Networkforensic
Threat hunting
Industroyer2 IEC-104
20 Maj 2022 - Blog Post # 828
Industroyer2.
Man kan læse en god gennemgang af Industroyer2 fra Netresec
her Det handler om at man via IEC-104 protokollen ændre circuit
breaker switches fra ON til OFF og derved kan man lukke for strøm på
visse typer powergrids. IEC-104 protokollen er bestemt ikke noget
man som analytikker kommer til at se hver dag, så det er lidt at et
scoop vi ser dette og bestemt takket være Erik Hjelmvik fantastiske
forarbejde.
Malware sampels
Erik fra Netresec har fået fingerne i dette malware, der har
muliggjort capture af hvordan trafikken ser ud når der sker en
ændring via IEC-104. De frigivet pcap's fra Netresec er ikke super
venlige at foretage analyse på. Derfor er disse blevet omskrevet fra
RAW til Ethernet via TCPREWRITE og en tur igennem CyberChef for at
ændre både SRC og DST ip'er der alle var de samme. Den sidste del
stod Jesper Lindgren (TDC NET) for og hans altid fantastiske hovede
til den slags analyse arbejde, hvilket har muliggjort, at vi nu i et
mere venligt format kan frigive de omskrevet pcap's.
EnergiCERT i danmark var faktisk dem der ønskede detection i denne
protokol, fordi der ikke findes noget derude der kan opdage
ændringer til en "OFF state", vi takker derfor for deres ønske
omkring dette.
Filnavn (PCAP): indu.zip
SHA1: a43d02b9254bfc9ebe09b89e86b439f5dc27aa0b
SNORT Rule Frigivet
Denne er frigivet via mit SCADA IDS rule detection set SID:120002001
https://networkforensic.dk/SNORT/NF-SCADA.zip
Vær opmærkstom på, at det kan betale sig KUN at benytte denne IDS
rule i et miljø hvor man kan sætte IP'adresser op på hvor IDS reglen
skal detecte fra. Man skal også være opmærksom på at jeg ikke
direkte kigger efter
Industroyer2 trafik men en alm command fra IEC-104 der benyttes
af Industroyer2, dog benyttes denne command meget flittigt imod
systemer, og det er klart noget man gerne vil holde øje med sker.
Opdatering: 21-05-2022
Jeg er opmærksom på en ny version at loaders til Industroyer mm. Men
de har ingen betydning i denne forbindelse, da nye loaders, malware
der inficerede et system, ikke kan ændre på de commnads der skal
benyttes for at flippe en circuit breaker.
I forhold til at flippe til en ON state, så blev det også en ønske
fra nogen, at man også kunne se dette. Det er hermed også lagt ud i
mine SCADA IDS rules.
Credman event id 5379
13 Maj 2022 - Blog Post # 827
Password protected zip filer.
Credman event id 5379 kan godt være noget der støjer rigtig
meget i SIEM systemer, især når man logger fra alle klienter.
Personligt her jeg ikke selv fundet brug for dem før, nu og
hvor Credman events giver god mening at indsamle fra hosts.
Et eksempel
Meget malware kommer via mail som password protected zip
filer. En bruger der udpakker en password beskyttet zip fil med
Windows explorer, vil efterlade en windows event 5379, hvor man kan
se navn osv. på den udpakket zip fil. Det er rigtig nyttig i
forbindelse med incident hvor man jagter "patient zero" eller
starten på en infection chain på anden vis. Det kan være til
alverdens former for malware attacks for rigtig meget benytter
password beskyttet zip filer.
Bemærk man kun ser
dette såfremt man benytter "Details view" og kigger i "Friendly
view" eller "Details"
Anbefalling
Det er klart anbefalet at opsamle Event ID 5379 Event data type 1.
Kig efter udpakket zip filer fra klienter og servers.
Lav et dashboard i jeres SIEM systemer der holder øje med det her
når det sker.
NF IDS Rules
10 Latest Updates
Industroyer2 - On
Industroyer2 - Off
Metastealer
Generic RTLO
detection
Generic web-site
defacement
Stretchoid
scanning
Binaryedge.ninja
scanning
DNSCat2
Hola Proxy VPN
radmin remote
Download