ARAKIS

Szczególy klastra: [EXPLOIT] part of NetBIOS exploit (139/TCP)

Nazwa:	[EXPLOIT] part of NetBIOS exploit (139/TCP)
Data:	2011-12-30 17:30:38
Poziom klasyfikacji:	Attack
Rdzeń:	[EXPLOIT] part of NetBIOS exploit (139/TCP)
Porty:	139/TCP
Unikalnych źródeł:	10
Rozmiar sygnatury:	1361
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"[EXPLOIT] part of NetBIOS exploit (139/TCP) "; fl\ ow:to_server,established; content:"o&echo user 1 1 >> o &echo get Cilevb.com >> o &echo quit >> o &f\ tp -n -s\:o &del /F /Q o &Cilevb.com\|0d 0a 00\|BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\ BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB"; content:"\|08\ 00 f8 0f 01 00 f8 0f 01\|#\|82 08\|9\|03 82 04 11 00\|CCCC \|f0 fd 7f\|SVWf\|81 ec 80 00 89 e6 e8 ed 00 00 \ 00 ff\|6h\|09 12 d6\|c\|e8 f7 00 00 00 89\|F\|08 e8 a2 00 00 00 ff\|v\|04\|hk\|d0\|+\|ca e8 e2 00 00 00 89\|F\|0c \ e8\|?\|00 00 00 ff\|v\|04\|h\|fa 97 02\|L\|e8 cd 00 00 00\|1\|db\|h\|10 04 00 00\|S\|ff d0 89 c3\|V\|8b\|v\|10 89 c7 b\ 9 10 04 00 00 f3 a4\|^1\|c0\|PPPSPP\|ff\|V\|0c 8b\|F\|08\|f\|81 c4 80 00\|_^[\|ff e0\|`\|e8\|#\|00 00 00 8b\|D$\|0c 8d\ \|X\|7c 83\|C<\|05 81\|C(\|00 10 00 00 81\|c(\|00 f0 ff ff 8b 04\|$\|83 c4 14\|P1\|c0 c3\|1\|d2\|d\|ff\|2d\|89 22\|1\|db\ b8 90\|B\|90\|B1\|c9 b1 02 89 df f3 af\|t\|03\|C\|eb f3 89\|~\|10\|d\|8f 02\|Xa\|c3\|`\|bf\| \|f0 fd 7f 8b 1f 8b\|F\|08\ 89 07 8b 7f f8 81 c7\|x\|01 00 00 89 f9\|9\|19\|t\|04 8b 09 eb f8 89 fa\|9Z\|04\|t\|05 8b\|R\|04 eb f6 89 11 89\ \|J\|04 c6\|C\|fd 01\|a\|c3 a1 0c f0 fd 7f 8b\|@\|1c 8b\|X\|08 89 1e 8b 00 8b\|@\|08 89\|F\|04 c3\|`\|8b\|l$(\|8b\|E<\|8\ b\|T\|05\|x\|01 ea 8b\|J\|18 8b\|Z \|01 eb e3\|8I\|8b\|4\|8b 01 ee\|1\|ff\|1\|c0 fc ac\|8\|e0\|t\|07 c1 cf 0d 01 c7 eb f\ 4\|\;\|7c\|$$u\|e1 8b\|Z$\|01 eb\|f\|8b 0c\|K\|8b\|Z\|1c 01 eb 8b 04 8b 01 e8 89\|D$\|1c\|a\|c2 08 00 eb fe\|CCCCCCCC\ CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC\ CCCCCCCCCCCCCCCCCCCCCCCCCC";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.