Networkforensic

Cyber threat hunting

Stright up hacking

 22 September 2018  - Blog Post # 698

Network forensics når det er bedst
I forbindelse med stor network forensic analyse af et angreb imod en infrastruktur der er blevet godt og grundigt hacket, har jeg lavet hele 11 nye IDS/IPS rules der kan benyttes. De er bygget på baggrund af metodikker som har været benyttet i angrebet.  Angrebs metodikken er det jeg vil kalder for Stright Up Hacking. Der har været benyttet bla Metasploit, java exploits, Spear phishing, shell code, SSH på unormale porte til data exfil osv osv.

Det er meningen at de skal supporterer de nuværende IDS rules jeg har lavet som faktisk var dem der gav flere alerts end en standard Talos SNORT rule set. som kun var istand til at detecte en eneste event. Så jeg kan klart anbefale at de nye rules benyttes.

SMB2 Target name....CIFS den total give away og manglende OPSEC
I dette angreb har hackeren bevæget sig rundt bla ved hjælp psexe.exe med connections udefra ind til hacket pc'er. Her har han benyttet SMB2 for bla. tilgang til Microsoft default shares via PORT 445. Her kommer det "fede" man bør holde øje med. I Target Name står der følgende cifs/199.x.x.x. hans IP adresse han kommer fra inklusiv at der i NetBIOS computer name står hvad hans pc hedder. Det der bør holdes øje med er derfor CIFS/IP-adresser der ikke ligger inden for det net man normalt benytter.

Et display filter man kan benytte er følgende - ntlmssp.ntlmv2_response.target_name

Hvem tillader dog SMB trafik i sin firewall til IP adresser uden for ens eget net ?
Jeg kan da kun anbefale at man ikke tillader SMB af nogen form til Internettet. Dette skal sættes som en GPO via AD eller lokale security policys og på lokale firewalls samt på en primeter firewall.  Ved en undersøgelse at trafik fra Internettet der bare er der, kan man se rigtig meget SMB trafik der kommer fra private IP adresser. Så der må være rigtig mange derude der ikke blokker for outbound SMB trafik. Dertil kan jeg kun anbefale man køre nativ SMB3. Men det kan give mange problemer med ældre systemer.

Frigivet IDS Rule
Der er frigivet 11 IDS rules. De er lagt ind imellem de nuværende og ikke som en sepperat kategori, da de tilhører flere forskellige kategorier. Da jeg forsøger at bygge mine IDS rules op omkring metodikker frem for eks DNS som stinker big time, så vil de være forbundet med falsk positiver, men give anledning til man rydder op i sin infrastruktur frem for at slå disse fra. 

 NF IDS Rules
5 Latest Updates 

TOR v8 starting 

11 Generic rules

Generic DNS Response

Apache Struts
 
Image file trick

Download