[Emerging-Sigs] Rule 2014267

Matthew Jonkman jonkman at emergingthreatspro.com
Mon Oct 24 12:10:35 EDT 2011


Wow, some funky stuff in that page.

Not much we can do to kill that. The shellcode sigs I would say not to run in a large prod network. More informational, or sueful for the correlation engines.

Anyone have ideas on this one?

Matt


On Oct 24, 2011, at 11:55 AM, Lay, James wrote:

> I can get this to fire every time doing a search on robtex.com (tested
> google.com).
> 
> Rule:
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET SHELLCODE
> Hex Obfuscated JavaScript Heap Spray 0a0a0a0a";
> flow:established,to_client; content:"|5C|x0a|5C|x0a|5C|x0a|5C|x0a";
> nocase; fast_pattern:only;
> reference:url,www.darkreading.com/security/vulnerabilities/221901428/ind
> ex.html; classtype:shellcode-detect; sid:2013267; rev:1;)
> 
> Hit:
> Seq=3863653074 Ack=1298286953 Off=5 Res=0 Flags=***A**** Win=7504
> urp=23567 chksum=0
> Payload:
> 73 20 63 6F 6E 74 61 69 6E 20 63 6F 5C 0A 6D 62 s contain co\.mb
> 69 6E 65 64 20 69 6E 66 6F 72 6D 61 74 69 6F 6E ined information
> 20 67 61 74 68 65 72 65 64 20 62 79 20 73 65 61  gathered by sea
> 72 63 68 69 6E 67 20 73 65 76 65 72 61 6C 20 73 rching several s
> 6F 75 72 63 65 73 2E 5C 78 30 61 3C 62 72 20 2F ources.\x0a<br /
> 3E 5C 78 30 61 4E 61 76 69 67 5C 0A 61 74 65 20 >\x0aNavig\.ate 
> 62 65 74 77 65 65 6E 20 74 68 65 20 70 61 67 65 between the page
> 73 20 62 79 20 63 6C 69 63 6B 69 6E 67 20 6F 6E s by clicking on
> 20 74 68 65 20 74 61 62 73 20 61 62 6F 76 65 2E  the tabs above.
> 5C 78 30 61 3C 62 72 2F 3E 5C 78 30 61 4F 72 20 \x0a<br/>\x0aOr 
> 76 69 65 77 20 3C 61 20 5C 0A 68 72 65 66 3D 5C view <a \.href=\
> 22 5C 78 32 33 61 6C 6C 5C 22 3E 61 6C 6C 5C 78 "\x23all\">all\x
> 33 63 2F 61 3E 20 74 61 62 73 20 61 74 20 6F 6E 3c/a> tabs at on
> 63 65 5C 78 30 61 3C 62 72 20 2F 3E 5C 78 30 61 ce\x0a<br />\x0a
> 5C 78 33 63 2F 74 64 3E 3C 74 64 20 72 6F 77 73 \x3c/td><td rows
> 70 61 6E 3D 5C 22 32 5C 22 20 73 74 79 6C 5C 0A pan=\"2\" styl\.
> 65 3D 5C 22 76 65 72 74 69 63 61 6C 2D 61 6C 69 e=\"vertical-ali
> 67 6E 3A 6D 69 64 64 6C 65 5C 22 3E 5C 78 30 61 gn:middle\">\x0a
> 5C 78 30 61 3C 62 72 2F 3E 5C 78 30 61 5C 78 30 \x0a<br/>\x0a\x0
> 61 5C 78 30 61 5C 78 33 63 2F 74 64 3E 5C 78 33 a\x0a\x3c/td>\x3
> 63 2F 74 72 3E 5C 78 30 61 3C 74 72 5C 0A 3E 3C c/tr>\x0a<tr\.><
> 74 64 3E 5C 78 30 61 3C 62 72 20 2F 3E 5C 78 30 td>\x0a<br />\x0
> 61 3C 62 3E 47 6F 20 74 6F 20 3C 61 20 68 72 65 a<b>Go to <a hre
> 66 3D 5C 22 2F 67 77 2F 38 31 2E 31 36 39 2E 31 f=\"/gw/81.169.1
> 34 35 2E 37 32 2E 68 74 6D 6C 5C 22 3E 68 74 74 45.72.html\">htt
> 70 3A 2F 2F 38 31 2E 31 36 39 5C 0A 2E 31 34 35 p://81.169\..145
> 2E 37 32 2F 5C 78 33 63 2F 61 3E 5C 78 33 63 2F .72/\x3c/a>\x3c/
> 62 3E 5C 78 30 61 3C 62 72 20 2F 3E 5C 78 30 61 b>\x0a<br />\x0a
> 3C 62 72 20 2F 3E 5C 78 30 61 5C 78 30 61 3C 74 <br />\x0a\x0a<t
> 61 62 6C 65 20 63 6C 61 73 73 3D 5C 22 74 5C 22 able class=\"t\"
> 3E 5C 78 30 61 3C 74 72 5C 0A 3E 3C 74 68 3E 53 >\x0a<tr\.><th>S
> 6F 75 72 63 65 5C 78 33 63 2F 74 68 3E 3C 74 68 ource\x3c/th><th
> 3E 44 61 74 65 5C 78 33 63 2F 74 68 3E 3C 74 68 >Date\x3c/th><th
> 3E 49 6E 66 6F 72 6D 61 74 69 6F 6E 5C 78 33 63 >Information\x3c
> 2F 74 68 3E 5C 78 33 63 2F 74 72 3E 5C 78 30 61 /th>\x3c/tr>\x0a
> 3C 74 72 3E 3C 74 5C 0A 64 3E 3C 61 20 68 72 65 <tr><t\.d><a hre
> 66 3D 5C 22 2F 67 6F 6E 64 2F 72 62 6C 73 2E 6F f=\"/gond/rbls.o
> 72 67 2F 38 31 2E 31 36 39 2E 31 34 35 2E 37 32 rg/81.169.145.72
> 5C 22 3E 72 62 6C 73 2E 6F 72 67 5C 78 33 63 2F \">rbls.org\x3c/
> 61 3E 5C 78 33 63 2F 74 64 3E 3C 74 64 3E 3C 61 a>\x3c/td><td><a
> 62 62 72 20 5C 0A 63 6C 61 73 73 3D 5C 22 74 69 bbr \.class=\"ti
> 6D 65 61 67 6F 20 64 61 74 65 74 69 6D 65 5C 22 meago datetime\"
> 20 74 69 74 6C 65 3D 5C 22 32 30 31 31 2D 31 30  title=\"2011-10
> 2D 32 34 54 31 35 3A 35 31 3A 33 31 5A 5C 22 3E -24T15:51:31Z\">
> 4F 63 74 6F 62 65 72 20 32 34 2C 20 32 30 31 31 October 24, 2011
> 20 31 5C 0A 35 3A 35 31 5C 78 33 63 2F 61 62 62  1\.5:51\x3c/abb
> 72 3E 5C 78 33 63 2F 74 64 3E 3C 74 64 3E 3C 61 r>\x3c/td><td><a
> 20 68 72 65 66 3D 5C 22 5C 78 32 33 62 6C 61 63  href=\"\x23blac
> 6B 6C 69 73 74 73 5C 22 3E 42 6C 61 63 6B 6C 69 klists\">Blackli
> 73 74 69 6E 67 73 5C 78 33 63 2F 61 3E 5C 78 33 stings\x3c/a>\x3
> 63 2F 74 64 5C 0A 3E 5C 78 33 63 2F 74 72 3E 5C c/td\.>\x3c/tr>\
> 78 30 61 5C 78 30 61 5C 78 33 63 2F 74 61 62 6C x0a\x0a\x3c/tabl
> 65 3E 5C 78 30 61 3C 62 72 2F 3E 5C 78 30 61 5C e>\x0a<br/>\x0a\
> 78 33 63 2F 74 64 3E 5C 78 30 61 5C 78 30 61 5C x3c/td>\x0a\x0a\
> 78 30 61 3C 74 64 3E 5C 78 30 61 3C 68 34 3E 52 x0a<td>\x0a<h4>R
> 65 70 5C 0A 75 74 61 74 69 6F 6E 20 6F 66 20 38 ep\.utation of 8
> 31 2E 31 36 39 2E 31 34 35 2E 37 32 3A 5C 78 33 1.169.145.72:\x3
> 63 2F 68 34 3E 5C 78 30 61 3C 74 61 62 6C 65 20 c/h4>\x0a<table 
> 63 6C 61 73 73 3D 5C 22 74 5C 22 3E 3C 74 72 3E class=\"t\"><tr>
> 3C 74 68 3E 53 6F 75 72 63 65 5C 78 33 63 2F 74 <th>Source\x3c/t
> 68 5C 0A 3E 3C 74 68 3E 52 65 73 75 6C 74 5C 78 h\.><th>Result\x
> 33 63 2F 74 68 3E 5C 78 33 63 2F 74 72 3E 5C 78 3c/th>\x3c/tr>\x
> 30 61 3C 74 72 3E 3C 74 64 3E 42 4C 41 43 4B 4C 0a<tr><td>BLACKL
> 49 53 54 5C 78 33 63 2F 74 64 3E 3C 74 64 3E 3C IST\x3c/td><td><
> 66 6F 6E 74 20 63 6F 6C 6F 72 3D 5C 22 72 65 64 font color=\"red
> 5C 22 3E 4C 49 53 54 5C 0A 45 44 20 49 4E 20 42 \">LIST\.ED IN B
> 4C 41 43 4B 4C 49 53 54 5C 78 32 31 5C 78 33 63 LACKLIST\x21\x3c
> 2F 66 6F 6E 74 3E 3C 62 72 2F 3E 7A 65 6E 2E 73 /font><br/>zen.s
> 70 61 6D 68 61 75 73 2E 6F 72 67 3C 62 72 2F 3E pamhaus.org<br/>
> 3C 61 20 68 72 65 66 3D 5C 22 2F 67 6F 6E 64 2F <a href=\"/gond/
> 77 77 77 2E 73 5C 0A 70 61 6D 68 61 75 73 2E 6F www.s\.pamhaus.o
> 72 67 2F 73 62 6C 2F 5C 22 20 72 65 6C 3D 5C 22 rg/sbl/\" rel=\"
> 6E 6F 66 6F 6C 6C 6F 77 5C 22 3E 73 62 6C 2E 73 nofollow\">sbl.s
> 70 61 6D 68 61 75 73 2E 6F 72 67 5C 78 33 63 2F pamhaus.org\x3c/
> 61 3E 3C 62 72 2F 3E 73 62 6C 2D 78 62 6C 2E 73 a><br/>sbl-xbl.s
> 70 61 6D 5C 0A 68 61 75 73 2E 6F 72 67 5C 78 33 pam\.haus.org\x3
> 63 2F 74 64 3E 5C 78 33 63 2F 74 72 3E 5C 78 30 c/td>\x3c/tr>\x0
> 61 5C 78 33 63 2F 74 61 62 6C 65 3E 5C 78 30 61 a\x3c/table>\x0a
> 3C 62 72 2F 3E 5C 78 30 61 5C 78 30 61 5C 78 30 <br/>\x0a\x0a\x0
> 61 5C 78 30 61 20 20 20 20 20 5C 78 30 61 5C 78 a\x0a     \x0a\x
> 30 61 5C 78 33 63 2F 74 64 5C 0A 3E 5C 78 30 61 0a\x3c/td\.>\x0a
> 5C 78 30 61 5C 78 30 61 5C 78 30 61 3C 74 64 3E \x0a\x0a\x0a<td>
> 5C 78 30 61 3C 64 69 76 20 69 64 3D 5C 22 6C 6F \x0a<div id=\"lo
> 61 64 69 6E 67 61 64 5C 22 3E 5C 78 33 63 2F 64 adingad\">\x3c/d
> 69 76 3E 5C 78 30 61 3C 62 72 2F 3E 5C 78 30 61 iv>\x0a<br/>\x0a
> 5C 78 30 61 3C 62 72 5C 0A 2F 3E 5C 78 30 61 5C \x0a<br\./>\x0a\
> 78 33 63 2F 74 64 3E 5C 78 30 61 5C 78 30 61 5C x3c/td>\x0a\x0a\
> 78 33 63 2F 74 72 3E 5C                         x3c/tr>\
> 
> James
> _______________________________________________
> Emerging-sigs mailing list
> Emerging-sigs at emergingthreats.net
> http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs
> 
> Support Emerging Threats! Subscribe to Emerging Threats Pro http://www.emergingthreatspro.com
> The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!


----------------------------------------------------
Matt Jonkman
Emerging Threats Pro
Open Information Security Foundation (OISF)
Phone 866-504-2523 x110
http://www.emergingthreatspro.com
http://www.openinfosecfoundation.org
----------------------------------------------------



More information about the Emerging-sigs mailing list