ARAKIS

Szczególy klastra: [EXPLOIT] DCERPC / LSASS exploit (445/TCP)

Nazwa:	[EXPLOIT] DCERPC / LSASS exploit (445/TCP)
Data:	2012-01-10 12:30:39
Poziom klasyfikacji:	Attack
Rdzeń:	[EXPLOIT] DCERPC / LSASS exploit (445/TCP)
Porty:	445/TCP
Unikalnych źródeł:	10
Rozmiar sygnatury:	973
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"[EXPLOIT] DCERPC / LSASS exploit (445/TCP)"; flow\ :to_server,established; content:"\|df df df df df df df df df df\|"; content:"ozilla/4.0\|df\|]3\|c9\|f\|b9\ ee 01 8d\|u\|05 8b fe 8a 06\|<\|99\|u\|05\|F\|8a 06\|,0F4\|99 88 07\|G\|e2 ed eb 0a e8 da ff ff ff\|.beg.q\|93 99\ c9 99 c9 99 c9 12 fd bd 91 fd 16 99 c9 c1\|rh\|aa\|B\|fd\|f\|aa fd 10 ba 14 1c a9 98 99 c9 99 c9 c9 f3 98\ f1 98 99 c9 86 99 c9\|q\|c0 98 99 c9 99 c9 90\|_\|cb\|7\|92\|Y\|96 1c\|x\|99 c9 99 c9 99 c9 14 e4\|Wq}\|99 c9 9\ 9 c9 99 c9 14 e4\|\:qE\|99 c9 99 c9 99 c9 f3 9d f1 99 c9 89 99 c9 99 c9 f1 99 c9 99 c9 9c 99 c9 f3 99 \ c9\|q\|b3 98 99 c9 99 c9\|g\|f3 e3 f0 10 1c dc 98 99 c9 99 c9 b2\|Y\|c9 c9 f3 9b c9 c9 f1 99 c9 99 c9 99 c\ 9 d9 14 04 a1 98 99 c9 99 c9 ca\|q\|9e 98 99 c9 99 c9 8d\|ha\|91 10 1c ad 98 99 c9 99 c9 1a\|af\|96 1d 11 \ 99 c9 99 c9 99 c9 b2\|P\|c8 c8 c8 f3 98 14 dc\|W\|c9\|q%\|99 c9 99 c9 99 c9\|N\|a4 c0 91 12\|I\|92\|Y\|ed f7 b2\|\ Y\|c9 c9 c9 c9 14 c4\|\:\|ca cb\|q\;\|99 c9 99 c9 99 c9 ff\|$\|e4\|!\|92\|Y\|ed cf cd cd f1 99 c9 99 c9 9c 99 c\ 9\|f,\|dc 98 99 c9 99 c9 c9\|q\|1e 99 c9 99 c9 99 c9 fb b0 b8 83 c3 cd 12\|]\|f3 99 c9 c9 cb\|f,\|dc 98 99 c\ 9 99 c9\|f,\|ad 98 99 c9 99 c9\|q\|0b 99 c9 99 c9 99 c9\|ZH\|a6 96 c0\|f,\|ad 98 99 c9 99 c9\|q\|1b 99 c9 99 c\ 9 99 c9\|L)\|a7 eb f3 9c 14 04 a1 98 99 c9 99 c9 ca\|q\|e9 99 c9 99 c9 99 c9\|4\|f4\|&q\|f3 99 c9\|q\|fc 99 c9\ 99 c9 99 c9 f9\|\;\|13 ef\|)Fk7_\|de\|f\|99 c9\|Z\|ec a8 a0 99 c9 99 c9 99 c9 99 c9 99 c9 b7 c5 ff ed e9 ec\ e9 fd b7 fc e1 fc 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 99 c9 ca \ f5 fc fc e9 99 c9 f2 fc eb f7 fc f5 aa ab 99 c9 c7\|4\|f9 aa\|Y\|b4\|%*f\|c9 ac 93 90 81 b7 c9 9c 90 9d\|c\ \|83 c9 cd\|q\|92 99 c9 99 c9 99 c9 bf 19\|5Q\|14 fd bd 95 0a\|r\|91 c7\|4\|f9\|q\|c8 99 c9 99 c9 99 c9 12 d2 a\ 5 12 d5 80 e1 9a\|R\|aa\|o\|14 8d\|\|9a c8 b9 12 8b 9a\|J\|aa\|YXY\|9e ab 9b db 19 a3 99 c9 ec\|l\|a2 dd bd 85 \ ed 9e df a2 e8 81 eb\|DU\|12 c8 bd 9a\|J\|96\|.\|8d eb 12 d8 85 9a\|Z\|12 9d 09 9a\|Z\|10 dd bd 85 f8 10 1c d0\ 98 99 c9 99 c9\|fIf\|7f fd fe 12 87 a9 99 c9 12 c2 95 12 c2 85 12 82 12 c2 91\|Z\|b7 fc f7 fd b7 90 90 \ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 9\ 0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90\ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 \ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 9\ 0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90\ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 \ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 9\ 0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90\ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.