ARAKIS

Szczególy klastra: [WORM] NETBIOS SMB Initiation using Pysmb library (139/TCP, "nt|00|pysmb")

Nazwa:	[WORM] NETBIOS SMB Initiation using Pysmb library (139/TCP, "nt\|00\|pysmb")
Data:	2008-12-24 22:30:50
Poziom klasyfikacji:	Attack
Rdzeń:	5e583d01462b617018bdafc212cf7624
Porty:	139/TCP , 445/TCP
Unikalnych źródeł:	4683
Rozmiar sygnatury:	66
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 139,445 (msg:"[WORM] NETBIOS SMB Initiation using Pysmb lib\ rary (139/TCP, "nt\|00\|pysmb")"; flow:to_server,established; content:"\|ff\|SMBs\|00 00 00 00 00 00 00 \ 00 00 00 00 00 00 00 00 00 00 00 00 00 00\|\\\|02 00 00 00 00 0d ff 00 00 00 ff ff 02 00\|\\\|02 00 00 0\ 0 00 00 00 00 00 00 00 00 00 01 00 00 00 0b 00 00 00\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.