14 lines
1.3 KiB
Plaintext
14 lines
1.3 KiB
Plaintext
|
|
rule VirTool_Win64_NimRevshell_A{
|
|
meta:
|
|
description = "VirTool:Win64/NimRevshell.A,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {48 89 c1 e8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 85 28 fd ff ff ?? ?? ?? ?? ?? ?? ?? 48 89 85 38 fd ff ff 48 c7 85 30 fd ff ff 00 00 00 00 66 c7 85 40 fd ff ff 00 00 ?? ?? ?? ?? ?? ?? ?? 48 89 c1 e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 89 45 f8 48 c7 85 30 fd ff ff 07 00 00 00 ?? ?? ?? ?? ?? ?? ?? 48 89 85 38 fd ff ff c7 44 24 20 00 00 00 00 41 b9 01 00 00 00 41 b8 06 00 00 00 ba 01 00 00 00 b9 02 00 00 00 e8 ?? ?? ?? ?? 48 89 c2 ?? ?? ?? ?? ?? ?? ?? 48 89 c1 e8 ?? ?? ?? ?? 48 c7 85 30 fd ff ff 0a 00 00 00 ?? ?? ?? ?? ?? ?? ?? 48 89 85 38 fd ff ff 48 c7 45 f0 00 00 00 00 48 ?? ?? ?? ?? ?? ?? 48 89 45 f0 ?? ?? ?? ?? ?? ?? ?? 48 89 c1 e8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 83 7d f0 00 } //1
|
|
$a_03_1 = {48 c7 85 30 fd ff ff 0b 00 00 00 ?? ?? ?? ?? ?? ?? ?? 48 89 85 38 fd ff ff 48 c7 45 e8 00 00 00 00 48 ?? ?? ?? ?? ?? ?? 48 89 45 e8 ?? ?? ?? ?? ?? ?? ?? 48 89 c1 e8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 83 7d e8 00 ?? ?? 48 8b 45 e8 48 89 c1 e8 ?? ?? ?? ?? 48 c7 85 30 fd ff ff 0e 00 00 00 } //1
|
|
$a_01_2 = {40 63 6d 64 20 2f 63 20 } //1 @cmd /c
|
|
$a_01_3 = {5c 5c 2e 5c 70 69 70 65 5c } //1 \\.\pipe\
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_01_2 & 1)*1+(#a_01_3 & 1)*1) >=4
|
|
|
|
} |