Networkforensic
Threat hunting
SYN Packets with payloads
1 februar 2026 - Blog Post # 882
SYN pakker skal ikke indeholde
payloads
Det er helt skævt hvis en SYN pakke indeholder payloads.
Jeg kiggede trafik igennem og fik en alerts om at en syn pakke
indeholdt en payload. Til trods for at SYN pakker ikke indeholder
payloads og "kun" skal bruges til 3-way handshake, fandt jeg faktisk
denne pakke lidt interesseant. Den indeholder en
Eicar test fil
som normalt er til at teste om en Anti-virus scanner virker.
De tidligere angreb jeg har beskrevet hvor vi ser syn pakker med
payloads er ofte i forbindelse med
reflected DDOS fra middelboks og stammer helt tilbage fra
2022. Men det nye er her, at man sikkert forsøger at gøre angrebet
endnu mere kraftigt såfremt man kan få AV scanners på hosts til at
spike samtidigt med at der bliver sendt et flood af pakker afsted i
mod systemerne. Det er det som jeg selv finder mest sansynligt er
det jeg ser. Dog kan dette også være en del af en
port knocking sekvens der benyttes til at åbne bagdøre på
systemer.
Derfor at det nok lige en god ide at få testet det målrettet system
for baggøre såfremt der kommer unormal returtrafik. Retur trafik
behøver ikke at være til afsender IP, det skal man lige være
opmærksom på. Så man er nød til at validere en lille tidsrum af
hændelser fra et angrebet system.
Klik for stort billede.
Zeek
I Zeek kan
man lede efter data feldtet "SYN_with_data".
Dette giver en alle de steder hver en SYN pakke indeholder en
payload. Dog vil zeek ikke give en indholdt af en payload derfor er
det en god ide her at benytte en IDS rules, og disse recorder typisk
hele pakken der derefter kan decodes.
IDS rule frigivet
Jeg har frigivet IDS detection til SYN pakker med payloads tilbage i
2022. Dog har jeg frigivet IDS rules der kan finde disse SYN pakker
med indlejret Eicar test files. Det gør det lidt nemmere at smide
IDS reglen i drop mode.
Gh0stKCP Protocol
27 Januar 2026 - Blog Post # 881
Gh0stKCP og PseudoManuscrypt samt
ValleyRAT
NETRESEC har lavet en
fin analyse af KCP protokollen som benyttes af bla
PseudoManuscrypt og ValleyRAT.
Det er ikke lige noget man spotter der kører på UDP protokollen uden
lidt networkforensic. NETRESEC
har i denne forbindelse frigivet 2 IDS rules jeg har omskrevet en
lille smule så de passer ind i mine egne frigivet IDS/IPS rules. Men
kredit går klart til
Erik Hjelmvik.
KCP
Selve
protokollen er lavet tilbage i 2010 og er beregnet til p2p,
voice, chat og audio i spil.
Den har en pakkestruktur som vis herunder i billedet. I forbindelse
med misbruget som C2, har de omskrevet den lidt, så den falder ud af
de normale speks, hvilket gør det nemmerer at identificerer når der
som her er tale om
VallyRAT og
PseudoManuscrypt.
Wireshark
For at lave analyse med Wireshark skal man hente et
plugin for at se hvad der sker i protokollen. Jeg har carvet UDP
(KCP) trafik ud af en pcap som kan
hentes her.
Happy hunting...
SNORT Rules
Latest updates
TOP BAD HTTPS TLD
Known high risk TLD
SYN Packet with Eicar payload
Gh0stKCP handshake
Gh0stKCP Close
Download
Suricata Rules
Latest updates
NGROK Tunnels
BIMP-BotNet
Remcos-RAT
Download
Known scanners
Latest
update
76 Different
scanning actors
Download
Sysmon Config
Latest update
Version 15.15 Config 142
Download