Avviso SNORT per Trufflehunter SFVRT 3: 29312: 1

Naviga le tue risposte
0

Vedo che questo avviso Snort viene visualizzato più volte al giorno, ma il mio Google-foo mi sta fallendo, poiché non trovo alcuna informazione su questo avviso su Internet. Qualcuno può indicarmi la direzione per ulteriori informazioni su questo particolare avviso? Inoltre, se qualcosa in particolare dovrebbe essere fatto? 

CRITICAL - (2 errors in snort.protocol-2014-06-12-04-47-09) - 06/12-04:43:47.771462  [**] [3:29312:1] MISC TRUFFLEHUNTER SFVRT-1013 attack attempt [**] [Classification: A Network Trojan was Detected] [Priority: 1] {ICMP}

Grazie,

    
posta StarKev2525 12.06.2014 - 15:23
fonte

1 risposta

1

Questo è Patrick di VRT. Questa regola è un "tartufo", il che significa che rileva un incidente di sicurezza per il quale purtroppo non possiamo fornire ulteriori informazioni a causa delle restrizioni NDA. Sarei molto interessato se potessi condividere alcuni pcap di avviso per questa regola, così potrei farti sapere se sono davvero malevoli o meno. Puoi chiamarmi PM qui e ti darò il mio indirizzo email Sourcefire diretto oppure puoi trovarmi su Freenode in #snort come "phoo".

Nel frattempo, dovresti esaminare il dispositivo per rilevare un'infezione da malware e controllare eventuali ulteriori traffico sospetto proveniente da questo host. Ma per favore mandatemi dei pcaps come mi piacerebbe esaminarli e confermare che il traffico sia dannoso o correggere il rilevamento.

Grazie,

~ Patrick

    
risposta data 13.06.2014 - 02:47
fonte

Leggi altre domande sui tag

Cracking Kingston DataTraveler vault privacy - è possibile? honeyd è ancora una buona alternativa?