Networkforensic

Cyber threat hunting

XmlRPC as C2 Channel

10 November 2018  - Blog Post # 704

APT gruppe bruger XmlRPC com C2 kanal
Undersøgte et APT angreb fra 2012 og faldt over en interessant ting. Den bruger en teknik fra 1999  til at hente exe filer med POST commands tilbage til den inficeret host som er b64 encoded. Det har virket i 18 år, mon ikke det er på tide at se efter denne type trafik ?

Må sige det er yderst effektivt, ingen gateway systemer kan resample det, ingen IDS alert eller BRO alerts.
Malware flyver bare direkte igennem på tråden. ALT kan køre frem og tilbage via XML RPC. Sidder man i en SOC/SAC skal man kunne spotte denne type trafik.


IDS rule frigivet
Jeg har lavet  IDS flow bit rule der finder Useragent der matcher og hvor der benyttes IP adresser i host. Trigger først når der benyttes de rigtige commands fra serveren. og connection er established fra serveren.

Denne kan godt give falske positiver men det er vigtigt man tjekker filsen der bliver sendt (Denne skal samples)
sid:5026013 og sid:5026015


 NF IDS Rules
5 Latest Updates  

XmlRPC C2 channel

SMB Connections

icanhazip IP lookups

Empire Powershell

WinHTTP Web Proxy

Download