Networkforensic
Threat hunting
Websocket
08 Januar 2023 - Blog Post # 846
Websocket
Websocket er det man kan kalde den "pålidlige" version af HTTP.
HTTP er en upålidlig protokol bygget oven på TCP der så gør den
pålidlig. Den store forskel er nok at man kun behøver at åbne 1
session, man så kan holde gående meget længe frem for en http
forbindelse der meget ofte så skal igennem 3-way handshake og skal
åbne nye sessioner. Der er klart store foreskelle imellem de 2, men
mere om det kan du læse om
her
Encoding er ikke kryptering
Dog en særlig ting gør sig gældende i websockets er "Masked" det
består af en Masking-key og maked payload.
Det er helt simpelt for at forhindre ting som eks proxyes i at
snoope på trafikken. Endnu mere vigtig er det at trafikken ikke er
krypteret med "MASKED" kun encoded. Bla
Fiddler kan decode websockets. Wireshark kan ikke gøre det.
Data X-fil / C2 trafik
Det er klart at foretrække websocket frem for alm http såfremt man
skal lave data-x-fil hvis man skal vælge imellem de 2, da websockets
har det med at gå mere ubemærket igennem et netværk, da det ikke
støjer særlig meget.
Derfor skal man som defender også holde et skarpt øje med websocket
trafik i ens netværk.
MIn erfaring siger mig, at det ikke er noget der er mest af, dog vil
man støde på det, og det er meget hurtigt at validere om det er
skadelig trafik eller ej. Man skal være opmærksom på at websockets
også virker hen over HTTPS.
Trojan Rhadamanthys
Netop Trojan Rhadamanthys benytter sig af websockets, noget man ikke
ser hver dag. Derfor har jeg lavet en IDS rule der netop kigger
efter websockets og selvfølgelig og til at identificere Trojan
Rhadamanthys malware. Der findes bla også
PurpleFox botnet der benytter sig af websockets og mange mange
flere.
IDS Rule frigivet
Websocket og Trojan Rhadamanthys.
NF IDS Rules
10 Latest Updates
HTTP Traffic on
Websocket
Trojan Rhadamanthys Stealer
TOR Browser
Cloud Shovel
IcedID BackConnect
RemCos-RAT
IcedID BackConnect
Kali linux
IcedID BackConnect
AeroAdmin Remote
Download