Networkforensic

Threat hunting

Trojan MedusaHTTP DDOS botnet malware

15 - August 2019  - Blog Post # 734

MedusaHTTP via RIG Exploit Kit
 Brad Duncan har publiceret information omkring DDOS Botnet malware MedusaHTTP. Der findes ikke noget der kan finde den "nye" MedusaHttp som stammer tilbage fra 2015. Dengang fundet af ArborNetworks.  Lige nu bliver den spredt via Rig Exploit Kit og angriber online gaming sites.

Der fandtes ikke nogen IDS rules der kunne finde den "nye" version. Dog er der triggers i andre retninger der finder andre dele af malware kampangen.

IDS Rule frigivet
Der er selvfølgelig frigivet IDS rules, man frit kan benytte. Testet på 400GB trafik uden falske positiver.

 

Lord EK med njRat

13 - August 2019  - Blog Post # 733

Lord EK med NjRAT
I en tidligere kampange bliver der også deployet njRAT som payload, via Lord EK. For at finde en unik trigger i denne, skal man lige bruge lidt tid på at læse data pakkerne igennem,da alt ser krypteret ud. ved første øjekast. Det kan sikkert snyde mange.

 

IDS Rule frigivet
Der er selvfølgelig frigivet IDS rules, man frit kan benytte. Dog er denne ikke så hård ved en SNORT sensor som nogen af de andre IDS rules jeg har set fra Talos og ET-PRO. Desuden bør falske positiver være minimale ved brugen af min IDS Rule.
 

Lord EK med Eris Ransomware

12 - August 2019  - Blog Post # 732

Lord EK med Eris Ransomware
De forsøger en del nye ting. Men det lykkedes ikke så godt, for der er detection til stort set det hele undtagen en ny IP lookup service som de vil benytte. Det er også første gang jeg ser ngrok tunnels blive benyttet i forbindelse med et Exploit Kit sammensat med Ransomware. Der er sågar et Payload Common Construct Bind_API rippet direkte fra Metasploit. Yderligere er ngrok tunnels sporbare......"SUCKS TO HAVE MADE THIS CAMPAIGN"


Eris Ransomware
Eris Ransomware er et forholdsvis nyt navn i Ransomware familierne. Bruger de klassiske TXT filer med ransomware tekst. Med andre klassiske "trisk"

Yderligere information
https://blog.malwarebytes.com/threat-analysis/2019/08/say-hello-to-lord-exploit-kit/

IDS Rule frigivet
Der er selvfølgelig frigivet IDS rules, man frit kan benytte.


 NF IDS Rules
5 Latest Updates   

DNS Tunneling TCP

Trojan MedusaHTTP

NjRAT

Lord EK

SuperTuneup


Download