ARAKIS

Szczególy klastra: [WORM] Conficker/Downadup activity (445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase

Nazwa:	[WORM] Conficker/Downadup activity (445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase
Data:	2009-01-18 18:30:24
Poziom klasyfikacji:	Attack
Rdzeń:	[WORM] Conficker/Downadup activity (445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase
Porty:	445/TCP
Unikalnych źródeł:	9885
Rozmiar sygnatury:	118
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"[WORM] Conficker/Downadup activity (445/TCP, "NT \ LM 0.12", MS08-067) - SMB negotiation phase"; flow:to_server,established; content:"\|00 00 00\|/\|ff\|SM\ Br\|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00\|\\\|02 00 00 00 00 00 0c 00 02\|NT L\ M 0.12\|00 00 00 00\|I\|ff\|SMBs\|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00\|\\\|02 00\ 00 00 00 0d ff 00 00 00 ff ff 02 00\|\\\|02 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 0b 00 00 \ 00\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.