Networkforensic
Threat hunting
SMB Signing
16 Januar 2026 - Blog Post # 880
Scanninger
Der findes rigtig mange aktører der scanner internettet som
de har lyst til derude. Det er primært rettet imod Threat
Intelligence (TI) til viderer
salg af informationer fra forskellige sikkerheds løsninger. Eller
det kan være med andre formål.Der mange generalt
lovgivning på området og det har altid manglet. Det er et tveægget
sværd, som bla er kan være med til at målrette os selv og udstille
de sårbarheder og teknologier man har eller benytter. Det er i min
optik slet ikke smart på nogen måder i den tid vi lever i da vi
udstiller os selv og hvor vores svagheder er. Selveom man er helt
opdateret på alle fronter kan en finde en sårbarhed i en system type
og meget hurtigt lokalisere hvor der skal angribes. Så lader man sig
scanne, vil man typisk også være en af de første der altid bliver
ramt.
Nyeste skud på stammen....CrowdStrike Falcon
Igennem lang tid har jeg publiceret scannings lister / IP lister osv
fra forskellige aktører. Den seneste nye der er tilføjet er
CrowdStrike fra deres Falcon Surface platform.
Man bør have disse lister kørende og smide alle IP adresser ind i
Firewalls så al trafikken fra dem bliver droppet. Det skal også være
alle de steder hvor man har åbne service til eks mail, web, vpn,
osv osv.... Lav en default drop liste der ligger over alt andet i
inbound regler i en firewall og på hostiing sites som eks Azure osv
kan man ligge dem ned i lokale host firewalls.
Lister:
En fuld IDS rules liste med 75 forskellige aktører kan
hentes her. Man kan eks selv hive
alle IP adresserne ud såfremt man ikke kan køre IPS.
Som noget lidt nyt kan man også hente
en liste med de IP adresser
jeg kender der er relateret til
BIMP-Botnettet
Her skal man være opmærksom på at jeg ved der er langt flere IP
adresser end de 6.500+ der lige er tilføjet. Dette skyldes
forskellige muligheder for at kunne optage trafikken når disse
angriber.
Opdatering omkring BIMP-Botnettet
En lille opdatering i forhod til BIMP-Botnettet er at det er
lykkedes at få fat i en inficeret enhed. Jeg har kigget på en
GR241AG ONT fiber Gateway. Denne enhed gav mere end 130GB trafik
data pr uge med alle mulige former for inficeret trafik. Jeg er
derfor overbevist om at dette botnet stammer tilbage til ca 2017.
Det er opbygget som et stort proxy netværk der er indelt i
forskellige kategorier. Jeg mener dette kan være at meget af det
bliver udlejet til forskellige formål af ejerne bag dette. Der
ligger forskellige former for "attack networks" inde i
BIMP-Botnettet. Meget er Russisk men slet ikke udelukkende Russisk,
da jeg ser Vietnam være rigtig glade for dette netværk. Der sker
mange former for attacks igennem BIMP-Botnettet og det er derfor
meget anbefalet at man blokere for IP adresserne relateret til dette
netværk.
Happy hunting...
SNORT
NF IDS Rules
Latest Updates
WireGuard VPN
Detection
SbaProxy
NGROK Tunnels
Top 10 bad TLD
Danish law DNS blocking
Trojan
Winn32/Stealc
NoMachine
Busybox Shell
Download
Suricata
NF IDS Rules
3 Latest Updates
NGROK Tunnels
BIMP-BotNet
Remcos-RAT
Download
Scanner
Detection
NF IDS Rules
75 Different
scanning actors
Download
Sysmon
Config
Latest Updates
Version 15.15 Config 138
Download