Networkforensic

Threat hunting

NanoCore Trojan

09 Januar 2019  - Blog Post # 711

NanoCore Trojan
Et mere eller mindre perfekt RAT/ backdoor framework. Framework fordi der findes rigtig mange moduler denne Trojan kan bundles med.

Man kan finde rigtig mange artikler på Internettet om misbrug og deploy af denne fra flere forskellige exploit kits til Malware SPAM kampanger. Taylor Huddleston der lavede det, har netop fået 33 måneder i skyggen.

Seneste kampange er set 4 Januar 2019.

Trafik
Trafikken dette skaber er mere eller mindre perfekt til at bypasse rigtig mange systemer: I den test jeg selv satte op var der ikke nogen IDS eller AV alerts. Man kan builde en ganske "ukendt" Trojan på sekunder klar til deploy.

Trafikken er ganske ukendt og man kan "bedst" analysere denne såfremt man vælger at decode denne trafik som NNTP trafik i Wireshark. Ellers vil det bare ligne noget ganske ukendt trafik. Måske kan andet også benyttes men har ikke lige tjekket alle protokoller at decode med.

IDS Rule sets
Ved gennemgang af alle de forskellige IDS rule sets, kunne jeg godt finde IDS rules der ville spotte NanoCore men de fandt som sagt ikke den nye version jeg selv lavede. Noget jeg hurtigt opdagede var at alle IDS rules var meget målrettet de forskellige kampanger jeg tror man har spottet igennem tiden, derfor tog det en del tid denne gang for at se om det var muligt at lave en en IDS rule der kunne finde de forgående kampanger og samtidigt finde den jeg selv testede med. Det lykkedes heldigvis pænt godt uden falske positiver tjekket på ca 500Gb trafikdata.

Anbefaling
Benyt SRP rules på exe filer fra Windows startup folders. Klik ikke på noget du ikke kender.....

IDS Rule frigivet
Har frigivet en flowbit rule der er meget præcis. Så trigger denne er man meget sansynligt inficeret med NanoCore. Finder nuværende og tidligere versioner.
 

 NF IDS Rules
5 Latest Updates  

NanoCore Trojan

China Hopper

Community Rules

ISCSI device login

Honypot top rules

Download