Networkforensic
Threat hunting
Security.ipip.net - Endnu en uautoriseret scanner
14 Maj 2021 - Blog Post # 795
Uautoriseret
scanner
Security.ipip.net er blot en mere på listen over nogen der
mener, de har ret til at footprinte hele internettet, inklusiv de
sårbarheder som de så kan finde. Man ved ikke hvad data går til. For
mig er dette altid kun en target liste og ligger i
kategorien "Recon"
Det er lidt underholde at se hvad de mener de har RET til.
(Ping / Traceroute Mainly) Hvad betyder Mainly i denne sammenhæng ?
Jeg kan så bekræfte at det er det langt fra. Jeg kan finde dem på
rigtig meget andet end det.
Deres IP adresser.
Jeg har brugt lidt tid på lige at lede lidt mere efter dem. De
benytter primært linode IP ranges. Man kan for nemhedens skyld bare
blokke hele linode. Men jeg har frigivet
den konkrete IP liste her, så man selv kan lave Firewall rules
mm.
IDS Rule frigivet
Jeg har firigivet IDS rules således man selv kan få et overblik over
hvor meget man bliver scannet af dem.
Emotet takedown lader til at virke
26 April Februar 2021 - Blog Post # 794
Nedtagning af Emotet virker
Skrev i blogpost 790 om Emotet nedtagningen som er foretaget af
Europol Cyber Defence. Det lader til at Europol Cyber Defence har
gjort et fint stykke arbejde. Den sidste del, hvor Emotet ville
afinstallere sig selv d 25 April 2021 lader til at virke. Der er
ifølge Any.Run's meget fine tracker system ikke set nye sampels
efter 25 April.
Vi siger tak herfra til Europol Cyber Defence
Nogen fik ret og andre gjorde ikke og så er der dem der har fjernet
deres blogopslag hvor de "hakker" lidt på Europol Cyber Defence og
påstår det ikke vil virke. Har de mon fjernet deres opslag fordi de
er flove ?
Elendige dårlige phishing scammers
09 April Februar 2021 - Blog Post # 793
Forsøg på misbrug i forbindelse med
Corona, pas, e-boks, Nemid og Postnord osv.
Hvor dårlig kan man blive til phishing kampanger ? Det er helt vildt
så dårligt udført det her er.
Stoppede en phishing mail, der vil se ud som den kom fra e-boks, men
oplysninger viser postnord og payload skal hentes på
billingpostnord[.]com. Det er en stor rodebutik, men det matcher med
de mange andre daglige kampanger der er målrettet danskere for tiden
med PostNord tema.
Postnord phishing kampanger imod alle
Igennem det seneste lange stykke tid har jeg dagligt set phishing
mails sendt imod danske virksomheder og private og lige netop
PostNord temaet er ret omfattende misbrugt. Men jeg ser også mange
ligheder imellem fejl der i disse kampanger og hvor den "person" der
sidder og opfinder de domæner der benyttes i disse kampanger,
simpelthen er så dårllig til at finde på nye navne at ligheden
imellem 90% af dem er i samme udformning.
Lige netop denne kampange har samme karakteristika som jeg har set
tidligerer. Det er jo helt vildt skrald at benytte tema fra
tidligere eller kommende postnord kampanger til at forsøge at
misbruge bruge e-boks. Hvem vil lige uploade billeder af sit PAS til
nogen som helst.
Opfordring til NC3 (Politiet)
Jeg vil rigtigt gerne komme med en venlig opfordring til NC3
(Politiet) til at begynde at lave noget efterforskning denne
gang. For en gang skyld på noget der kan beskytte mange danskerer og
virksomheder, da der rent faktisk er noget at gå efter i de mange
phishing mails med postnord tema. De sammen benytter iøvrigt Nemid
tema også.
Jeg er ret overbevist om at det er den/de samme personer, der står
bag de fleste af disse kampanger. Det vil være med til at få lukket
ned for de mange daglige angreb, vi ser imod danskerer og danske
virksomheder.
Opfordring til Postnord
Noget andet jeg har bemærket i forbindelse med Postnord, er at når
man snakker med folk eller bare selv bestiller en vare hvor Postnord
skal leverer pakken, så vil man endten samtidigt eller inden for
minutter/timer efter bestillingen også modtage den første phishing
mail med Postnord tema. Det kunne være værd for postnord på den
observation lige at få gennemgået egne servers, for jeg er ret
overbevist om at "nogen" følger med i hvornår der sendes valide
mails ud. Det er ikke et tilfælde, der er for meget røg.
Anbefaling til beskyttelse imod disse Phishing mails
Vær opmærksom på at postnord kun sender mail fra følgelde mail
adresser
de har selv beskrevet her.
Samme type information bør andre statslige institutioner oplyse om.
Det kan hjælpe i kampen imod Phishing.
Whitelist følgende afsenderer:
noreply@postnord.dk
noreply@postdanmark.dk
Blacklist følgende afsendere eller replay to
noreply@postnord.com
no-reply@postnord.com
OBS - Nogen virksomheder bruger følgende URL når de sender besked
til brugerne med et tracking nummer. Dette kan findes i content i
mailbody. I disse tilfælde er mailen typisk valid. Til dem der
sender mails ud fra deres web-shop burde droppe det. Man er nød til
at lave undtagelser på anden vis her. Kommer lidt an på hvilket
system man benytter til SPAM håndtering.
https://tracking.postnord.com*
Yderligere kan man tilføje følgende SPAM regler til SPAM
håndteringen i content.
Søg efter content i mailbody. Sørg for at whitelist filteret på de
valide afsender adresser kommer før content regler.
https://*postnord.blogspot.com/
https://*postnord.com/
https://*postnord*.com/
https://postnord*.com/
https://www.*.com/.postNord.dk/
https://postnord*.online/
Happy Hunting.......
Binaryedge ninja
20 Februar 2021 - Blog Post # 792
Binaryedge
Bare endnu et
skod firma der syntes de skal scanne internettet. Jeg kan kun
anbefale at man går imod denne type virksomhed og lige tænker over
sin egen dobbeltmoral, inden man syntes man vil tilkøbe data fra
nogen der skider højt og flot på andres sikkerhed og leverer
"attack" data til andre. Jeg ser mange der køber data fra denne type
data brokers inklusiv de danske myndigheder.
Research
Jeg går meget ind for research af sikkerhed. MEN det skal gøres på
den rigtige måde, hvis det skal gøres ellers er man ikke bedre end
ondsindet hackers og meget andet skrammel, der er med til at gøre
Internettet til et usikkert sted at være. HUSK når data bliver
indsamlet, så kan det i høj grad også bruges ondsindet eller til
egen fordel på mange måder.
Der er en udbredt misopfattelse herunder hos danske CSIS om man bare
kan bruge de data der er indsamlet på den mindre pæne måde. Man skal
tænke over hvilket indtryk omkring moral og etik man vil sprede
udadtil når man bruger data. Herunder hvordan en IT-Sikkerheds
virksomhed skal fremstå. Det CSIS præsentere er nok en dårlig moral
på nogen områder.
Man fremstår IKKE moralsk og etisk rigtig, ved at ride med på bølger
i medier mm for at kunne lave ambulance artikler om hvor usikre
andre er, bare for at kunne lave et mersalg. Det er den genralle
ting man ser mange virksomheder der har noget med IT-Sikkerhed gøre.
Jeg har også selv været på den vogn og er blevet klogerer.
Man sætter man sig selv i bås og jeg er ret overbevist om at moral
og etik især fra IT-Sikkerhds virksomheder står højt på manges liste
når de vil vælge hvem der skal lave sikkerhed for dem. Som Peter
Kruse siger, så har det været alm praksis i mere end 10 år. MEN det
gør det ikke mere rigtigt. Fordi alle køre over for rødt lys er det
bare ikke rigtigt at følge med ? Lagt fra. Nu nævner han selv SHODAN
og lige netop dem har jeg skrevet mange artikler om, og hvad
risikoen er ved at lade sig scanne blidt af dem. For de er netop i
høj grad med til at gøre Internettet et usikkert sted at være.
Til de sikkerheds folk der arbejder i en type af virkksomhed der
måske har en lidt dårlig moral, her skal man selv tænke over om den
moral som virksomheden præsenterer, er en man gerne selv vil have
siddende på sit CV, såfremt man vil ud og gøre karriere senere hen.
For det spiller en stor rolle.
Husk research er fantastik, men gør ikke andre andre usikre eller
bring dem i en situation hvor det kan gå helt galt for dem. Gør det
ansvarsfuldt så dem der bliver usikre i forbindelse med din
research, altid har en chance for at bringe ting i orden. Vil du
scanne hele internettet efter det du har fundet, så gør det selv.
Men giv andre en mulighed for at vide hvem det er der scanner. Lige
så snart du bruger andres data og platforme, så er der rent faktisk
andre der følger med i hvad du leder efter. Så kan dine fund rent
faktisk misbruges af andre med mindre pæne hensigter.
Husk din research skal være med til at hjælpe andre.....Arbejder du set sted hvor det ikke er tilfældet, så tænk over den moral og etik du selv vil være sat i forbindelse med. For dem der skal ansætte dig senere, vil kigge på hvor du kommer fra.
TOR-Browser v10.x
13 Februar 2021 - Blog Post # 791
TOR-Browser
På opfordring har jeg opdateret IDS rules til at finde klienter der
benytter sig af TOR-Browsers. De gamle IDS rules jeg har (nu
disabled) virkede kun imod 8.x versioner, men er blevet for gamle.
Det er også lang tid siden jeg har brugt mere end 2 timer på at få
fremstille en IDS rule der virker. Der er stor forskel på om noget
virker på en windows installeret SNORT eller om det er til Security
Onion. Mine IDS rules skal helst virke begge steder. Det var lidt en
udfordring denne gang. Men det virker nu......
Security Onion - JA3
I forhold til TOR-Browsers, så har det hele tiden virket med
detection på JA3 Hash'en alene. Denne er ikke skiftet i TOR i
årevis. Derfor har jeg ikke haft den store fokus på at få dette til
at virke i SNORT. Dette dashboard har været tilgængeligt også i
årevis fra mit download
Security Onion Tool site. Det virker stadig på stort set alle
versioner af TOR også den nyeste version.
IDS rule frigivet
Jeg har frigivet den nyest IDS rule til at finde Tor-browseres der
køre 10.x. De gamle IDS rules omkring TOR er nu disabled i IDS
sættet. Den kan muligvis give falske positiver, i så fald høre jeg
gerne om det og gerne med en tilsendt pcap fil, ellers er det svært
at tilrette. Jeg ved der kan være et problem med nogle spicelle
certifikater fra Google, men det er heldigvis meget få. Men jeg har
endu ikke kunne finde et certifikat der giver denne falske positiv.
Emotet takedown - Virker det ?
8 Februar 2021 - Blog Post # 790
Emotet takedown - Virker det
I forbindelse med
Emotet takedown er der "nogen" derude der siger det ikke vil
have nogen effekt. Har de nu også ret i hvad de påstår ?
Nye samples
Der triller stadig nye sampels ind hver dag på Emotet. Men dette kan
sagtens være rester at en automatiseret infrastruktur, der stadig
står og sender kampanger ud. Men umiddelbart kan man jo godt give
dem ret i at det ikke har den ønskede effekt. Men tænker man tilbage
SQL Slammer fra 2003, så dukkker den også stadig op derude ind
imellem. Jeg vil næste tro at det bliver det samme med Emotet, da
der sikkert er mange inficeret hosts derude.
Hvordan ser det overordnet ud
Kigger man på de forskellige watches der findes på internettet, der
holder øje med de forskellige malware kampanger. Så ser alle sammen
næsten ens ud. Det har en stor indvirkning på Emotet, som næsten
droppede til ingenting sammenlignet med tidligere. Men nu ser
desværre en lille stigning igen, så måske de
får ret alligevel.
Følger med
Over den næste lange tid vil jeg da også holde et våget øje med
Emotet, for det er noget jeg selv har brugt meget tid på at overvåge
og lave detection for samt tømt enkelte af deres dropsites. Den store dato bliver 25 April 2021 som
er der hvor myndigheder har sat Emotet til at afinstallere sig selv.
Efter denne dato bliver det især vigtigt at holde øje med det. Jeg
håber det forsvinder for der er så meget andet at holde øje med
derude.
Dog er det mig helt uforståligt at man har meldt denne dato ud. Det
virker næsten som om man har givet nogen en chance for at rykke sig
til ny infrastruktur. De burde bare have holdt dette hemmeligt.
JARM fingerprinting Cobolt Strike servers
23 January 2021 - Blog Post # 789
JARM
Salesforce har frigivet en metode til at fingerprinte TLS
servers de kalder for JARM. Dette gør det muligt meget præcist at
fingerprinte eks malicious servers som kunne være Command and
Control Servers. Det er virkelig "top of the art" i jagten på at
identificere skidte ting på internetet når man først har fået færten
af dem. Det minder på overfladen lidt om JA3 som Salesforce også kom
med. JA3 er passiv og JARM er dog aktiv scanning. Jeg 100% sikkert overbevist om at netværks relateret
sikkerheds løsninger der i dag ikke kan JA3 eller JA3S skal man slet
ikke spilde sin tid eller penge på.
Cobolt Strike
Cobolt
Strike er et ret avanceret pentest tool. Det koster kassen, men
bruges af rigtig mange sikkerheds virksomheder der fortager
pen-test. Dog er der over den seneste tid set et meget stort skifte
i at dette også bruges af kriminelle grupper til Ransomware attacks,
BotNets, og ikke mindste i det seneste "Solarwinds attack"
hvor man tog noget der minder om en Ferrie af et stykke malware i
udførelse og metodik for til sidst at lave det om til en klovnebil
hvor man brugte Cobolt Strike i sidste ende som final payload.
Cobolt strike for fun and profit
Alt efter hvordan man ser på dette, så er det helt klart i min optik at man altid kan vende sig til endpointet for at se hvad der sker og hvem der lavede en forbindelse til en JARM identificere hash. Det er helt klart min holdning at man i 99.9% af alle tilfælde altid vil finde noget der ikke burde ske. Så nej JARM er ikke 100% sikker alene, man skal kunne validere hvad der sker på endpoints samtidigt, så gir det altid 100% mening.
Der er
frigivet en liste med hvad der allerede nu er identificeret som Cobolt Strike Beacons. Jeg har lave en liste med IP adresser virksomheder kan smide direkte ind i en deny drop liste. Det anbefaler jeg nok man får gjort. DOG er jeg ret overbevist om det sikkert ikke er alle Cobolt Strike Beacons der er blevet identificeret, men det er et stort skridt på vejen...Håber dog på vi snart ser JARM i nmap hvilket kunne være en rigtig god ting.Cobolt strike for fun and profit
Alt efter hvordan man ser på dette, så er det helt klart i min optik at man altid kan vende sig til endpointet for at se hvad der sker og hvem der lavede en forbindelse til en JARM identificere hash. Det er helt klart min holdning at man i 99.9% af alle tilfælde altid vil finde noget der ikke burde ske. Så nej JARM er ikke 100% sikker alene, man skal kunne validere hvad der sker på endpoints samtidigt, så gir det altid 100% mening.
Der er
frigivet en liste med hvad der allerede nu er identificeret som Cobolt Strike Beacons. Jeg har lave en liste med IP adresser virksomheder kan smide direkte ind i en deny drop liste. Det anbefaler jeg nok man får gjort. DOG er jeg ret overbevist om det sikkert ikke er alle Cobolt Strike Beacons der er blevet identificeret, men det er et stort skridt på vejen...Håber dog på vi snart ser JARM i nmap hvilket kunne være en rigtig god ting.
Nugget Phantom
10 January 2021 - Blog Post # 788
Nugget Phantom
Faldt over noget Nugget Phantom malware, der lige nu er i gang i
stor stil via malware kampanger. Det er nok en god ide at være vågen
overfor dette malware, da noget har kastet deres kærlighed på det.
Det bliver lige nu spredt med PurpleFOX EK. De forskellige malware
sanbox løsninger derude er fyldt med det . Eks
Any run har en del liggende.
Nugget Phantom larmer en del på inficeret maskiner, da det starter eks port scanninger på port 445 efter EternalBlue. Nugget Phantom er et ægte modularized malware toolkit.
IDS detection
Har frigivet generic IDS rules der også burde kunne fange nuværende
og kommende
kampanger. Det siger jeg ud fra at have analyseret en del kampanger
og kun lave IDS rules på det der plejer at skifte. Det kan jo godt
skifte alligevel, men har ikke gjort det siden 2016.
Update my SMB profile for Wireshark
02 January 2021 - Blog Post # 787
SMB profiles
SMB profilen bringer mange af de ting til live i Wireshark som man
normal skal bruge meget tid på at lede efter. Ved at filters
allerede er lavet spare man derved meget tid i sin analyse. SMB er
nok en af de mest kompliceret protokoller når man snakker analyse i
Wireshark. Denne hjælper tit mig en hel del.
Blog posts
Alt hvad jeg har skrevet om igennem 2021