<div dir="ltr">Thanks Kevin for the heads up on CryptoWall, good to know that's still covered :) For the Critx, we may not end up posting those as we still have good coverage on the more static components of that EK.<br><br>Regards,<br>Darien<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 7:13 AM, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@googlemail.com" target="_blank">kevross33@googlemail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Oh and FYI malware this tried to get on end machine was CryptoWall but my stuff extracted the sample. PCAP here: <a href="https://anubis.iseclab.org/?action=result&task_id=13c4a6fe9c5e8a644d96360cbb833855a" target="_blank">https://anubis.iseclab.org/?action=result&task_id=13c4a6fe9c5e8a644d96360cbb833855a</a>. Also ran that PCAP through my sensors to confirm and came out fine for ET sig detection.<br><br><br>Kind Regards,<br>Kevin Ross<br></div><div><br><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 25 September 2014 09:52, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@googlemail.com" target="_blank">kevross33@googlemail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS Critx/Flashpack Flash Exploit Request"; flow:established,to_server; content:"POST"; http_method; content:"/imageclass/newgater.php"; http_uri; content:"fvers="; http_client_body; depth:6; classtype:trojan-activity; reference:md5,ce0fa5d811e0735369366b76b1efd07a; sid:123991; rev:1;)<br><br><div>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS Critx/Flashpack Payload Request"; flow:established,to_server; content:"/imageclass/load"; http_uri; content:".php"; http_uri; pcre:"/^\x2Fimageclass\x2Fload[a-z0-9]{5,15}\x2Ephp$/U"; classtype:trojan-activity; reference:md5,cce12efacf5800fb937d40bbf0b0c4b0; sid:123992; rev:1;)<br><br><br>Kind Regards,<br>Kevin Ross<br></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>