Networkforensic

Cyber threat hunting

Request for png ore jpg file but receiving exe files

8 Juli 2018  - Blog Post # 694

Gamle triks nu med lidt genkendelse
I årevis har folk der skriver malware benytte denne metode hvor de sender hvad der ligner en png eller jpg fil men man vil modtage en exe fil. Det gør de for at snyde ham der kun sidder og kigger efter desideret exe filer på filnavne.

Det er helt klart forbundet med mistænkelig aktivitet såfremt dette sker og er typisk en indikator på at nogen forsøger at "snyde" med hvad de rent faktisk sender i virkeligheden. Derfor bør man altid lige undersøge disse forhold såfremt dette sker og lige undersøge exe filen der blev tilsendt. Når jeg ser dette giver det mig typisk en følelse af, at det software (vendor) også vil bruge ufine metoder andre steder. Derfor bruger jeg tid på at holde øje med hvad der ellers bliver sendt ind og ud af systemer og hvortil. Både ransomware, banking malware samt forskellige trojans benytter disse metoder herunder Trickbot.

Frigivet IDS Rule
Har frigivet nogle gamle IDS rules jeg selv har benytte rules der kigger efter "png" og "jpg" filer hen over kendte http porte, men hvor man modtager en velkendt exe fil. Man skal tage det for havd nemlig en kendt indikator på at nogen forsøger at snyde. De er dog pudset lidt af i forhold til Trickbot og deres metoder som primært.

 NF IDS Rules
5 Latest Updates 

Image file trick

Trickbot data xfil

Emotet

TrickBot

IcedID

Download