Networkforensic

Threat hunting

Remcos-RAT

 26 September 2021  - Blog Post # 801

Remcos-RAT
Tilbage i September 2019 skrev jeg om Remcos-RAT som jeg dengang syntes var en rigtig "godt lavet" RAT. Det syntes jeg stadig, dog er den lige blevet et hak bedre. Der er stort set ikke meget tilbage i tafikken hvorpå denne kan identificeres på andet end et par unormale porte med TLS Client Helo i. Bliver denne brugt henover de normal TLS port ville denne stort set være "umulig" at finde. Det sample jeg lige har undersøgt at Remcos er brugt i et målrettet angreb hvor payloads indeholder exploits med bla Microsoft Office Memory Corruption mm.

IDS Rule Frigivet
Denne finder faktisk kun TLS Client Helo på de "unormale" porte. Dog skal man lige være vågen for der er ikke noget certifikat at finde i trakikken. Jeg vil tro denne IDS rule kan give falske positiver, men bør være meget begrænset i omfang. Derfor bør man holde øje med de IDS rules der trigger imod den pågældende host da der typisk er andet at finde samtidigt.

 

Trojan Squirrelwaffle Loader

 25 September 2021  - Blog Post # 800

Squirrelwaffle Loader
Squirrelwaffle loader er åbenbart det der har overtaget den "gamle" Qakbot Botnet infrastruktur. Så vi skal nok vænne os til at se mere til Squirrelwaffle. Den 13 September 2021 gik det løs med distribution af Cobolt Strike med hjælp fra Squirrelwaffle loader. Det køre lige nu som mails med links fra en dokument fil, der pakker en vbs fil ud som henter "forskellige" payloads. Lige nu er det Cobolt strike.

C2 domæner
Der findes masser af domæner med C2 der allerede er blokeret. Det her er bare et udsnit af dem der findes. Men man kan med fordel blokere for disse.

centralfloridaasphalt[.]com
kmslogistik[.]com
chaturanga[.]groopy[.]com
mercyfoundationcio[.]org
shoeclearanceoutlet[.]co[.]uk
spiritofprespa[.]com
jhehosting[.]com
key4net[.]com
lead[.]jhinfotech[.]co
voip[.]voipcallhub[.]com
voipcallhub[.]com
bartek-lenart[.]pl
lenartsa[.]webd[.]pro
amjsys[.]com
novamarketing[.]com[.]pk
ems[.]prodigygroupindia[.]com
hrms[.]prodigygroupindia[.]com

SRP Rule
Det er nok tid til at tilføje følgende sti til sine SRP rules. Det breaker alle kampanger der er set indtil nu.
Tilføj "vbs" til "Designated file type Properties"
Tilføj %PROGRAMDATA%\ til Path Rules som disallowed

Kendte triggers på stribe
Det er ikke fordi man slet ikke kan opdage de her kampanger med de default triggers der allerede findes og dem jeg selv har lavet bliver da også triggert på stribe.







IDS Rule Frigivet
Lidt sjovt, at jeg denne gang skulle lave en IDS rule, på det der faktisk ikke lige er synligt i en Wireshark forensic analyse af trafikken. Men den fanger alle de kampanger der er set indtil nu og finder C2 trafikken med det samme også fra alle de ikke kendte domæner. Ingen kendte falske positiver.

 NF IDS Rules
5 Latest Updates   

Remcos-RAT

SHODAN Scanning

Trojan Squirrelwaffle

FileZilla Server

Scanning IP's

Download