Networkforensic
Threat hunting
BIMP-BotNet
03 Marts 2026 - Blog Post # 885
Ændringer i angrebs metodik
For første gang siden 2021 er der sket en ændring i den
måde hvorpå BIMP-BotNet
foretager bruteforce angreb imod mail systemer. Denne ændring kom 1
Marts 2026.
Der er foretaget 2 ændringer. Det betyder at eks SSL (TLS) parseren
i SNORT kunne blive bypasset så længe BIMP holdt en del af
trafikken på port 25 (SMTP) En anden ting de nu forsøger, er
at lave IP spoofing i EHLO commanden.
EHLO
Netop forsøg med Spoofing i EHLO er velkendt. Det betyder der bliver
indsat en spoofet (falsk IP adresse) i EHLO som ifølge standarden
skal være den server der sender og netop her er det typisk et mail
domæne man benytter, men må må faktisk gerne benytte en IP. Men så
skal det være IP på afsender. Men som eks billedet viser
herunder er den rigtig afsender
2.60.252.[90] og ikke 61.99.249.[45]
Billede viser en SMTP EHLO med spoofed IP
Effekten af netop en spoofet IP i EHLO kan have en effekt. Benytter
man kun Syslog beskeder fra sit mailsystem, kan kan man hurtigt
bllive snydt, da man ofte ikke ser den rigtig afsender IP adresser i
ens syslog besked. Her kommer det naturligvis an på hvilken type
system man benytter.
Hvorfor jeg netop nævner Syslog, er fordi jeg har fået en
henvelselse fra en der netop kun modtager denne type syslog beskeder
fra sit mailsystem og ved brug af den
BIMP IP blokerings liste jeg
frigiver, finder de aldrig at BIMP-BotNet som angriber dem. Men man
skal altså søge efter IP adresser fra forbindelser til mail
systemet. Helst via Firewall logs og bedst et IDS / IPS system med
full logning på. (Brug
Security Onion)
Eksempel:
{smtps} Command EHLO [61.99.249.45]
(IP adressen her, findes ikke i BIMP blokerings listen)
Wireshark display filter
(smtp.req.command == "EHLO") &&
smtp.req.parameter
IDS rule frigivet
Jeg har frigivet nye IDS Rules. Til både BIMP TLS samt til
EHLO commands hvor der benyttes IP adresser.
For at få bedst udnyttelse kan man benytte sig af søgninger i sit
SIEM til at finde Spoofed IP adresser. Simpelt og pænt....
Happy hunting...
SNORT Rules
Latest updates
BIMP-BotNet related
SMTP EHLO With IP
BIMP-BotNet
njRat / Nladabindi Trojan
Sliver - mail related
TOP BAD HTTPS TLD
Download
Suricata Rules
Latest updates
Sliver
NGROK Tunnels
BIMP-BotNet
Download
Known scanners
Latest
update
77 Different
scanning actors
Download
Sysmon Config
Latest update
Version 15.15 Config 148
Download