Networkforensic

Threat hunting

Industroyer2 IEC-104

 20 Maj 2022  - Blog Post # 828

Industroyer2.
Man kan læse en god gennemgang af Industroyer2 fra Netresec her Det handler om at man via IEC-104 protokollen ændre circuit breaker switches fra ON til OFF og derved kan man lukke for strøm på visse typer powergrids. IEC-104 protokollen er bestemt ikke noget man som analytikker kommer til at se hver dag, så det er lidt at et scoop vi ser dette og bestemt takket være Erik Hjelmvik fantastiske forarbejde.

Malware sampels
Erik fra Netresec har fået fingerne i dette malware, der har muliggjort capture af hvordan trafikken ser ud når der sker en ændring via IEC-104. De frigivet pcap's fra Netresec er ikke super venlige at foretage analyse på. Derfor er disse blevet omskrevet fra RAW til Ethernet via TCPREWRITE og en tur igennem CyberChef for at ændre både SRC og DST ip'er der alle var de samme. Den sidste del stod Jesper Lindgren (TDC NET) for og hans altid fantastiske hovede til den slags analyse arbejde, hvilket har muliggjort, at vi nu i et mere venligt format kan frigive de omskrevet pcap's.

EnergiCERT i danmark var faktisk dem der ønskede detection i denne protokol, fordi der ikke findes noget derude der kan opdage ændringer til en "OFF state", vi takker derfor for deres ønske omkring dette.

Filnavn (PCAP): indu.zip
SHA1: a43d02b9254bfc9ebe09b89e86b439f5dc27aa0b

SNORT Rule Frigivet
Denne er frigivet via mit SCADA IDS rule detection set SID:120002001
https://networkforensic.dk/SNORT/NF-SCADA.zip

Vær opmærkstom på, at det kan betale sig KUN at benytte denne IDS rule i et miljø hvor man kan sætte IP'adresser op på hvor IDS reglen skal detecte fra. Man skal også være opmærksom på at jeg ikke direkte kigger efter Industroyer2 trafik men en alm command fra IEC-104 der benyttes af Industroyer2, dog benyttes denne command meget flittigt imod systemer, og det er klart noget man gerne vil holde øje med sker.

Opdatering: 21-05-2022
Jeg er opmærksom på en ny version at loaders til Industroyer mm. Men de har ingen betydning i denne forbindelse, da nye loaders, malware der inficerede et system, ikke kan ændre på de commnads der skal benyttes for at flippe en circuit breaker.

I forhold til at flippe til en ON state, så blev det også en ønske fra nogen, at man også kunne se dette. Det er hermed også lagt ud i mine SCADA IDS rules.

 

Credman event id 5379

 13 Maj 2022  - Blog Post # 827

Password protected zip filer.
Credman event id 5379 kan godt være noget der støjer rigtig meget i SIEM systemer, især når man logger fra alle klienter. Personligt her jeg ikke selv fundet brug for dem før, nu og hvor Credman events giver god mening at indsamle fra hosts.

Et eksempel
Meget malware kommer via mail som password protected zip filer. En bruger der udpakker en password beskyttet zip fil med Windows explorer, vil efterlade en windows event 5379, hvor man kan se navn osv. på den udpakket zip fil. Det er rigtig nyttig i forbindelse med incident hvor man jagter "patient zero" eller starten på en infection chain på anden vis. Det kan være til alverdens former for malware attacks for rigtig meget benytter password beskyttet zip filer.


 

Bemærk man kun ser dette såfremt man benytter "Details view" og kigger i "Friendly view" eller "Details"


Anbefalling
Det er klart anbefalet at opsamle Event ID 5379 Event data type 1. Kig efter udpakket zip filer fra klienter og servers.
Lav et dashboard i jeres SIEM systemer der holder øje med det her når det sker.

 NF IDS Rules
10 Latest Updates

Industroyer2 - On

Industroyer2 - Off

Metastealer

Generic RTLO detection

Generic web-site defacement

Stretchoid scanning

Binaryedge.ninja scanning

DNSCat2

Hola Proxy VPN

radmin remote

Download