<div dir="ltr">Eric, if they are a static 16 bytes, the easiest thing is to probably do content:"|16 bytes|"; isdataat:!1,relative; on that with $EXTERNAL_NET to $HOME_NET flow:established,to_client; <div><br></div><div>Otherwise, Yep, you've got it!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 14, 2017 at 11:56 AM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks! So I was on the right track. Now though, I have a weird followup question. The first sig would be used to set a flowbit. The response from the malicious server then has a series of 16 bytes at the end of it, every time. <div><div><br></div><div>at the end of the response. Soooo...</div><div>Remote host talks to local host.  localhost spits back malicious string. remote host spews back traffic, which ends the stream in those 16 bytes.</div></div><div><br></div><div>Is ther ea way to inspect the last 16 bytes of a stream that fired the first sig, which sets a flowbit? So...</div><div><br></div><div><span style="font-size:12.8px">$HOME_NET any -> $EXTERNAL_NET any with flow:established,to_server; flowbit:set,actor; sid 1</span><br></div><div><span style="font-size:12.8px">$EXTERNAL_NET -> $HOME_NET any with flow established, to_client; flowbit:isset, actorl sid 2</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">with a noalert on setting the flowbit?</span></div><div><span style="font-size:12.8px"><br></span></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 14, 2017 at 12:47 PM, Travis Green <span dir="ltr"><<a href="mailto:travis@travisgreen.net" target="_blank">travis@travisgreen.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Erik, you likely want: <div><br></div><div>$HOME_NET -> $EXTERNAL_NET with flow:established,to_server; </div><div><br></div><div>Would also recommend setting a flowbit on the inbound traffic and check isset on this outbound traffic. The ET netwire rat sigs are similar, might make a good template (2021290).</div><div><br></div><div>HTH,</div><div>-T</div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="m_5109220234782031662h5">On Fri, Jul 14, 2017 at 9:58 AM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_5109220234782031662h5"><div dir="ltr">I have a flow and data question about a signature I am trying to write.<div><br></div><div>I have a remote source initiating a connection to a local address, which then responds to the remote source with a given hex string 4 bytes long, offset 0.</div><div><br></div><div>I am looking at this:</div><div><br></div><div><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords" target="_blank">https://redmine.openinfosecfou<wbr>ndation.org/projects/suricata/<wbr>wiki/Flow-keywords</a><br></div><div><br></div><div>but don't quite follow if I should use flow:from_server with src internal dest external, or established (which means it already was inspected as having a remote handshake with a local response that I am trying to alert off of?)</div><div><br></div><div>Thanks!</div><div><br></div></div>
<br></div></div>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundati<wbr>on.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/suppor<wbr>t/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfound<wbr>ation.org/mailman/listinfo/ois<wbr>f-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/train<wbr>ing/</a><span class="m_5109220234782031662HOEnZb"><font color="#888888"><br></font></span></blockquote></div><span class="m_5109220234782031662HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div class="m_5109220234782031662m_-8861318681101982281gmail_signature" data-smartmail="gmail_signature">PGP: ABE625E6<br><a href="http://keybase.io/travisbgreen" target="_blank">keybase.io/travisbgreen</a></div>
</font></span></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">PGP: ABE625E6<br><a href="http://keybase.io/travisbgreen" target="_blank">keybase.io/travisbgreen</a></div>
</div>