Networkforensic

Threat hunting

TOR-Browser v10.x

13 Februar 2021  - Blog Post # 791

TOR-Browser
På opfordring har jeg opdateret IDS rules til at finde klienter der benytter sig af TOR-Browsers. De gamle IDS rules jeg har (nu disabled) virkede kun imod 8.x versioner, men er blevet for gamle. Det er også lang tid siden jeg har brugt mere end 2 timer på at få fremstille en IDS rule der virker. Der er stor forskel på om noget virker på en windows installeret SNORT eller om det er til Security Onion. Mine IDS rules skal helst virke begge steder. Det var lidt en udfordring denne gang. Men det virker nu......
 

Security Onion - JA3
I forhold til TOR-Browsers, så har det hele tiden virket med detection på JA3 Hash'en alene. Denne er ikke skiftet i TOR i årevis. Derfor har jeg ikke haft den store fokus på at få dette til at virke i SNORT. Dette dashboard har været tilgængeligt også i årevis fra mit download Security Onion Tool site. Det virker stadig på stort set alle versioner af TOR også den nyeste version.
 

IDS rule frigivet
Jeg har frigivet den nyest IDS rule til at finde Tor-browseres der køre 10.x. De gamle IDS rules omkring TOR er nu disabled i IDS sættet. Den kan muligvis give falske positiver, i så fald høre jeg gerne om det og gerne med en tilsendt pcap fil, ellers er det svært at tilrette. Jeg ved der kan være et problem med nogle spicelle certifikater fra Google, men det er heldigvis meget få. Men jeg har endu ikke kunne finde et certifikat der giver denne falske positiv.

 

Emotet takedown - Virker det ?

8 Februar 2021  - Blog Post # 790

Emotet takedown - Virker det
I forbindelse med
Emotet takedown er der "nogen" derude der siger det ikke vil have nogen effekt. Har de nu også ret i hvad de påstår ? 

Nye samples
Der triller stadig nye sampels ind hver dag på Emotet. Men dette kan sagtens være rester at en automatiseret infrastruktur, der stadig står og sender kampanger ud. Men umiddelbart kan man jo godt give dem ret i at det ikke har den ønskede effekt. Men tænker man tilbage SQL Slammer fra 2003, så dukkker den også stadig op derude ind imellem. Jeg vil næste tro at det bliver det samme med Emotet, da der sikkert er mange inficeret hosts derude.

Hvordan ser det overordnet ud
Kigger man på de forskellige watches der findes på internettet, der holder øje med de forskellige malware kampanger. Så ser alle sammen næsten ens ud. Det har en stor indvirkning på Emotet, som næsten droppede til ingenting sammenlignet med tidligere. Men nu ser desværre en lille stigning igen, så måske de får ret alligevel.

Følger med
Over den næste lange tid vil jeg da også holde et våget øje med Emotet, for det er noget jeg selv har brugt meget tid på at overvåge og lave detection for samt tømt enkelte af deres dropsites. Den store dato bliver 25 April 2021 som er der hvor myndigheder har sat Emotet til at afinstallere sig selv. Efter denne dato bliver det især vigtigt at holde øje med det. Jeg håber det forsvinder for der er så meget andet at holde øje med derude.

Dog er det mig helt uforståligt at man har meldt denne dato ud. Det virker næsten som om man har givet nogen en chance for at rykke sig til ny infrastruktur. De burde bare have holdt dette hemmeligt.

 

JARM fingerprinting Cobolt Strike servers

 23 January 2021  - Blog Post # 789

JARM
Salesforce har frigivet en metode til at fingerprinte TLS servers de kalder for JARM. Dette gør det muligt meget præcist at fingerprinte eks malicious servers som kunne være Command and Control Servers. Det er virkelig "top of the art" i jagten på at identificere skidte ting på internetet når man først har fået færten af dem. Det minder på overfladen lidt om JA3 som Salesforce også kom med. JA3 er passiv og JARM er dog aktiv scanning. Jeg 100% sikkert overbevist om  at netværks relateret sikkerheds løsninger der i dag ikke kan JA3 eller JA3S skal man slet ikke spilde sin tid eller penge på.

Cobolt Strike
Cobolt Strike er et ret avanceret pentest tool. Det koster kassen, men bruges af rigtig mange sikkerheds virksomheder der fortager pen-test. Dog er der over den seneste tid set et meget stort skifte i at dette også bruges af kriminelle grupper til Ransomware attacks, BotNets, og ikke mindste i det seneste "Solarwinds attack"  hvor man tog noget der minder om en Ferrie af et stykke malware i udførelse og metodik for til sidst at lave det om til en klovnebil hvor man brugte Cobolt Strike i sidste ende som final payload.

Cobolt strike for fun and profit
Tek har frigivet en rigtig fin blog post hvor han gennemgår hunting efter Cobolt Strike server med JARM. Det er super flot arbejdet i jagten på alle dem der benytter Cobolt Strike server infrastruktur. Det er den type arbejde man burde se mere af derude fra sikkerheds folk. Der er også en kommentar fra Cobolt Strike om dette tool og hvad de syntes.

Alt efter hvordan man ser på dette, så er det helt klart i min optik at man altid kan vende sig til endpointet for at se hvad der sker og hvem der lavede en forbindelse til en JARM identificere hash. Det er helt klart min holdning at man i 99.9% af alle tilfælde altid vil finde noget der ikke burde ske. Så nej JARM er ikke 100% sikker alene, man skal kunne validere hvad der sker på endpoints samtidigt, så gir det altid 100% mening.

Der er frigivet en liste med hvad der allerede nu er identificeret som Cobolt Strike Beacons. Jeg har lave en liste med IP adresser virksomheder kan smide direkte ind i en deny drop liste. Det anbefaler jeg nok man får gjort. DOG er jeg ret overbevist om det sikkert ikke er alle Cobolt Strike Beacons der er blevet identificeret, men det er et stort skridt på vejen...Håber dog på vi snart ser JARM i nmap hvilket kunne være en rigtig god ting.

Cobolt strike for fun and profit
Tek har frigivet en rigtig fin blog post hvor han gennemgår hunting efter Cobolt Strike server med JARM. Det er super flot arbejdet i jagten på alle dem der benytter Cobolt Strike server infrastruktur. Det er den type arbejde man burde se mere af derude fra sikkerheds folk. Der er også en kommentar fra Cobolt Strike om dette tool og hvad de syntes.

Alt efter hvordan man ser på dette, så er det helt klart i min optik at man altid kan vende sig til endpointet for at se hvad der sker og hvem der lavede en forbindelse til en JARM identificere hash. Det er helt klart min holdning at man i 99.9% af alle tilfælde altid vil finde noget der ikke burde ske. Så nej JARM er ikke 100% sikker alene, man skal kunne validere hvad der sker på endpoints samtidigt, så gir det altid 100% mening.

Der er frigivet en liste med hvad der allerede nu er identificeret som Cobolt Strike Beacons. Jeg har lave en liste med IP adresser virksomheder kan smide direkte ind i en deny drop liste. Det anbefaler jeg nok man får gjort. DOG er jeg ret overbevist om det sikkert ikke er alle Cobolt Strike Beacons der er blevet identificeret, men det er et stort skridt på vejen...Håber dog på vi snart ser JARM i nmap hvilket kunne være en rigtig god ting.

 

Nugget Phantom

10 January 2021  - Blog Post # 788

Nugget Phantom
Faldt over noget Nugget Phantom malware, der lige nu er i gang i stor stil via malware kampanger. Det er nok en god ide at være vågen overfor dette malware, da noget har kastet deres kærlighed på det.  Det bliver lige nu spredt med PurpleFOX EK. De forskellige malware sanbox løsninger derude er fyldt med det . Eks
Any run har en del liggende.

Nugget Phantom larmer en del på inficeret maskiner, da det starter eks port scanninger på port 445 efter EternalBlue. Nugget Phantom er et ægte modularized malware toolkit.

IDS detection
Har frigivet generic IDS rules der også burde kunne fange nuværende og kommende kampanger. Det siger jeg ud fra at have analyseret en del kampanger og kun lave IDS rules på det der plejer at skifte. Det kan jo godt skifte alligevel, men har ikke gjort det siden 2016.

 

Update my SMB profile for Wireshark

02 January 2021  - Blog Post # 787

SMB profiles
SMB profilen bringer mange af de ting til live i Wireshark som man normal skal bruge meget tid på at lede efter. Ved at filters allerede er lavet spare man derved meget tid i sin analyse. SMB er nok en af de mest kompliceret protokoller når man snakker analyse i Wireshark. Denne hjælper tit mig en hel del.
 


Kan hentest herfra

Blog posts

Alt hvad jeg har skrevet om igennem 2021