Networkforensic

Threat hunting

Ny angrebs metodik "GrimResource"

 27 Juni 2024  - Blog Post # 864

GrimResource
Elastic Security har publiceret information omkring en ganske ny metodik, der fik min store interesse, da man kan sende msc udformet filer direkte igennem de fleste mail systemer uden de bliver stoppet. Ved ikke hvorfor det skal være muligt at indlejre scripts i denne type af filer, men det kan man altså. Det er lige så godt som at kunne sende EXE filer igennem et mail system uden det blver stoppet eller blokeret ude på endpoints.

MSC filen er en Windows Management Console fil, som meget ofte beyttes af Microsoft admins. MSC filen bliver typisk åbnet på klienter og servers med mmc.exe. Den nuværende kampage var for et par dage side helt uden detection herunder 0 hits på VT. 



Tiden efter Office default allow scripting
Den evige jagt på muligheder for at afvikle scripts efter Microsoft har disablet den default opførelse i Office, køre lystigt. Denne gang er det MSC filer. Man skal ikke tillade MSC extension typer via mailsystemer, det er MEGET kritisk at man få dette blokeret omgående.

Opdatering. 02-07-2024
Angående vedhæftet filtype for at udnytte denne angrebsvinkel er *.msc. Så har jeg teste flere O365 mail systemer hvor det ikke er tilladt og andre hvor de render fint igennem. Til min overraskelse render det også fint igennem systemer som Proton-mail. Så uanset tjek lige eget system og på et O365 er det åbenbart ikke implicit at det er blokeret.. Man kan desuden lave blokeringer af MSC filer i Windows med bla Sysmon og mange andre værktøjer.

Sysmon
Via sysmon config, har jeg lavet fuld detection for denne metodik. Så kommer de med nye skadelige filer og benytter denne metodik, så har man en chance for at opdage det med Sysmon Config 47.

IDS Detection
Der findes ikke IDS Detection til disse, da de pt bruger almindelig HTTPS

Happy hunting....

 SNORT
NF IDS Rules

10 Latest Updates

Kerio Crash FTP

Kerio crash Domain

Zendesk Crypto mining

Russian RMS Agent

Synology Quickconnect

ThightVNC Faild auth

Trojan Linux/Morila!MTB

RDP Connection from outside

DNS Tunneling

BitCoin Miner c3pool

BitCoin Miner xmrig

Download   
 

 Suricata
NF IDS Rules

10 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download