Networkforensic
Threat hunting
Remcos-RAT
26 September 2021 - Blog Post # 801
Remcos-RAT
Tilbage i September 2019 skrev jeg om Remcos-RAT som jeg
dengang syntes var en rigtig "godt lavet" RAT. Det syntes jeg
stadig, dog er den lige blevet et hak bedre. Der er stort set ikke
meget tilbage i tafikken hvorpå denne kan identificeres på andet end
et par unormale porte med TLS Client Helo i. Bliver denne brugt
henover de normal TLS port ville denne stort set være "umulig" at
finde. Det sample jeg lige har undersøgt at Remcos er brugt i et
målrettet angreb hvor payloads indeholder exploits med bla Microsoft
Office Memory Corruption mm.
IDS Rule Frigivet
Denne finder faktisk kun TLS Client Helo på de "unormale" porte. Dog
skal man lige være vågen for der er ikke noget certifikat at finde i
trakikken. Jeg vil tro denne IDS rule kan give falske positiver, men
bør være meget begrænset i omfang. Derfor bør man holde øje med de
IDS rules der trigger imod den pågældende host da der typisk er
andet at finde samtidigt.
Trojan Squirrelwaffle Loader
25 September 2021 - Blog Post # 800
Squirrelwaffle
Loader
Squirrelwaffle loader er åbenbart det der har overtaget den
"gamle" Qakbot Botnet infrastruktur. Så vi skal nok vænne os til at
se mere til Squirrelwaffle. Den 13 September 2021 gik det løs med
distribution af Cobolt Strike med hjælp fra Squirrelwaffle loader.
Det køre lige nu som mails med links fra en dokument fil, der pakker
en vbs fil ud som henter "forskellige" payloads. Lige nu er det
Cobolt strike.
C2 domæner
Der findes masser af domæner med C2 der allerede er blokeret. Det
her er bare et udsnit af dem der findes. Men man kan med fordel
blokere for disse.
centralfloridaasphalt[.]com
kmslogistik[.]com
chaturanga[.]groopy[.]com
mercyfoundationcio[.]org
shoeclearanceoutlet[.]co[.]uk
spiritofprespa[.]com
jhehosting[.]com
key4net[.]com
lead[.]jhinfotech[.]co
voip[.]voipcallhub[.]com
voipcallhub[.]com
bartek-lenart[.]pl
lenartsa[.]webd[.]pro
amjsys[.]com
novamarketing[.]com[.]pk
ems[.]prodigygroupindia[.]com
hrms[.]prodigygroupindia[.]com
SRP Rule
Det er nok tid til at tilføje følgende sti til sine SRP rules. Det
breaker alle kampanger der er set indtil nu.
Tilføj "vbs" til "Designated file
type Properties"
Tilføj %PROGRAMDATA%\ til Path
Rules som disallowed
Kendte triggers på stribe
Det er ikke fordi man slet ikke kan opdage de her kampanger med de
default triggers der allerede findes og dem jeg selv har lavet
bliver da også triggert på stribe.
IDS Rule
Frigivet
Lidt sjovt, at jeg denne gang skulle lave en IDS rule, på det der
faktisk ikke lige
er synligt i en Wireshark forensic analyse af trafikken. Men den
fanger alle de kampanger der er set indtil nu og finder C2 trafikken
med det samme også fra alle de ikke kendte domæner. Ingen kendte
falske positiver.
NF IDS Rules
5 Latest Updates
Remcos-RAT
SHODAN Scanning
Trojan Squirrelwaffle
FileZilla Server
Scanning IP's
Download