检测 ZIP 文件中单个 JS 或 VBS 文件的 Snort 规则
Snort Rule to Detect Single JS or VBS file in ZIP file
如何使用 Snort 规则查找正在下载的仅包含 单个 .js 或 .vbs 文件的 ZIP 文件?
想到使用 pcre -> ^PK.+.(js|JS|Js|jS)
交通样本:
HTTP/1.1 200 行
日期:2017 年 4 月 19 日星期三 19:46:43 GMT
服务器:阿帕奇
X-Powered-By:PHP/5.3.29
缓存控制:无缓存、无存储、max-age=0、必须重新验证
过期时间:星期二,1935 年 1 月 8 日 00:00:00 GMT
用法:无缓存
Content-Disposition:附件;
文件名="document__917_8324_94_Apr___19___2017_09__44___27.zip"
内容传输编码:二进制
保持活动:超时=5,最大值=100
连接:保持活动
传输编码:分块
内容类型:application/octet-stream
4295b
PK............JV...M(...G..<...document__59020_001366_8039__Apr___19___2017__09__44___27.jsUT .....X...Xux.................gs.L.-.~?..?P.(
%R.<..e...TH.@..n.......[.2..4.g.{..{....s...&... ...2.w..V.;u.f.'..3<........m<..>..8..Z.K6.. .k.....q.7...v4z........_.......)...w..Zosw......X.4..2。” ..z>..o.....Q6.G.A6.i.......Muz..T.}.kf..z.W..._O. .....J.#.;S.{....,..k...z...lu.Y;.J..^.......P=[. .jg.m65........SY.1..F..z{.L..,.L...~o.Me..V..a} <.N
.....x..;..]..~T..n.G........z>..o.Y........ .M...+.z...^.P_w.(...|.2.,.{.]............W..;... ....lL...Wv..p..r..1}.........]...r..Wwg.gYr..>.-..6 .....:+.'..~.1..?.Nj'G_........m..r..r..S.m.W.. ...<......wE...f.E.....a...M
alert tcp any any -> any any (msg:"TEST"; file_data; content:"|0D 0A 0D 0A 50 4B|"; nocase; pcre:"/\x0D\x0A\x0D\x0APK.+?\.js/i"; sid:1000000;)
content:"|0D 0A 0D 0A 50 4B|"; 选项与 ....PK
匹配
而PCRE的i选项表示忽略大小写。
和 file_data 选项检查 http 响应。 http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004528000000000000000
如何使用 Snort 规则查找正在下载的仅包含 单个 .js 或 .vbs 文件的 ZIP 文件?
想到使用 pcre -> ^PK.+.(js|JS|Js|jS)
交通样本:
HTTP/1.1 200 行
日期:2017 年 4 月 19 日星期三 19:46:43 GMT
服务器:阿帕奇
X-Powered-By:PHP/5.3.29
缓存控制:无缓存、无存储、max-age=0、必须重新验证
过期时间:星期二,1935 年 1 月 8 日 00:00:00 GMT
用法:无缓存
Content-Disposition:附件;
文件名="document__917_8324_94_Apr___19___2017_09__44___27.zip"
内容传输编码:二进制
保持活动:超时=5,最大值=100
连接:保持活动
传输编码:分块
内容类型:application/octet-stream
4295b
PK............JV...M(...G..<...document__59020_001366_8039__Apr___19___2017__09__44___27.jsUT .....X...Xux.................gs.L.-.~?..?P.(
%R.<..e...TH.@..n.......[.2..4.g.{..{....s...&... ...2.w..V.;u.f.'..3<........m<..>..8..Z.K6.. .k.....q.7...v4z........_.......)...w..Zosw......X.4..2。” ..z>..o.....Q6.G.A6.i.......Muz..T.}.kf..z.W..._O. .....J.#.;S.{....,..k...z...lu.Y;.J..^.......P=[. .jg.m65........SY.1..F..z{.L..,.L...~o.Me..V..a} <.N
.....x..;..]..~T..n.G........z>..o.Y........ .M...+.z...^.P_w.(...|.2.,.{.]............W..;... ....lL...Wv..p..r..1}.........]...r..Wwg.gYr..>.-..6 .....:+.'..~.1..?.Nj'G_........m..r..r..S.m.W.. ...<......wE...f.E.....a...M
alert tcp any any -> any any (msg:"TEST"; file_data; content:"|0D 0A 0D 0A 50 4B|"; nocase; pcre:"/\x0D\x0A\x0D\x0APK.+?\.js/i"; sid:1000000;)
content:"|0D 0A 0D 0A 50 4B|"; 选项与 ....PK
而PCRE的i选项表示忽略大小写。
和 file_data 选项检查 http 响应。 http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004528000000000000000