16 lines
1.2 KiB
Plaintext
16 lines
1.2 KiB
Plaintext
|
|
rule Exploit_MacOS_CVE-2021-30937_A_MTB{
|
|
meta:
|
|
description = "Exploit:MacOS/CVE-2021-30937.A!MTB,SIGNATURE_TYPE_MACHOHSTR_EXT,05 00 05 00 06 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {65 78 70 6c 6f 69 74 61 74 69 6f 6e 5f 69 6e 69 74 } //01 00 exploitation_init
|
|
$a_01_1 = {65 78 70 6c 6f 69 74 61 74 69 6f 6e 5f 67 65 74 5f 6b 72 77 5f 77 69 74 68 5f 61 72 62 5f 66 72 65 65 } //01 00 exploitation_get_krw_with_arb_free
|
|
$a_01_2 = {65 78 70 6c 6f 69 74 61 74 69 6f 6e 5f 63 6c 65 61 6e 75 70 } //01 00 exploitation_cleanup
|
|
$a_01_3 = {ba 36 09 94 e1 0f 40 b9 e0 37 40 b9 e2 3f 40 b9 e3 3b 40 b9 aa fb ff 97 00 c0 ae d2 60 fc df f2 e0 ff ff f2 e0 0b 00 f9 a1 dd 9f 52 e1 1b 00 b9 04 fc ff 97 e0 0b 40 f9 b5 fb ff 97 e0 23 00 b9 e9 23 40 b9 e8 03 09 aa } //01 00
|
|
$a_01_4 = {2a 00 80 52 ea 0f 00 b9 29 05 00 71 00 d9 69 b8 ee 09 00 94 e0 3b 40 b9 48 1c 00 f0 01 69 45 f9 e2 ff 87 d2 ba 36 09 94 e1 0f 40 b9 e0 37 40 b9 e2 3f 40 b9 e3 3b 40 b9 } //01 00
|
|
$a_01_5 = {28 19 00 b9 a9 03 5e f8 08 c0 ae d2 68 fc df f2 e8 ff ff f2 28 c1 01 f8 a9 03 5e f8 28 42 a0 d2 08 ff c0 f2 28 41 02 f8 a9 03 5e f8 8a ec 87 d2 88 04 80 92 e8 63 b0 f2 68 fc df f2 28 69 2a f8 bf c3 1d b8 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |