Snort规则检测ZIP文件中的单个JS或VBS文件

时间:2017-04-26 09:59:20

标签: security snort

如何使用Snort规则查找仅包含单个 .js或.vbs文件的ZIP文件?

使用pcre的想法 - >的 ^ PK +(JS | JS |的js | JS)。

流量示例:
HTTP / 1.1 200 OK
日期:2017年4月19日星期三19:46:43 GMT
服务器:Apache
X-Powered-By:PHP / 5.3.29
Cache-Control:no-cache,no-store,max-age = 0,must-revalidate
到期日:星期二,1935年1月8日00:00:00 GMT
Pragma:no-cache
内容 - 处理:附件;
文件名= “document__917_8324_94_Apr ___ 19___2017_09__44___27.zip” 内容传输编码:二进制
保持活跃:超时= 5,最大= 100
连接:保持活力
转移编码:分块
内容类型:application / octet-stream

4295b
PK ........... JV ...... M(... G ..< ... document__59020_001366_8039__Apr ___ 19 ___ 2017__09__44 ___ 27.js UT ... ..X ... XUX ............... .. gs.L〜?..?P.( %R。< ..Ë... TH @ ... N ...... [2..4.g {.. {....小号...&安培; ... ... 2.w..V; UF” ..... 3'; ........ M< ..> .. 8..Z.K6 ...,K .... .q.7 ... v4z ........_.....)... w..Zosw ...... X.4..2“..ž> .. ø..... ....... Q6.G.A6.i Muz..T。}。kf..zW .._ö......学家#.; S. {.. .. ..ķ... Z ... lu.Y; .J .. ^ ....... P = [.. jg.m65 .......... SY.1 ..F..z {.L ..,L ...〜o.Me..V .....一个。}< .N ..... X ....; .. ..〜T..n ...ģ........Ž> .. OY ........中号... + .Z ... ^ P_w(... | 0.2,{] ........... W。的;。。。.......为1L ... Wv的..p..r..1} .........] ... r..Wwg.gYr ....> ... 6 .....:+'。 。〜0.1 ... Nj'G _..........米... R ... r..SmW ....<?......我们... FE ...一个...,M

1 个答案:

答案 0 :(得分:0)

alert tcp any any -> any any (msg:"TEST"; file_data; content:"|0D 0A 0D 0A 50 4B|"; nocase; pcre:"/\x0D\x0A\x0D\x0APK.+?\.js/i"; sid:1000000;)

content:"|0D 0A 0D 0A 50 4B|";选项与....PK

匹配

PCRE的i选项意味着忽略区分大小写。

enter image description here

file_data选项检查http响应。 http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004528000000000000000