Networkforensic
Threat hunting
Redline Stealer / Net.TCP Port Sharing protocol
3 Marts 2023 - Blog Post # 849
Net.TCP Port Sharing protocol
Dette er en protokol
opfundet af Microsoft for bla at løse
unfordring med at der kun kan være 1 service forbundet til en port.
Det bruges primært på IIS web servers. Men trafikken når man kigger
på den er helt anderledes end alt muligt andet, da det jo er en
anden (ikke ny protokol). Typisk ser man trafikken gå fra High ports
til High ports. Det må siges at være lidt den "perfekte" service man
kan enable på en ISS for at knytte malware til samme porte på
web-serveren som de legale kørende ting man ellers kunne forvente.
Det gør også man skal være vågen overfor at flere "programmer" kan
køre på samme porte, herunder malware og især ved forensic af en
web-server.
RedLine
Ved et tilfælde finder jeg en ET IDS trigger på RedLine fra
2021.
Men denne trigger kiggede ikke efter Redline men net.tcp Port
Sharing delen. Den person fra ET der har lavet denne IDS trigge har
åbenbart ikke vist, at dette var net.tcp port sharing. For der blev
ikke kigget efter selve malware delen. Der blev kigget efter
content:"net.tcp|3a 2f 2f|";
som er lige netop net.tcp port sharing.
Det man nok lige skal være vågen overfor i det malware sample jeg
henviser til, er det faktum at det er "High ports" til "high ports"
hvilket kan indikere at firwall config måske ikke er tunet optimalt.
Men net.tcp kan laves til at køre på alle porte. Det er også første
gang jeg rent faktisk ser malware der udnøtter net.tcp og så er det
fra 2021. Det er så også uklart for mig om dette kan have været
tilfældet helt tilbage til 2018.
Data X-fil
Det er første gang jeg rent faktisk ser data X-fil hen over net.tcp
port sharing. Det er rent faktisk kun 1 henvisning og hvis man kan
huske
Solarwinds hacket fra 2019 så blev denne
Exploit forklaret i 2018 hvilket er lidt bemærkelsesværdigt i
sig selv. Lige nu virker data X-fil der bruger net.tcp ports sharing
rent faktisk er 100% undetected. Det er ikke
krypteret med kører "In the open" (klar txt) selvom net.tcp
understøtter kryptering.
Microsoft net.tcp port sharing
Der er lidt mere information om net.tcp her
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/net-tcp-port-sharing?source=recommendations
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/net-tcp-port-sharing
Wireshark
Man skulle tro at Wireshark kunne forstå trafikken, men der er ikke
noget protokol genkendelse i Wireshark og mit bedste bud til
denne del er dette display filter -> tcp contains "net.tcp://"
Caploader fra Netresec
Caploader kan finde Redline Stealer.
Malware sample
Fra ET IDS reglen er der en ref til RedLine malwaren
MD5: 6b5c7d46224b4d7c38ec620c817867ad
ET SID 2043233 Men igen så kigger denne efter net.tcp
og ikke efter selve Redline Inforstealer.
MalwareBazaar
https://bazaar.abuse.ch/sample/29c5edac63fee5c99aa2307b2b16bfb5123a51d3c9dfef6bfb1342e18a20d641/
Any Run
https://app.any.run/tasks/503d74e7-9d60-4def-8605-3906e72509e3/
EDR
Der kan laves en hel del detection der holder øje med servicen
lokalt på web-servers og hosts herunder forbindelser fra servicen.
Det er klart anbefalet man lige for undersøget om ens EDR holder øje
med dette.
IDS Rule frigivet
Jeg har frigivet en IDS sig der kigger efter net.tcp port sharing
protokollen, da den jo er interesseant i forhold til IP, porte,
domæner og filer osv..
Opdateret 05-03-2023
Har fået tjekke flere forskellige RedLine Stealer kampanger igennem,
hvor der bliver benyttet net.tcp. Jeg kan nu identificeret når det er net.tcp og Redline der bruger net.tcp.
Happy hunting...
NF IDS Rules
10 Latest Updates
ISL Remote tool
RedLine Stealer
net.tcp port
sharing
NetSupoprt RAT
WebDav files
HTTP Traffic on
Websocket
Trojan Rhadamanthys Stealer
TOR Browser
Cloud Shovel
IcedID BackConnect
Download