Networkforensic

Threat hunting

AgentTesla and Trojan AZORult

11 February 2020  - Blog Post # 749

Hunting for AgentTesla and Trojan AZORult
Have been watching AgentTesla deploying Trojan AZORult for the last few days. AgentTesla can like many other malware frameworks deploy different kinds of malware. This time it is Trojan AZORult. Trojan AZORult is a complete trojan with password collectors from infected machines. It is pretty easy to defend aginst. BUT it all comes down to what the end user wants to click on......

Trojan AZORult (AngentTesla) uses mail as dropsites. It has been seen stealing information to systems like Statelite uplinks, Office365, Onedrive, Company websites, Facebook, Twitter, Private websites, Internal intranet websites, and others. It olso has a keyboard logger, witch is stealing all typed on the keeyboard and sending this to mail dropsite as well.

Here comes the fun part....Trojan AZORult i have seen on mail systems. The user of the AgentTesla allways send a test mail from there own system to see if it works. Often they don't delete this. (Pretty mutch busted).

Brian Krebs discovered who mr agent Tesla really is back in 2018

Here are some IOC's you can use.
Happy hunting.....

DNS
fentq[.]org - 89.208.196.16 Russian Federation (TROJAN AZORult)
This is a baby domain.

SNIP: Properly compromised user mail accounts. Many hundreds exists. (AgentTesla)
smtp[.]avastragroup[.]com
mail[.]canvanatransport[.]com
smtp[.]ge-lndustry[.]com
mail[.]wepmill[.]website
mail[.]greenwithoutborders[.]co[.]ke
webmail[.]zi-gem[.]com
smtp[.]alvinjay[.]com
smtp[.]emailsrvr[.]com
webmail[.]zi-gem[.]com
us2[.]smtp[.]mailhostbox[.]com

HTTP Header (TROJAN AZORult)
POST /x/index.php HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.1) (THIS IS A WINDOWS XP IE 6  User agent)
Host: fentq[.]org
Content-Length: 97
Cache-Control: no-cache

Detection
SRP rule needed (Kill switch)
%APPDATA%\Roaming\*\*.exe (TROJAN AZORult)
%UserProfile%\Desktop\*.exe (TROJAN AZORult and AgentTesla)

IDS RULES
ET Open
sid:2029141 - TROJAN AZORult v3.2 Server Response M3

NF - Networkforensic.dk rules
sid:5017403 - NF - Outbound mail connection sectup ESMTP (AgentTesla)
sid:5004012 - NF - POLICY - Windows XP making Internet connection - IE 6 - Company Policy Violation (TROJAN AZORult)

Microsoft AV detection name (TROJAN AZORult)
Trojan:Win32/Occamy.C
 

 

Sysmon and AppLocker

06 February 2020  - Blog Post # 748

Recommended information for learning about Sysmon and AppLocker
For all who is new to Sysmon, Elk or AppLocker, I can reccormend the following from Black Hills and the nice presentation by John Strand.

If you work with monitoring in a SOC and have a lot of event logs, you have to work with Elastic, witch i the right tool for the job. Security Onion is based on Elastic (ELK) and have allready been build for network traffic and combined with Winlogbeat and Syssmon it is perfect to get you started....and you have to learn all about this.



https://www.blackhillsinfosec.com/getting-started-with-sysmon/

https://www.blackhillsinfosec.com/webcast-implementing-sysmon-and-applocker/

Security Onion as a SIEM

30 Januar 2020  - Blog Post # 747

My first public release
You can now find my first release of dashboards, Winlogbeat with config and a renamed version of sysmon with a huge config file covering 95 MITRE Attacks alone.

And for the folks on the Security Onion user group...a BIG THANKS for direct feedback.

All released here..........



 

 

Security Onion as a SIEM

26 Januar 2020  - Blog Post # 746

Security onion med Sysmon og Winlogbeat integration
Er næsten færdig med alle de nødvendige dashboards og forwarding af event for at kunne leve op til NSA's krav omkring logning fra Windows systemer. Så nærmer mig en dag hvor jeg frigiver det hele som et samlet projekt alle vil kunne få glæde af. Dog er det allerede tilgængeligt såfremt du er på mail-listen som Security Onion tilbyder.

Filer er tilgængelige her. Password til filerne er via mail listen.
Dashboards Navigation
Install pack
Links removed  - Go here - Security Onion Tool



Hardware
Da dette er lavet som en "incident probe / analyse probe" man kan bygge til sig selv eller sin virksomhed. Så kan jeg anbefale at man benytter noget hardware med min 8 kerner på CPU'en, 1 til 60 TB storage. Man har fint plads med 8 TB på en 400M/bit internet forbindelse til over 1 uges trafik med fuld PCAP. MIN 12 GB Ram på en master server. Til sensors bør der være min 8 GB Ram.

10G netkort har jeg testet og de virker også fint. Har ikke økonomi til at købe kort der kan rulle mere end det, De fleste har ikke engang en Internet forbindelse der ruller så hurigt alligevel.... så 10G må være OK for nu.

Demo Film
Jeg har strikket en lille demo film sammen. Jeg viser et par af de dashboards man ville kunne få glæde af og hvad man kan forvente. DEMO DOWNLOAD Vær opmærksom på at projektet stadig ikke er færdigt. Men bliver det forhåbenteligt med lidt hjælp fra folkene bag Security Onion og hele deres bruger forum.
(Demo videoen er ændret til en mindre 30MB video -30-01-2020) - Links removed  - Go here - Security Onion Tool


MITRE Attack framework
MITRE bare vokser og voker. Den er nu oppe på 183 metodikker. Dog er jeg fulgt lidt med og er oppe på 95 beskrevet MITRE attack metodikker. Det er dog uden at jeg endnu har valideret hvad Security Onion i sig selv "out of the boks" dækker. Lige nu er der lavet 44 dashboards med tilhørende 352 visualizations.

 

Citrix ADC exploit

12 Januar 2020  - Blog Post # 745

Citrix ADC exploit exploits i stor stil. - CVE-2019-19781
Min anbefaling lige nu, er at tage Citrix ADC løsninger off-line, indtil man får en patch fra Citrix eller får styr på dem på anden vis. ....

Tjek desuden de her to paths på dit system:
ls /var/tmp/netscaler/portal/templates/
ls /netscaler/portal/templates/*.xml

Block evt følgende URLS med følgende i dem.
 "/../" og "/vpns/"

Demo
https://www.youtube.com/watch?v=b02Sj2UDpYE

123....så har man root password.....

Anbefalet at lige gennemse
https://www.youtube.com/watch?v=kpOK_S7Z-K4

Forventet patch frigivelse
Der går simpelt hen for lang tid før denne her bliver fikset og det er med 100% garanti man så er blevet hacket inden da, hvis man ikke allerede er blevet det og hvem har noget vigtigt liggende på Citrix !!!!!

IMPORTANT UPDATE: CITRIX announced that a patch will be released on January 20th for Citrix ADC 11/12 and 13. Version 10 will have to wait until January 31st. (https://support.citrix.com/article/CTX267027)

Anbefalet Mitigering
https://support.citrix.com/article/CTX267679



IDS Rules frigivet
Jeg har tilpasset en frigivet IDS rule. Men vær meget opmærksom på at exploitet i virkeligheden forventes at blive udnyttet over HTTPS og ikke HTTP. Desuden er denne kun målrettet imod det frigivet exploit fra TrustedSec.

Denne kigger heller ikke efter alle de forskellige payloads som ryger med pt. som er simple bagdøre lige nu. Men det forventer jeg bliver ændret meget hurtigt til alt muligt andet.
 

OPDATERING - Lidt time frame information:  Har man ikke mitigeret fra den 8 JAN 2020 hvor jeg har set de første scanninger imod systemer og frem skal man forvente at man er blevet hacket fra d 11 JAN 2020 med 99.9% sikkerhed. Denne dag har jeg set hacket systemer fra mange forskellige dele af Danmark der storet set er hacket samme dag op til flere gange via Citrix sårbarheden. Alle jeg har set har fået nuppet config filen.

Det "smukke" er jo ved denne såarbarhed. At reinstallere man bare sit system og efterfølgende patcher / mitigerer, så har man ikke set om config filen fra systemer allerede er nuppet af hackerne. Det betyder at hackerne nu kan cracke hashes fra config filen og bare efterfølgende logge ind som en almindelig bruger via AD credentials. Man kan dog være mere sikker imod denne del såfremt man benytter 2FA.  Har man ikke det skal alle fra AD grupper der giver citrix adgang have reset af password og husk at skifte root password til Citrix enheden. MEN HUSK at det kan være en hacker der kommer og logger på der så bliver mødt med et ønske om password skift........Man skal så til at tjekke ip adresser hvorfra der bliver logget ind. Det er dog kun en marginal bedre validering, da en hacker også kan logge ind fra eks danske ip adresser. Nogen fra DK-CERT har ikke lige helt forstået det her lader det til !!!! Det kunne også være at de skulle tjekke de forskellige nationale CERT teams og deres anbefalinger inde de rynker på næsen.

OBS ! - Så tjek hvilke brugere der i den off loaded config og hvilke brugere der lå hashes til. Det er dem der skal have et reset af password og dem der kan være de "farlige". Her har man kun et time span på 36 timer indtil der bliver foretaget en cleanup på systemet af malwaren. Efter 36 timer er all bets off.

De fleste jeg har set har netop bare reinstalleret og mitigeret uden at gøre mere. (Forvent uventet gæster......)

 

Microsoft Message Analyzer

5 Januar 2020  - Blog Post # 744

Microsoft Message Analyzer
Tidligerer har jeg benyttes mig af Microsoft Message Analyzer. Denne er dog desværre gået på pension. Dog er det stadig muligt at benytte sig af en lille converter til ETL filerne. Derved kan man stadig få trukket trafik data ud. Dette er meget nyttigt i forensic sager med begrænset muligheder for installation af tools direkte på systemer.




etl2pcapng
Dette tool kan hentes herfra. - https://github.com/microsoft/etl2pcapng
 

Security Onion as a SIEM

 28 December 2019  - Blog Post # 743

Security Onion as a SIEM
 Igennem de sidste par måneder har jeg desværre ikke haft meget tid til IDS rule writing. Dette er bestemt ikke uvilje for jeg har rigtig meget materiale liggende jeg kunne gå i gang med.

Skarpt fokus
Jeg har været skarpt fokuseret på at få gjort en "Incident probe" (kalder jeg det) klar. Den bygger på en Security Onion, der så bygger på Elastic med Kibana osv.Jeg har lavet en ret omfattende Sysmon integration samt opsamling af Windows events, med yderligerer et par tusinde IDS rules jeg selv har lavet og intigreret ind i denne SO. Den bygger desuden på korrekt opsamling af logs fra Windows systemer samt understøttelse af så mange MITRE attack metodikker som muligt. Så alene nedtunungen af Windows event logs har taget ligt tid, da jeg ikke vil opsamle ALT hvad en Windows maskine kan sende hvilket er ret omfattende.

Det gør samlet at jeg får fuld netværks trafik samt logs fra alle endpoints hvilket gør security Onion meget stærk sammen med alle de ting som Security Onion i forvejen kan "out of the box"  Desuden er Incident proben nem at flytte rundt på og kan deployes på ganske kort tid. Det bevirker at man hurtigt kan få øjne på/i et netværk og systemer i en infrastruktur hvor der meget ofte slet ikke er opsat noget logopsamling af nogen art. Sammenholdt med at man kan deploye sensors rundt i et netværk gør at et team af analytikkerer hurtigt kan komme igang med at arbejde på det opsamlet data.

Tid tid og atter tid til test.
Det der har taget tid for mig at få lavet, er de mange test og visualiseringer med dashboards osv. de skal til før end den giver mening. Pt har jeg fremtillet godt 40+ nye dashboards til SO Kibana. Jeg har lavet alt arbejdet selv og det har taget mig mange dage og nætterr at få det gjort,  Men må sige at jeg nu har et Security Onion setup på steorider, der desuden også understøtter og kører distribueret sensors og virker som et fuldt SIEM system.

Den dækker pt. alene ca 85 MITRE attack metodikker ud af de ca 130 der findes. Den vil aldrig kunne dække alle, men er egentelig rigtig godt for et gratis produkt med lidt tryllestøv oven på. Den vil naturligvis aldrig kunne dække alle MITRE attack metodikker, da det jo i praksis ikke kan lade sig gøre.



Test med Virus og rigtig meget forskelligt malware
Efterhånden som jeg har bygget den, har jeg haft fokus på at kunne finde tegn på virus og malware hacker angreb osv. og hvor har jeg "brændt mange pc'er af med malware i den seneste tid" Her må jeg sige at den gør en rigtig god figur. Alene Sysmon implementeringen er yderst stærk. Man kunne her ønske sig at Sysmon var en fast del af Windows. Alt hvad jeg har kastet efter Incident proben indtil nu, har jeg hele tiden kunnet finde tegn på er sket.

Frigivelse til public
Jeg forventer at jeg i løbet af starten af det nye år kan frigive små dele af projektet igennem Security Onion.

Andre SIEM systemer
Jeg har igennem tiden prøvet de fleste SIEM løsninger, og hver har de deres sexet ting de kan. Men der hvor de fleste fejler er håndteringen af mængden af data. Søgninger tager alt for lang tid, lige så snart der kommer store mængder data til disse, hvilket der næsten altid gør på et SIEM system.

Så vores valg af Elastic, der kan håndtere de store mængder data og hvor søgninger stadig kan laves hurtigt, har gjort Elastic til det helt rigtig valg hvor alle de andre fejler bragt i min/ vores optik. Bla er Elastic er extremt nem at "size op" uden man skal tilkøbe systemer i form a flere servers til 500k stykket. Med Elastic kan man nøjes med noget der ligner størrelsen på en laptop i både pris og data kapacitets muligheder og ydeevne.

Med SIEM systemer er det netop en MEGET vigtig faktor, at søgninger kan foretages hurtigt og at man ikke skal vente resultater når det hele brænder. Er et SIEM system langsomt fra starten, er det i min optik ubruligt fra starten af uanset hvor sexet det end måtte være.

 

Blog posts

Alt hvad jeg har skrevet om igennem 2020