alerta SNORT para Trufflehunter SFVRT 3: 29312: 1

Question

alerta SNORT para Trufflehunter SFVRT 3: 29312: 1

#1 de phoo (1 votos)

0

Estoy viendo que aparece esta alerta de Snort varias veces al día, pero mi Google-foo me está fallando, ya que no puedo encontrar ninguna información sobre esta alerta en Internet. ¿Alguien puede indicarme la dirección para obtener más información sobre esta alerta en particular? Además, si se debe hacer algo en particular?

CRITICAL - (2 errors in snort.protocol-2014-06-12-04-47-09) - 06/12-04:43:47.771462  [**] [3:29312:1] MISC TRUFFLEHUNTER SFVRT-1013 attack attempt [**] [Classification: A Network Trojan was Detected] [Priority: 1] {ICMP}

Gracias,

snort

pregunta StarKev2525 12.06.2014 - 15:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas snort

honeyd sigue siendo una buena alternativa? ¿Qué hace esta regla de Snort? [cerrado]

score 1 · Accepted Answer

Este es Patrick de VRT. Esa regla es una "trufa", lo que significa que detecta un incidente de seguridad para el cual desafortunadamente no podemos proporcionar información adicional debido a las restricciones de NDA. Estaría muy interesado si pudiera compartir algunos pcaps de alerta para esta regla, así podría informarle si son realmente maliciosos o no. Puede enviarme un mensaje privado aquí y le daré mi dirección de correo electrónico directa de Sourcefire o puede encontrarme en Freenode en #snort como "phoo".

Mientras tanto, debe investigar el dispositivo en busca de una infección de malware y observar cualquier tráfico sospechoso adicional que provenga de este host. Pero, por favor, envíenme algunos pcaps ya que me encantaría examinarlos y confirmar que el tráfico es malicioso o corregir la detección.

Gracias,

~ Patrick