And a quick one for the POST.<br><br>alert tcp $HOME_NET any -&gt; $EXTERNAL_NET $HTTP_PORTS (msg:&quot;ET CURRENT_EVENTS Zeus Variant Post to CnC Server&quot;; flow:established,to_server; content:&quot;POST&quot;; http_method; content:&quot;/gameover2.php&quot;; http_uri; classtype:trojan-activity; sid:1349991; rev:1;)<br>
<br>Kev<br><br><div class="gmail_quote">On 4 October 2011 21:38, Martin Holste <span dir="ltr">&lt;<a href="mailto:mcholste@gmail.com">mcholste@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
I sat down and finally got familiar with all of the byte_* operators,<br>
and I think this one will work the best (confirmed against pcap):<br>
<br>
alert udp $HOME_NET any -&gt; $EXTERNAL_NET !53 (msg:&quot;ET TROJAN ZeuS P2P<br>
Communication&quot;; byte_extract:4,63,padding; byte_test:4,=,padding,67;<br>
dsize:72; sid:1; rev:1;)<br>
<br>
This checks that the UDP payload is exactly 72 bytes and that the<br>
bytes 63-66 match bytes 67-71 (eight bytes in a row that are<br>
identical).  It should be pretty accurate and very fast.  I put in the<br>
not DNS port there since only high ports are used and this should make<br>
the load essentially non-existent.  That should also alleviate FP&#39;s,<br>
though I doubt there will be many if any.<br>
<div><div></div><div class="h5"><br>
On Tue, Oct 4, 2011 at 3:13 PM, Nathan &lt;<a href="mailto:nathan@packetmail.net">nathan@packetmail.net</a>&gt; wrote:<br>
&gt; On Tue, 4 Oct 2011 13:20:17 -0500 Martin Holste &lt;<a href="mailto:mcholste@gmail.com">mcholste@gmail.com</a>&gt; wrote<br>
&gt;<br>
&gt;&gt; Does anyone have some advice on a signature for the UDP last nine bytes?<br>
&gt;<br>
&gt; Here is my attempt, caveat, it may not even run, I&#39;m shooting from the hip for<br>
&gt; discussion.  The PCRE back reference should be good to match the last 9 bytes<br>
&gt; repeating, until end of string.  I feel good about the PCRE.<br>
&gt;<br>
&gt; The dsize and byte_jump are suspect, dsize should be ok it&#39;s byte_jump and<br>
&gt; doe_ptr with respect to PCRE /R that I&#39;m unsure about.<br>
&gt;<br>
&gt; Do we need to adjust dsize for UDP header size?<br>
&gt; Does doe_ptr become relative to PCRE /R?  If not, we need to drop it.<br>
&gt; Do we also need the /O flag for PCRE?<br>
&gt;<br>
&gt; I believe /B is needed as is /s but I am open to correction.<br>
&gt;<br>
&gt; #Does 1023: here make sense?<br>
&gt; alert udp $HOME_NET 1023: -&gt; $EXTERNAL_NET 1023: (msg:&quot;ET CURRENT_EVENTS ZeuS<br>
&gt; P2P Communication over UDP&quot;; dize:114; byte_jump:1,70; pcre:&quot;/(.)\1{8}$/BRs&quot;;<br>
&gt; classtype:trojan-activity; sid:x; rev:1;)<br>
&gt;<br>
&gt; PCRE version 8.02 2010-03-19<br>
&gt;<br>
&gt;  re&gt; /(.)\1{8}$/<br>
&gt; data&gt; abcdefghi<br>
&gt; No match<br>
&gt; data&gt; aaaaaaaaa<br>
&gt;  0: aaaaaaaaa<br>
&gt;  1: a<br>
&gt; data&gt; aaabbaaaa<br>
&gt; No match<br>
&gt; data&gt; hoorayaaaaaaaaa<br>
&gt;  0: aaaaaaaaa<br>
&gt;  1: a<br>
&gt; data&gt;<br>
&gt;<br>
&gt; Thanks,<br>
&gt; Nathan<br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@emergingthreats.net">Emerging-sigs@emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!<br>
</div></div></blockquote></div><br>