Networkforensic

Cyber threat hunting

Mail attacments IQY - Internet Query

 26 Maj 2018  - Blog Post # 688

Mail attachments med iqy endelsen lader til at blive mere og mere benyttet.
Faldt over en filtype, der lader til at blive populær som mail attachments, og som er med til at give en meget lav detection rate. Det er set i forbindelse med FlawedAmmyy RAT. Det er faktiask første gang jeg ser denne extension type blive benyttet i forbindelse med malware kampanger. Den er lige nu sendt ud i million antal.....





Extension
IQY er ikke en normal extension man ser i et mail system. IQY bliver genkendt af Microsoft Excell. Så snart man klikker på den vil den basalt set hente indhold til Excell og execute dette. Den virker kun såfremt det er en ASP server der levere indholdt.


Excell henter data
Så snart den er aktiveret vil Excell starte og har man ikke blokkeret Excell i at hente externt indhold, får man nok et problem. Klikker brugeren enable her, vil man se excell med vist herunder "Getting Data..."

Her kan man eksempelvis lede i Kibana med følgende søgestreng, for at se hvor mange gange at man ser Excell henter data. useragent.keyword: "Microsoft Office Protocol Discovery"

Mailsystemer
Jeg kan kraftigt anbefale at man tilføjer *.iqy til sit mail attachment filter og sætter mails med denne type vedhæftet filer i karentæne.

Frigivet IDS Rule
ET-PRO har frigivet en IDS rule til selve C&C forbindelsen fra FlawedAmmyy RAT med sid:2025408

Der findes ikke nogen IDS rules der ser efter den User Agent som benyttes af Microsoft Excell. Det har jeg frigivet her som en Policy rule, fordi det ikke kan være ønsket at man tillader Microsoft Excell at lave outbound connections på denne måde. Det kan klart være forbundet med fejlkonfiguration af Office og såfremt man ser denne trigger bør desuden tjekke de URLS der bliver tilgået. Virker kun over HTTP PORTS.

 

 NF IDS Rules
5 Latest Updates 

DNS TXT SQ

PowerShell

ngrok tunnel

QUIC Protocol

Cisco Smart Install

Download