<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><meta content="text/html;charset=UTF-8" http-equiv="Content-Type"></head><body ><div style='font-size:10pt;font-family:Verdana,Arial,Helvetica,sans-serif;'>Although the values vary, the same two byte pattern repeats in the locations specified in the rule. I'm extracting the first occurrence and then testing the next five. For example (from one of the anubis pcaps):<br><br>0000  92 27 fc 57 72 bb 52 54  00 12 34 56 08 00 45 00<br>0010  03 98 01 de 40 00 80 06  36 cd c0 a8 00 02 1f df<br>0020  de 2b 04 0c 00 50 b3 e9  7b 10 85 f4 77 e2 50 10<br>0030  41 50 0f 3e 00 00 2b 81 <font color="#ff0000"> d8 7e</font> ba 81 <font color="#ff0000">d8 7e</font> ca 81<br>0040  <font color="#ff0000">d8 7e</font> ab 86 <font color="#ff0000">d8 7e</font> f0 85  <font color="#ff0000">d8 7e</font> b0 86 <font color="#ff0000">d8 7e</font> c8 04<br>0050  87 30 26 47 78 77 c8 6f  f9 45 dd 7a 95 c9 8c db<br><br>The negations (or at least one) are required to make sure that the data varies in between the matches. Otherwise it will false on a long string with the same byte repeated (saw that when testing).<br><br>I understand that it is costly. In my environment, it works out ok.<br><br>Regards,<br>Harry<br><br><br>---- On Mon, 10 Dec 2012 15:13:43 -0800 Joel Esler  wrote ---- <br><br>>This will run on every single packet that goes through the system. That's why it's intensive. Can you explain your matches? <br>> <br>>-- <br>>Joel Esler <br>>Sent from my iPad <br>> <br>>On Dec 10, 2012, at 5:21 PM, "harry.tuttle"  wrote: <br>> <br>>> I came up with the following from samples provided by abuse.ch. Their blog post on the subject: <a href='http://www.abuse.ch/?p=4878' target='_blank'>http://www.abuse.ch/?p=4878</a> <br>>> <br>>> alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"ET TROJAN Kelihos p2p traffic detected via byte_test"; flow:established,to_server; byte_extract:2,2,kelihos.p2p; byte_test:2,=,kelihos.p2p,6; byte_test:2,=,kelihos.p2p,10; byte_test:2,=,kelihos.p2p,14; byte_test:2,=,kelihos.p2p,18; byte_test:2,=,kelihos.p2p,22; byte_test:2,!=,kelihos.p2p,0; byte_test:2,!=,kelihos.p2p,4; byte_test:2,!=,kelihos.p2p,8; classtype:trojan-activity; sid:nnnnnnn; rev:1;) <br>>> <br>>> It's not the best performer, but there are worse rules in the set. It definitely falses without at least one negation, but we might not need all three. Likewise, we may not need all five positive matches. Let me know what you all think. <br>>> <br>>> PCAPs are on anubis: <br>>> <a href='http://anubis.iseclab.org/?action=result&task_id=169229bb0f9f35a2481b61b009bec78a2' target='_blank'>http://anubis.iseclab.org/?action=result&task_id=169229bb0f9f35a2481b61b009bec78a2</a> <br>>> <a href='http://anubis.iseclab.org/?action=result&task_id=16c11de16e343f10491dafb827b7cebe5' target='_blank'>http://anubis.iseclab.org/?action=result&task_id=16c11de16e343f10491dafb827b7cebe5</a> <br>>> <br>>> Regards, <br>>> Harry <br>>> <br>>> _______________________________________________ <br>>> Emerging-sigs mailing list <br>>> <a href='mailto:Emerging-sigs@lists.emergingthreats.net' target='_blank'>Emerging-sigs@lists.emergingthreats.net</a> <br>>> <a href='http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs' target='_blank'>http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a> <br>>> <br>>> Support Emerging Threats! Subscribe to Emerging Threats Pro <a href='http://www.emergingthreatspro.com' target='_blank'>http://www.emergingthreatspro.com</a> <br>>> The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current! <br>></div></body></html>