
<div dir="ltr">I could do that, but that would mean I need to create two sets of signatures. Also forgot to mention that the same signature would be used to search for content in file attachment of the email too. Which is why I am using the file_data modifier to search in the base64 encoded attachments. In Snort, it will search both in html body and attachment without having to use the "=". </div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 20, 2017 at 4:07 PM, Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 20/02/17 at 08:45, Clark Kent wrote:<br>

> I am having an issue with detecting Unicode/UTF characters in html<br>

> formatted email. So for example let say I want to detect “This is awesome”<br>

> in Traditional Chinese (“這太棒了”). The signature would be written<br>

> basically with content:”| E98099E5A4AAE6A392E4BA86|”. As far as I know I<br>

> can’t supply a content match in Unicode/UTF. Instead I have to convert<br>

> those characters into hex so that Suricata can understand what I am looking<br>

> for.<br>

><br>

> If the email is html format, the hex bytes will have = between the bytes<br>

> (ie. “E9=80=99=E5=A4=AA=E6=A3=92=<wbr>E4=BA=86=”). This causes the signature to<br>

> not alert in Suricata. However, in Snort if you supply the file_data<br>

> modifier in the signature. It will drop the = and trigger the alert<br>

> correctly because it matches the signature. This also might be the case<br>

> for html format web pages, but I haven’t confirmed. I assume that it is<br>

> probably the same case too.<br>

><br>

> Any thoughts if there is a solution in Suricata?<br>

<br>

</div></div>You could include the hex value for "=" as well?<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Andreas Herz<br>

______________________________<wbr>_________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank" rel="noreferrer">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank" rel="noreferrer">http://suricata-ids.org/<wbr>support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank" rel="noreferrer">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>

</font></span></blockquote></div><br></div>