8fe8699f/attachment-0001.html


More information about the Emerging-sigs mailing list