Snort regole per rilevare le sessioni Meterpreter

So che questa è una vecchia domanda, ma alla ricerca ho trovato questo post interessante . Ci sono i suggerimenti che ti servono. Estratto da lì

Puoi fare come regola Snort per rilevare le sessioni Meterpreter per le connessioni esterne. Voglio dire, invertire le shell Meterpreter che cercano di connettersi all'esterno. In questo modo:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit Meterpreter"; flow:to_server,established; content:"RECV"; http_client_body; depth:4; fast_pattern; isdataat:!0,relative; urilen:23<>24,norm; content:"POST"; pcre:"/^\/[a-z0-9]{4,5}_[a-z0-9]{16}\/$/Ui"; classtype:trojan-activity; reference:url,blog.didierstevens.com/2015/05/11/detecting-network-traffic-from-metasploits-meterpreter-reverse-http-module/; sid:1618008; rev:1;)

Per altri tipi di scenari, le modifiche dovrebbero essere fatte sulla regola, ma è un inizio.

Vorrei controllare le regole della minaccia emergente.

link

Cerca Meterpreter e puoi vedere almeno 50 diversi esempi di sigs che rilevano Meterpreter in varie fasi e varianti dell'attacco.