Networkforensic

Threat hunting

BlackNurse Attacks - Now Black Storm

21 Fedruar 2022  - Blog Post # 813

rBlackNurse
NexusGuard har nu identificeret en udvikling af BlackNurse DOS attacket som jeg var en stor del af af foretage analyse af tilbage i 2016 sammen med et par kolleagaer fra min daværende arbejdsplads i TDC-SOC. BlackNurse som bestemt ikke er forsvundet, er nu blevet udviklet til "Black Storm" hvilket er vildt.

Black Storm i en nøddeskal
En spoofet UDP pakke bliver sendt til en enhed (Porte behøver ikke være åbne)
Enheden vil så svare den spoofet IP med en ICMP pakke. Der bliver svaret på samme måde som i BlackNurse attacket med Type 3 Code 3. Og vupti nu er BlackNurse pludselig noget der kan udnyttes i et distriburet spoofet angreb. Smart og rigtig farligt, for de fleste kan ikke gøre noget ved det, hvis det bliver angrebet. Eks kan man jo bare angribe enhederne før det target man ønsker at angribe og target kan slet ikke se hvad det er der sker.


Anbefalet
NexusGuard har et par anbefalinger i deres paper, jeg vil anbefale man lige får kigget igennem.

Test dit eget netværk
Igen kan man teste med "Hping3 -2 <target ip> -p <closed port> -c 1" Modtager du en Type 3 Code 3 tilbage, skal du nok gøre noget. Mere om Hping syntax her - https://diarium.usal.es/pmgallardo/2020/10/16/hping3-syntax/


 NF IDS Rules
5 Latest Updates   

Emotet SPAM

Emotet Trojan

ylmf-pc password attacks

Astaroth/Guildma

Netsystemsresearch

Download