| Indicator | Rule Example (Suricata / Zeek) | |-----------|--------------------------------| | | alert http $HOME_NET any -> $EXTERNAL_NET any (http.host; content:"dl.missaxfiles.net"; nocase; sid:1000010; rev:1;) | | TLS fingerprint | The TLS client hello often uses a Chrome‑like JA3 hash: `771,4865-4866-4867-4868-49152-49153-49156-49171-49181-49185-49190-49200-49308-49309-49310-49311-49312-49313-49314-49315-49316-49317-49318-49319-49320-49321-49322-49323-49324-49325-49326-49327-49328-49329-49330-49331-49332-49333-49334-49335-49336-49337-49338-49339-49340-49341-49342-49343-49344-49345-49346-49347-49348-49349-49350-49351-49352-49353-49354-49355-49356-49357-49358-49359-49360-49361-49362-49363-49364-49365-49366-49367-49368-49369-49370-49371-49372-49373-49374-49375-49376-49377-49378-49379-49380-49381-49382-49383-49384-49385-49386-49387-49388-49389-49390-49391-49392-49393-49394-49395-49396-49397-49398-49399-49400-49401-49402-49403-49404-49405-49406-49407-49408-49409-49410-49411-49412-49413-49414-49415-49416-49417-49418-49419-49420-49421-49422-49423-49424-49425-49426-49427-49428-49429-49430-49431-49432-49433-49434-49435-49436-49437-49438-49439-49440-49441-49442-49443-49444-49445-49446-49447-49448-49449-49450-49451-49452-49453-49454-49455-49456-49457-49458-49459-49460-49461-49462-49463-49464-49465-49466-49467-49468-49469-49470-49471-49472-49473-49474-49475-49476-49477-49478-49479-49480-49481-49482-49483-49484-49485-49486-49487-49488-49489-49490-49491-49492-49493-49494-49495-49496-49497-49498-49499-49500-49501-495