ARAKIS

Szczególy klastra: [EXPLOIT] LSASS / DCE RPC exploit: Mainz/Bielefeld Shellcode (445/TCP)

Nazwa:	[EXPLOIT] LSASS / DCE RPC exploit: Mainz/Bielefeld Shellcode (445/TCP)
Data:	2010-10-14 21:31:14
Poziom klasyfikacji:	Attack
Rdzeń:	[EXPLOIT] LSASS / DCE RPC exploit: Mainz/Bielefeld Shellcode (445/TCP)
Porty:	445/TCP
Unikalnych źródeł:	8
Rozmiar sygnatury:	163
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"[EXPLOIT] LSASS / DCE RPC exploit: Mainz/Bielefel\ d Shellcode (445/TCP)"; flow:to_server,established; content:"\|00 00 00 a4 ff\|SMBs\|00 00 00 00 18 07 \ c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe 00 00\|"; content:"\|0c ff 00 a4 00 04\|"; content:"\ \|00 00 00 00 00 00 00\| \|00 00 00 00 00 d4 00 00 80\|i\|00\|NTLMSSP\|00 01 00 00 00 97 82 08 e0 00 00 00 \ 00 00 00 00 00 00 00 00 00 00 00 00 00 00\|"; content:"\|00\|i\|00\|n\|00\|d\|00\|o\|00\|w\|00\|s\|00\| \|00\|2\|00\|0\|\ 00\|0\|00\|0\|00\| \|00\|2\|00\|1\|00\|9\|00\|5\|00 00 00\|"; content:"\|00\|i\|00\|n\|00\|d\|00\|o\|00\|w\|00\|s\|00\| \|00\|2\|00\|\ 0\|00\|0\|00\|0\|00\| \|00\|5\|00\|.\|00\|0\|00 00 00 00 00\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.