Beschreibung
Emerging Threats
- Vielzahl von IDS/IPS-Regelsätzen
- Versionen
Version |
Beschreibung
|
ET Open |
frei, BSD-lizenziert
|
ET Pro Telemetrie |
kostenpflichtig
|
ET Open
- OPNsense etnhält standarmäßig die ET Open-Regeln
Regelwerk |
Beschreibung
|
botcc |
https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
|
botcc.portgrouped |
|
ciarmy |
|
compromised |
|
drop |
|
dshield |
|
emerging-activex |
|
emerging-adware_pup |
|
emerging-attack_response |
|
emerging-chat |
|
emerging-coinminer |
|
emerging-current_events |
|
emerging-deleted |
|
emerging-dns |
|
emerging-dos |
|
emerging-exploit |
|
emerging-exploit_kit |
|
emerging-ftp |
|
emerging-games |
|
emerging-hunting |
|
emerging-icmp |
|
emerging-icmp_info |
|
emerging-imap |
|
emerging-inappropriate |
|
emerging-info |
|
emerging-ja3 |
|
emerging-malware |
|
emerging-misc |
|
emerging-mobile_malware |
|
emerging-netbios |
|
emerging-p2p |
|
emerging-phishing |
|
emerging-policy |
|
emerging-pop3 |
|
emerging-rpc |
|
emerging-scada |
|
emerging-scan |
|
emerging-shellcode |
|
emerging-smtp |
|
emerging-snmp |
|
emerging-sql |
|
emerging-telnet |
|
emerging-tftp |
|
emerging-user_agents |
|
emerging-voip |
|
emerging-web_client |
|
emerging-web_server |
|
emerging-web_specific_apps |
|
emerging-worm |
|
tor |
|
- Details und Richtlinien
- Dokumentation der Regeln
ET Pro Telemetrie
Abuse.ch
- Blacklists zum Schutz vor betrügerischen Netzwerken
Feodo Tracker
- Feodo ist ein Trojaner
- auch bekannt als Cridex oder Bugat
- Bankbetrug und Diebstahl von Informationen
- z. B. Kreditkartendaten oder Anmeldeinformationen
- Versionen
Version |
Beschreibung
|
Version A |
Wird auf kompromittierten Webservern gehostet
- auf denen ein nginx-Proxy an Port 8080 TCP läuft
- der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
- Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
|
Version B |
Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
- Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
- Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
|
Version C |
Nachfolger von Feodo, völlig anderer Code
- wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
- Diese Version ist auch unter den Namen Geodo und Emotet bekannt
|
Version D |
Nachfolger von Cridex
- Diese Version ist auch als Dridex bekannt
|
Siehe https://feodotracker.abuse.ch/
SSL Blacklist
- Liste von "schlechten" SSL-Zertifikaten
- Die von abuse.ch mit Malware oder Botnetz-Aktivitäten in Verbindung gebracht werden
- Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an
Siehe https://sslbl.abuse.ch
URLHaus
- Sammelt kompromittierte Seiten, die Malware verbreiten
- Weitere Informationen
App-Erkennung
- Blockieren von Webdiensten
- 80 Prozent des Datenverkehrs sind Webanwendungen!
- OPNsense-App-detect
Regelwerk |
Beschreibung
|
file-transfer |
|
mail |
|
media-streaming |
|
messaging |
|
social-networking |
|
test |
|
uncategorized |
|
- Weitere Informationen