카드명세서 관련 메일 탐지

http://www.boan.com/news/articleView.html?idxno=2480

http://blog.ahnlab.com/asec/

http://viruslab.tistory.com/1944

기존 남아공 월드컵, BC카드 관련 탐지는 다음과 같았습니다.

alert tcp any any -> any 80 (flows:established; to_server; uricontent:”/v1.0/cmd.php”; content:”|0d0a|Host|3a20|www.passws.com|0d0a|”; nocase;)

이젠 version이 틀려서 다음과 같이 바꿔야 겠죠.

alert tcp any any -> any 80 (flows:established; to_server; uricontent:”/v2.0/cmd.php”; content:”|0d0a|Host|3a20|www.passws.com|0d0a|”; nocase;)

도메인들은 다음과 같음

hxxp://www.k1-7.com

hxxp://www.k1-8.com

hxxp://www.passws.com

들어가보지 마십시오.^^

도메인이 바뀔것으로 예상되므로 /v2.0/cmd.php 만 탐지하는 것도 방법입니다만 오탐은 감수해야합니다.

버전이 오를것을 대비 pcre를 써도 괜찮겠습니다.

pcre:”/\/v[1-9]\x2e[0-9]\/cmd.php/i”;

Advertisements

About this entry