Я пытаюсь написать правило Snort для обнаружения команд Trinoo C2, отправляемых по незашифрованному тексту через UDP.
Правило, которое я написал в настоящее время:
alert udp any any -> any any ( msg:"TRINOO PNG MESSAGE SENT FROM C2"; content:"|70 6E 67|"; sid:1000001; )
Поиск в Wireshark в Security Onion (машина, на которой установлен Snort), он получает пакет UDP со следующей шестнадцатеричной подписью: Захват Wireshark и не запускается (выполнение sudo rule-update не дает ошибок).
Я пробовал:
Удаление фильтра содержимого (может запускаться из обычного UDP-трафика c)
Изменение SID
Изменение интервала
Изменение шестнадцатеричных символов на строчные
Удаление пробелов из шестнадцатеричной подписи
Я что-то упустил?
PS Что еще страннее, что при удалении фильтра содержимого правило срабатывает для пакетов, которые даже не содержат правильные шестнадцатеричные байты здесь