Beschreibung
Emerging Threats
- Vielzahl von IDS/IPS-Regelsätzen
- Versionen
| Version |
Beschreibung
|
| ET Open |
frei, BSD-lizenziert
|
| ET Pro Telemetrie |
kostenpflichtig
|
ET Open
- OPNsense etnhält standarmäßig die ET Open-Regeln
| Regelwerk |
Beschreibung
|
| botcc |
https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
|
| botcc.portgrouped |
|
| ciarmy |
|
| compromised |
|
| drop |
|
| dshield |
|
| emerging-activex |
|
| emerging-adware_pup |
|
| emerging-attack_response |
|
| emerging-chat |
|
| emerging-coinminer |
|
| emerging-current_events |
|
| emerging-deleted |
|
| emerging-dns |
|
| emerging-dos |
|
| emerging-exploit |
|
| emerging-exploit_kit |
|
| emerging-ftp |
|
| emerging-games |
|
| emerging-hunting |
|
| emerging-icmp |
|
| emerging-icmp_info |
|
| emerging-imap |
|
| emerging-inappropriate |
|
| emerging-info |
|
| emerging-ja3 |
|
| emerging-malware |
|
| emerging-misc |
|
| emerging-mobile_malware |
|
| emerging-netbios |
|
| emerging-p2p |
|
| emerging-phishing |
|
| emerging-policy |
|
| emerging-pop3 |
|
| emerging-rpc |
|
| emerging-scada |
|
| emerging-scan |
|
| emerging-shellcode |
|
| emerging-smtp |
|
| emerging-snmp |
|
| emerging-sql |
|
| emerging-telnet |
|
| emerging-tftp |
|
| emerging-user_agents |
|
| emerging-voip |
|
| emerging-web_client |
|
| emerging-web_server |
|
| emerging-web_specific_apps |
|
| emerging-worm |
|
| tor |
|
- Details und Richtlinien
- Dokumentation der Regeln
ET Pro Telemetrie
Abuse.ch
- Blacklists zum Schutz vor betrügerischen Netzwerken
Feodo Tracker
- Feodo ist ein Trojaner
- auch bekannt als Cridex oder Bugat
- Bankbetrug und Diebstahl von Informationen
- z. B. Kreditkartendaten oder Anmeldeinformationen
- Versionen
| Version |
Beschreibung
|
| Version A |
Wird auf kompromittierten Webservern gehostet
- auf denen ein nginx-Proxy an Port 8080 TCP läuft
- der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
- Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
|
| Version B |
Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
- Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
- Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
|
| Version C |
Nachfolger von Feodo, völlig anderer Code
- wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
- Diese Version ist auch unter den Namen Geodo und Emotet bekannt
|
| Version D |
Nachfolger von Cridex
- Diese Version ist auch als Dridex bekannt
|
Siehe https://feodotracker.abuse.ch/
SSL Blacklist
- Liste von "schlechten" SSL-Zertifikaten
- Von abuse.ch als mit Malware oder Botnetz identifiziert
- Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an
Siehe https://sslbl.abuse.ch
URLHaus
- Sammelt kompromittierte Seiten, die Malware verbreiten
- Weitere Informationen
App-Erkennung
- Blockieren von Webdiensten
- 80 Prozent des Datenverkehrs sind Webanwendungen!
- OPNsense-App-detect
| Regelwerk |
Beschreibung
|
| file-transfer |
|
| mail |
|
| media-streaming |
|
| messaging |
|
| social-networking |
|
| test |
|
| uncategorized |
|
- Weitere Informationen
