Networkforensic

Threat hunting

Matanbuchus downloader

 18 Juni 2022  - Blog Post # 831

Matanbuchus
Det er den nye trojan downloader man skal være lidt opmærksom på. Der ligger en pæn stor infrastruktur bag denne, og de sidste domæner blev første aktive sent i går aftes, hvorfra Cobolt strike hentes. Det bliver nok noget man skal holde lidt øje med. Det er ikke noget der kan testes i vm, viratuelle miljøer osv, da den tjekker hvordan CPU opsætningen er. Lidt smart.... Der er mange nye metodikker i forbindelse med Matanbuchus. Unit42 har nok det bedste skriv indtil videre jeg kan anbefale man læser igennem. Desuden har SANS et skriv også. Man skal også være opmærksom på at den allerede nu skifter metodikker, meget hurtigt, jeg har allerede selv set flere udformninger af denne.

Navnet Matanbuchus er direkte henvisning til den okkulte verden. Men tiden må vise hvor okkulte de i virkeligheden er. Den slags hovmod har det med at falde...

IOC'er
Jeg har samlet en liste af domæner man med fordel lige nu kan blokerer for. Der findes desuden mange andre IOS'er man kan kigge igennem.

IDS Rule frigivet
Kigger på den aktuelle kampange. Det kan meget vel ændre sig og jeg ved der allerede nu findes flere IDS rules der kan laves.

 

Bumblebee Malware Downloader

 14 Juni 2022  - Blog Post # 830

Bumblebee malware downloader
Det er desværre noget jeg ser blive hyppigt benyttet. Bumblebee er en malware downloader, man ofte ser i forbindelse med forskellige typer malware som, Emotet, CoboltStrike, RedLine Stealer, Conti, IcedID og mange flere. Det er blevet lidt en standard, at det bruges, men det gør det jo også lidt nemt finde inficeret hosts...

SNORT Rule Frigivet
Kigger efter typisk certifikate der benyttes af Bumblebee. Det er klart anbefalet at undersøge hosts hvor denne IDS rule giver alerts.

 

Default forensic tools installeret ?

 24 Maj 2022  - Blog Post # 829

Malware og anti-vm samt forensic tools og anti-forensic
Bumblebee loader er det seneste skud på stammen der bruges af mange forskellige cybercrime grupper. Herunder Conti og Diavol og flere. Det er med Bumblebee som med mange malware typer, at de typisk holder øje med forensictools som køre på en maskine eller bare har en tilstedværelse. Bliver de fundet vil malware typisk ikke foretage sig noget eller helt fjerne sig selv. Det er kendt taktik som går under navnet "malware antiforensic" simpelt for at undgå at et stykke malware bliver undersøgt eller afsløret for hurtigt.

Som analytikker kender man forhåbenteligt også til tools som Paranoidfish der kan hjælpe med at opsætte tools til en analyse maskine for at fjerne spor at et viratuelt miljø og forskellige tools mm.

  

Brug forensic tools
Jeg ved ikke rigtigt hvad man skal kalde det, men det lader efterhånden til at man som defender "bare" skal have et eller flere af disse tools liggende på systemer, eller bare have et par "falske processor kørende" så kan man helt undgå at hosts bliver inficeret med visse typer loaders og dermed mange forskellige følgetyper af malware.

Det er jo lidt den omvendte verden, hvor man bruger malware grupperens egne taktikker imod dem selv og til fordel for en selv som defender. Man "spiller" jo lidt på at et stykke malware benytter sig af disse teknikker, (hvilket alt malware langtfra gør) men det kan have en heldig positiv effekt, som kan fungerer som en form for "vaccine" på et system overfor mange typer malware. Det vil langt fra virke imod alt, men det vil virke imod rigtig mange malware loaders. Ugheldigvis er der ingen jeg kender til der holder øje med hvilket og hvor meget malware der benytter disse antiforensic teknikker og i hvilke kategorier de rent faktisk ligger i.

Tools
Mange af disse forensic tools der bliver holdt øje med, er slet ikke farlige i sig selv at have på et system. Tænker man efterhånden skal lave en pakke af tools der bliver installeret på drift systemer, hvor man kan sikre disse med rettigheder osv. Typisk holder malware kun øje med selve process navnet, så i virkeligheden kunne det være en omdøbt notepad.exe til eks tcpview.exe man starter op og har kørende.  Tænker det hele kan sikres med rettigheder så en alm bruger ikke kan benyttes disse tools. Dog findes der rigtig mange
antiforensic teknikker og det ville være svært at bruge dem alle sammen, men det meste malware er slet ikke så udviklet og finder de bare en af de forensic tools holder loaderen helt op med at virke, og resultatet er at man ikke blev inficeret den dag.

Der er egentelig ikke lavet nogen stats over hvor meget og hvilket malware som beskytter sig selv på denne måde. Måske det kunne være værd at undersøge. Jeg ved bare at mere og mere malware især loaders, benytter samme teknikker og det sikkert kunne være en fordel at begynde at holde øje med disse ting. En optimeret indsamling af disse oplysninger kunne vise hvad der blev holdt mest øje med og derved kunne man optimere hvad man skulle have liggende på en maskine som "vaccine"..........

 

Industroyer2 IEC-104

 20 Maj 2022  - Blog Post # 828

Industroyer2.
Man kan læse en god gennemgang af Industroyer2 fra Netresec her Det handler om at man via IEC-104 protokollen ændre circuit breaker switches fra ON til OFF og derved kan man lukke for strøm på visse typer powergrids. IEC-104 protokollen er bestemt ikke noget man som analytikker kommer til at se hver dag, så det er lidt at et scoop vi ser dette og bestemt takket være Erik Hjelmvik fantastiske forarbejde.

Malware sampels
Erik fra Netresec har fået fingerne i dette malware, der har muliggjort capture af hvordan trafikken ser ud når der sker en ændring via IEC-104. De frigivet pcap's fra Netresec er ikke super venlige at foretage analyse på. Derfor er disse blevet omskrevet fra RAW til Ethernet via TCPREWRITE og en tur igennem CyberChef for at ændre både SRC og DST ip'er der alle var de samme. Den sidste del stod Jesper Lindgren (TDC NET) for og hans altid fantastiske hovede til den slags analyse arbejde, hvilket har muliggjort, at vi nu i et mere venligt format kan frigive de omskrevet pcap's.

EnergiCERT i danmark var faktisk dem der ønskede detection i denne protokol, fordi der ikke findes noget derude der kan opdage ændringer til en "OFF state", vi takker derfor for deres ønske omkring dette.

Filnavn (PCAP):
indu.zip
SHA1: fac6fcfd12b414b0e8e94e1bcb51ab560b41d8ef

SNORT Rule Frigivet
Denne er frigivet via mit SCADA IDS rule detection set SID:120002001
https://networkforensic.dk/SNORT/NF-SCADA.zip

Vær opmærkstom på, at det kan betale sig KUN at benytte denne IDS rule i et miljø hvor man kan sætte IP'adresser op på hvor IDS reglen skal detecte fra. Man skal også være opmærksom på at jeg ikke direkte kigger efter
Industroyer2 trafik men en alm command fra IEC-104 der benyttes af Industroyer2, dog benyttes denne command meget flittigt imod systemer, og det er klart noget man gerne vil holde øje med sker.

Opdatering: 21-05-2022
Jeg er opmærksom på en ny version at loaders til Industroyer mm. Men de har ingen betydning i denne forbindelse, da nye loaders, malware der inficerede et system, ikke kan ændre på de commnads der skal benyttes for at flippe en circuit breaker.

I forhold til at flippe til en ON state, så blev det også en ønske fra nogen, at man også kunne se dette. Det er hermed også lagt ud i mine SCADA IDS rules

 

Credman event id 5379

 13 Maj 2022  - Blog Post # 827

Password protected zip filer.
Credman event id 5379 kan godt være noget der støjer rigtig meget i SIEM systemer, især når man logger fra alle klienter. Personligt her jeg ikke selv fundet brug for dem før, nu og hvor Credman events giver god mening at indsamle fra hosts.

Et eksempel
Meget malware kommer via mail som password protected zip filer. En bruger der udpakker en password beskyttet zip fil med Windows explorer, vil efterlade en windows event 5379, hvor man kan se navn osv. på den udpakket zip fil. Det er rigtig nyttig i forbindelse med incident hvor man jagter "patient zero" eller starten på en infection chain på anden vis. Det kan være til alverdens former for malware attacks for rigtig meget benytter password beskyttet zip filer.


 

Bemærk man kun ser dette såfremt man benytter "Details view" og kigger i "Friendly view" eller "Details"

Anbefalling
Det er klart anbefalet at opsamle Event ID 5379 Event data type 1. Kig efter udpakket zip filer fra klienter og servers. Lav et dashboard i jeres SIEM systemer der holder øje med det her når det sker.

 

Metastealer - Windows Malware

 14 April 2022  - Blog Post # 826

Metastealer
Den benytter "nye" teknikker for at undgå detection, og er også ret sværdt at identificere 100% sikkert hver gang via netværkstrafik. Derfor har jeg måtte slå flere IDS regler sammen, for at få en mere nøjeagtig detection imod dette. SANS har skrevet om det og jeg har selv tidligere informeret omkring dette. Dengang blev det dog identificeret som AgentTesla. Det er malware der benytter RTLO in deres exe filer, hvilket kan snyde rigtig mange detection systemer.

Det ankommer typipsk via vedhæftet excell filer i mail.


Læs mere fra min tidligere post her
Malware exe file made with "Right-to-Left Override"
19 Marts 2022 - Blog Post # 823

IDS Rule frigivet
Man bør undersøge bmp filer for RTLO exe filer i disse med disse IDS regler.

 

Darkfeed

 06 April 2022  - Blog Post # 825

DeepWeb Inteligense Feed
Til dem der ikke kan leve uden at skulle sidde og holde øje med hvad de forskellige Ransomware Crews ligger og laver. https://darkfeed.io



Kan nok anbefale man bruger en test maskine og ikke sin virksomheds pc, når man ligger og besøger dem her. Desuden ville jeg nok bruge noget VPN i en eller anden form (Måske en TOR browser igennem en VPN løsning)
 

 

IDS oprydning

 26 Marts 2022  - Blog Post # 824

Oprydning i IDS regler
For at få et mere relevant IDS regelsæt er mere end 500 IDS regler taget ud af de nuværende frigivet IDS regler. Så det nuværende regelsæt er på 644 IDS regler.

Jeg forsøger kun at lave IDS regler til noget der ikke findes andre steder. Jeg bruger eks ikke tid på noget jeg kan se andre allerede har lavet der virker. Dog oplever jeg at når man kigger de mere kommercielle regler igennem på eks nye malware kampanger, så har angreb skiftet karekter og regler virker derfor ikke. I disse tilfælde laver jeg nye IDS regler.

Bemærk at jeg ikke er tilhænger af at lave IDS regler baseret på DNS. Det er alt for ofte bare tidskrævende valideringer af falske positiver, der dræber enhver analytikkers lyst til at arbejde. Til DNS identificeringer anbefaler jeg at benytte NXFilter, eller en tilsvarende løsning.

De gamle regler
Dem kan man stadig hente. Men det vil ikke være dem jeg opdaterer på fremadrettet. Men det giver muligheden for at se hvad der er fjernet eller såfremt man har brug for en ældre IDS regel.

Fil: NF-local-OLD.zip
SHA1: 2e80bc57313f50ec3d5a185fa67360225a053c66

 

Malware exe file made with "Right-to-Left Override"

 19 Marts 2022  - Blog Post # 823

AgentTesla
Faldt over en malware kampange hvor payload exe filen var lavet med "Right-to-Left Override"
Det er jo pænt meget "
Masquerading - MITRE -> T1036 - Defense Evasion"

Malware sample
File name: Hyyyox Deoettcv.bmp (Hyyyox.exe)
SHA1: 54ff4ca946e8004f8af1a1e854ae06b3ab2fc46b
0 Detection på VT

OC'er
mail.beta1000.cl -> 69.16.244.78
tralkan.servidor21.com -> 69.16.244.78 (cname)

Kig efter forsøg på outbound mail TCP port 587

IDS Rule frigivet
Generic detection lavet så exe filer hvor der bliver benyttet RTLO bliver opdaget. Kigger kun på HTTP porte
(Ren malware hver gang)

SID:5018812 - REV:2

 

CURL i Windows siden 2017

 10 Marts 2022  - Blog Post # 822

Default CURL i Windows 10
CURL blev tilføjet helt tilbage i 2017. Dog er det første gang jeg ser det bliver brugt i forbindelse med en info stealer skrevet direkte i en bat fil og hvor CURL bruges til at hente den ondsindet kode. CURL er et ganske fint tool og bruges til mange forskellige ting. Det kan bla downloade og uploade stuff mm. Microsoft har også været så flinke at ligge curl.exe i "system32".

Vær lige lidt vågen her
Man skal lige være lidt vågen, for der er ikke super meget detection på CURL. Sammenligner jeg eks CURL med certutill og BITS, så er de 2 sidste forholdsvis nemme at spotte, fordi de typisk kun henter fra Microsoft / Windows domæner. CURL må forventes at gøre dette fra alt mulig underligt herunder også malware nu. Det skal nok puttes lidt i samme kasse som eks PowerShell og CMD. Så hvad CURL ligger og laver på Windows systemerne skal man lige have et våget øje for.

Tjek dine egen version af CURL
En simpel måde hvorpå man lige kan tjekke sin egen version af CURL er med denne simple command
curl --version

Simple download command
curl https://networkforensic.dk/Tools/Files/IcedID/IcedID.zip --output d:\bla.zip

Det understøtter en del protokoller - Fin liste herunder i deres versions oplysninger

 

DNSCat2 - DNS Tunneling

 06 Marts 2022  - Blog Post # 821

DNS Tunneling
DNSCat2 er bestemt et fint tool til tunneling af trafik hen over DNS. Det er ude i en beta 1 version af DNSCat2. Det kan flippe imellem forskellige typer DNS request som eks TXT, MX, A osv... Alt for ikke at skabe for meget opmærksomhed i logs mm. Det kommer til forskellige typer OS herunder Windows.

Krypteret trafik
Alle forespørgelser og svar er krypteret, rigtig fint. Men det er netop det der gør man kan fange det, uanset hvilken type request det benytter.

Det vil virke rigtig mange steder
Som de selv skriver, vil det her virke rigtig mange steder, simpelthen fordi man ikke holder øje med sin netværkstrafik eller gør det på en utilstrækkelig måde. Ser rigtig mange der den dag i dag, slet ikke har styr på hvordan DNS trafik må flyve ind og ud af virksomheden. Der er rigtig mange der slet ikke har styr på begreber som SPLIT DNS eller DNS choking. Mange tror at fordi de lige har outsourcet til tredjepart, at så er der styr på det. Det er der sjældent.

IDS Rules frigivet
Fanger DNSCat2 - Ingen kendte falske positiver.

 

SYN - FIN packet with payloads - NOT ALLOWED

 03 Marts 2022  - Blog Post # 820

SYN - FIN
TCP pakker med et af disse flags sat (SYN eller FIN), er de eneste der ikke må indeholde data. LEN=0 er det eneste disse må være sat til. Læs evt selv RFC793. Det er så nu "TCP Middlebox Reflection" attack.

På det sidste er man dog begyndt at se, det slet ikke er tilfældet. Det ene er set i forbindelse med port knocking sekvenser til bagdøre på firewalls/routers og nu også i forbindelse med at udnytte middelbokses til amplifyed DDOS attacks.

Det er altid lidt sjovt at se hvor mange forskellige konsekvenser, det kan have forskellige steder, når producnter ikke overholder standarden, især men hensyn til middelbokses. Det åbner jo helt op for "pandoras æske" af uforudsete ting der kan ske rent sikkerhedsmæssigt. Det gælder også når man forsøger sig med bagdøre der ikke ligger inde for standarden. Man bliver nemmere at få øje på.

IDS Rules frigivet
Har oprettet "Bad TCP packets" som indeholder til både SYN og FIN packets med payloads.
Benytter man dem på en sensor ude foran en Router/Firewall, kan jeg anbefale man måske opsætter noget thresholding på sid:5020201 og sid:5020202 til eks. 1 alert pr 60 sec. - SNORT REF
Bemærk dog, at benytter man thresholding, så finder man sikkert ikke port knocking sekvenser til bagdøre som er ret vigtig i denne forbindelse.

 

Conti remote tools

 01 Marts 2022  - Blog Post # 819

Remote Tools
Både Mandiant og Sophos har beskrevet de samme typer angreb af Conti gruppen. Noget der er interesseant er brugen af nogen typisk remote admin tools, som jeg har set misbrugt før i helt andre typer angreb.

Jeg har samlet en række IDS rules til at opdage denne type tools såfremt de kører i infrastrukturen.Desuden har jeg en lang række domæner som også bruges i forbindelse med disse omtalte angreb (dog ikke frigivet). jeg har samlet disse IDS rules i en kategori som er under navnet "Remote management software". Desuden arbejder jeg lige nu på flere remote management tools, der vil komme ind under samme kategori.



Splashtop (ScreenConnect) og Atera
Splashtop og Atera er det samme og bygger på det samme. UI er dog forskellig. Jeg er også ret overbevist om at disse producenter slet ikke har rent mel i posen. Nu har jeg igennem tiden arbejdet rigtig meget med analyser af forskellige MalwareRAT's familier. Den eneste forskel jeg rent faktisk ser her, er at det nu køre i en "cloud" men hele metodikken og opsætningen ligner så meget en typisk RAT. Det undre mig også, at en gruppe som Conti bruger interfaces som det her, for så er de nød til at efterlade meget kraftige spor efter sig selv, da man skal oprettets på disse servises osv osv..

Desuden har jeg igennem tiden set rigtig meget brug/misbrug af remote tools. Men når 2 tools der ligner så meget hianden og rent faktisk deler domæner, installers mm og tilmed ligner alt det jeg kender fra malware "RAT's" verden. Så lugter det rigitg meget.....

Her kommer det smukke. Når nu man har en maskine inde i deres interface og man ønsker at foretage fjernadgang af hosten, så var det ens i begge løsninger, at man fik en fejlbesked om at management ikke kunne foretages, men man lige skulle installerer deres "remote exe fil" på ens egen host :-) Smukt... På den måde kan man jo også få fat i den person med alle formodet adgange til en virksomhed. Dont ever go there..

IDS Rules frigivet
Finder de her tools såfremt de køre på det indterne netværk. De er oprettet som "POLICY" rules.

 

Bvp47 - Top-tier Backdoor of US NSA Equation Group

 24 Februar 2022  - Blog Post # 818

Bvp47
Pangu Lab har frigivet hvad der lader til at være en ret omfattende undersøgelse af noget implant malware lavet af NSA. Det bemærkelsesværdige set fra mit synsvinkel, er at man også har beskrevet hvordan hele deres "port knocking" sekvenser ser ud med magic payloads. Det er meget sjældent man ser det frigivet. De beskriver også at "covert communication system is cutting edge" Sammenfaldet af denne publicering med krigens start i Ukraine kan være et vildt sammentræf eller nøje planlagt. Kina og Rusland er allieret på "cyber" fronten, så mon der kan være en sammenhæng....døm selv.

Data
De IOC'er og det data som denne report bygger på, ser dog ud til at være af ældre dato. Så hvor meget der kunne være i live, har jeg ingen ide om, men vil tro noget sikkert er. Dog optræder der også et enkelt dansk domæne, som ikke længerer ser aktivt ud. Men flere NATO lande optræder på listen, hvilket undre mig en del.

Report kan også hentes her
The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en

SHA1: 4f3beb306f760932a53b54e92a9bc695913daeef

SYN eller ACK
For at gøre det hele lidt mere forvirrende, så beskriver de i deres report, at der er tale om SYN pakker. Men billedet der er vedhæftet i deres report, viser ACK pakker. Det må siges at være noget at en graverende "hovsa" fejl. Det kan være en billedefejl / skrivefejl.

IDS Rules frigivet
Selvom jeg er klar over forvirringen med SYN / ACK pakkker, så har jeg fremstillet IDS rules til både ACK og SYN pakker der er målrettet selve angrebet.

Jeg har måtte lave en del "packet crafting" for at lave packet ud fra de opgivet speks. Men i virkeligheden ikke så svært som det lyder. Bemæk at den ene IDS rule kigger på SYN packet med payloads. Det er helt unormalt og bør ikke forekomme. Så sker der fremover "ting" hvor nogen forsøger sig med payoads i SYN pakker vil de blive opdaget med det samme. Dog har det taget lidt tid at få det hele beskrevet og til at fungere, grundet deres fejl i rapporten.

Om nogen skulle få nogen hits på disse regler høre jeg meget gerne om det. Inden for networkforensinc verden kan det ikke blive meget mere "high tech", sammenholdt med hvad det er brugt til. Men egenteligt simpelt at opdage, da man forsøger ting som egenteligt er tilladt i følge standarden, såfremt der var tale om et fuldt handshake, men det er ikke tilfældt her. 1 SYN packet med payload på en bestemt port og ikke et fuldt handshake.

IDS rules til at kigge på ACK pakker med payloads er straks en anden ting. Det forekommer ofte. Men IDS rules er lavet til både SYN og ACK attacket. Så handler det kun om valideringer såfremt noget giver alerts.

IDS Rules frigivet
Ingen kendte falske positiver. Men vær opmærksom på at de sikkert har begrænset levetid.  

 

AsyncRAT - Relateret til ISO filer oprettet af html filer.

 19 Februar 2022  - Blog Post # 817

AsyncRAT
Dette var en del af nogen af de første payloads hvor ISO filer bleve oprettet via vedhæftet html filer.
Der er ingen tvivl om at oprettet IDS sigs til dette, meget hurtigt kan blive forældet. Dog er det lykkedes mig at udtrække JA3 sigs der finder alle versioner af dette hver gang. Ellers må jeg sige det er et meget sejt framework, og det er nemt at skjule. Der er god dækning imod dette på anti-virus siden.
 

Forskellige rats
Jeg har haft en del upubliceret IDS rules liggende til detection af forskellige RAT's. Dem frigiver jeg lige i samme omgang.

NetWiredRCRAT
NetSupportRAT
QuasarRAT
CrimsonRAT
AsyncRAT
AgentTeslaRAT
CyberGateRAT
NanocoreRAT
NjRatRAT

AsyncRAT
JA3. fc54e0d16d9764783542f0146a98b300

 

Password attacks fra 6416 IP'er fra IOTBotnettet

 17 Februar 2022  - Blog Post # 816

SANS Internet Storm Center
De har nu også endelig
fået øjne for alle disse attacks fra et stadig stigende antal IOT eneheder der fortager mange forskellige attacks efterhånden. Listen af porte der bliver angrebet lader åbenbart også til at vokse ifølge det SANS Internet Storm Center har frigivet. Yderligere er listen af enheder meget li det jeg ser.

En opdateret liste med ip adresser. Bemærk at mange lande ikke indgår, dette skyldes GEO blokering.
RAW-IP-LIST-IOT-BOTNET-FEB-2022.zip
SHA1: 2d5061817b77b27ef6457170c50ac71eb55fc990

Jeg har tidligere frigivet både IDS signatur samt en helt unik JA3 hash på alle IP adresser der foretager disse angreb.

IDS Sigs
IOT BotNet password guessing attack - 16-12-2021
IOT BotNet password attacks - 21-12-2021

JA3: f17ca639ecdcaa65b4521c49e3515ef9

Du kan læse mere om det jeg tidligerer har frigivet
10 December 2021 - Blog Post # 805
16 December 2021 - Blog Post # 806
1 Januar 2022 - Blog Post # 810

 

ISO filer der bliver oprettet af en vedhæftet html fil i mail. En trussel der virker. Der udvikler sig...

15 Februar 2022  - Blog Post # 815

Nye angreb der virker.
Det lader til at det ændre sig hurtigt. Man skal som virksomhed virkelig være klar til at blokerer for vedhæftet html filer udefra i mail. Har man ikke allerede gjort det, ville jeg gøre det med det samme. Lige nu er det bare CinaRAT, det kan være hvad som helt der bliver lagt ind som vbs downloaderen bare henter ned, man bliver ramt af.

Denne gang er det html koden ændret en del og nu med CinaRAT, (QuasarRAT). Sans har lige beskrevet nye tilfælde hvor der er 0 i detection på VT.

SHA256: ef579d9bf2dba387c3be9effa09258902c4833dfb7634f4ed804d96e8849da74

Anbefaling
Bloker vedhæftet html filer i mail.

Det er yderst vigtigt at man får Anti-virus scannet sine mail stores igennem med jævne mellemrum. Tror jeg uden at overdrive kan sige at mange mangler at opsætte scanninger i mail stores med jævne mellemrum. Jeg har set at de her mails bare får lov til at ligge og putte sig på systemerne, uden at blive fjernet efterfølgende når signaturer efterfølgende kan kende dem. Det er et simpelt tegn på manglende periodisk scaning af mail stores.
Det kan være en tikkende bombe.

Har man ikke modet til at lukke for vedhæftet html filer, så kan man i virkeligheden bare lukke op for vedhæftet, eksempel exe og scr filer, for de her html filer ville kunne skjule dem alle alligevel og bypasse ethvert extension filter. Jeg kan godt huske dengang man diskuterede længe om hvorvidt det var en god ide at lukke for exe og scr filer i mail for mange år siden. Historien viste også at det dengang var en klog beslutning at man fjernede dem.

 

ISO filer der bliver oprettet af en vedhæftet html fil i mail. En trussel der virker.

13 Februar 2022  - Blog Post # 814

ISO fil "angrebet"
Det var noget jeg blev opmærksom på via en publicering fra Morphisec. De beskrev dette meget fint.
Til hverdag sidder jeg med forskellige mailsystemer og jeg altid opmærksom på, når nye angreb via mail opstår og derfor kigger jeg dem altid nøje igennem. Mail er stadig den mest udnyttet vektor for en angriber, til at få fat i virksomheder. Det er ofte alt for nemt og mange har kun fokus på Phishing angreb i forhold til deres brugerer. Det faktum kender hackerne også.

SANS har beskrevet hvad jeg vil kalde "forløberen" til dette angreb. Dengang var det bare brugen af vedhæftet ISO filer som indeholdt exe filer. Men de har også beskrevet en andet eksempel af det samme type som jeg har kigget på.

Mit testet malware sample
MD5: 31c701aef60f588ece18d3d1392da916
Download: pw "infected"
VT link

Selve angrebet - html filen
Som beskrevet af Morphisec, modtager man en simpel vedhæftet html fil i en mail. Bemærk her, at der er stor forskel på html formateret mail og en html vedhæftet fil. Man kan godt i en html formateret mail og have en vedhæftet html fil. Det nemmeste i verden her og som ville forhindre hele angrebet var at lave et html extension filter på sine mail systemer når mail ankommer udefra. Det er altså ikke imellem ansatte som er på et mail system, hvor det skal være "forbudt". Så det handler om udefrakommende mails. Simpelt og nemt.



Åbningen af html filen
Når html vedhæftningen åbnes vil denne automatisk bare blive kørt af den pågælde browser der nu fortolker html koden. Html koden indeholder javascript der obfuskeret. Javascript koden sampler nu en iso fil og præsenterer denne for brugeren. (uden der sker adgang til Internettet "lidt sejt"). Nu begynder de lidt "grimme" ting at opstå. Eks i Outlook er det sikkerhed der sørger på at scripting er slået fra, så en bruger ikke ville kunne køre scripts. Men det er langt fra det der sker her. Systemet åbner bare en browser og kører filen når der bliver klikket på den, så det sker ikke i kontekst af outlook, men med browseren og med de rettigheder en bruger nu engang har til at åben en browser. (Det kan alle) Så har man ikke blokeret for alle vedhæftet html filer, så har man nu angrebet helt nede på klienten. På det eksempel jeg har testet på, har ingenting triggert. Jeg har sågår testet det igennem forskellige mailsystemer herunder O365 og Outlook som de fleste jo benytter, Mailen ligger nu bare og putter sig i systemet. Det er heller ikke blevet fjernet ved efterfølgende scanninger af mail stores. (lidt skræmmende - Tror ikke det er noget der sker ret tit i O365 mail)


Det angreb som Morphisec beskriver og det jeg har testet, kan man pt sagtes finde når det udfolder sig, fordi man kan finde det grundet oprettelse af filer, på steder de ikke bør være, brugen af powershell og CMD osv. Men det er jo lige nu og kun fordi de i det her attack har gjort det på den måde de har, med brugen af VBS scripts Jeg kan hurtigt forestille mig en simpel exe fil, der bliver samplet i iso filen af html filen istedet for et vbs script, så vil den bare køre, såfremt det ikke er identificeret af Anti-virus mm. Det kan åbne op for rigtig mange muligheder at angribe på.

Extension filters
Rigtig tit har mange systemer kun default opsatte extension filters implementert. Mange tager ikke højde nogen sinde for at få dem testet af. Benytter man kun default filters på filtyper i Windows så er man rigtig nem at udnytte.
De fleste i DK tillader html som vedhæftet filer og gør ikke noget ved det. Derfor er det min klare opfattelse at denne angrebstype kan gå hen og blive rigtig farlig for mange. Især fordi den nu kan bypass alle andre eksisterende extension filters der allerede måtte være opsat. Denne teknik vil jeg tro kan bypass 90% af allerde opsatte sikkerheds løsninger vi har derude i dag.

ISO filen igen
En iso fil kan på samtlige Windows systemer mountes som et DVD drev (Kræver ikke andre tools installeret). Mounter brugeren denne, får man nu vist et vbs i det nuværende angreb og det er først her, der begynder at blive hentet yderligere filer ned til systemet. Men igen var det en exe fil der bare starter en krypteret forbindelse ud (Måske vi QUIC protokollen), så bliver det lidt noget andet at finde. Jeg er udemærket klar over at mange holder øje med nye ukendte processor fra systemer og meget andet. Men sidder man et stort sted er det sjældent man nogen siden for gået dem alle igennem, der simpelthen for mange. Analytikkere bliver også pålagt alt muligt andet de skal lave og have fokus på, men som i virkeligheden er ligegyldige opgaver i forhold til dette. Rigtig mange har slet ingen eller for få analytikkerer, til at kunne overvåget det det hele. Det samme gør sig gældende for kørte powershell scripts og cmd commands og især hvis det er et rent Windows miljø, så blender det forholdsvis fint og nemt ind i mængden. Mængden af eks powershell logs alene kan være kæmpestor for rigtig mange.

Men det vigtigste er at dette angreb ikke kræver andet end at brugeren lige klikker et par gange. Så kan man sige sige at virksomheden nu er solgt.

"Det er lidt tankevækkende at det kun lige kræver et par klik at "sælge" sin virksomhed, når alt havd det krævede var et html extension filter for at beholde den"

Sikkerheds løsninger
Mange sikkerheds løsninger jeg har testet kan ikke scanne og finde den skadelige kode i html filen. Det flyver lige igennem. Den skadelige kode bliver slet ikke identificeret. Mange sikkerhedløsninger kan ikke lige finde mounted iso filer via VHD og få det logget. Dem jeg har testet som er noget Winlogbeat eller Sysmon de kan sagtes opsættes til at kigge efter det og finde det, såfremt det er opsat med lidt tilpasning. De fleste kigger ikke efter mounted DVD drives (CDROM) og leder efter filer der blev kørt fra disse drev. Andre meget dyre systemer, kan ikke slet ikke opsættes til at opsamle de nødvendige logs. Dog kan de godt finde andre dele at det nuværende angreb grundet bla PowerShell, men igen ting som hurtigt kan gemme sig i mængden af logs og andre alerts, der måske anses at være mere valide at jagte efter.

Mange af dem jeg kender og som sidder med SIEM og logsystemer til daglig har slet ikke fokus på mounted VHD.
En ting der er interesseant er at filstørrelsen på den ISO der i dette angreb bliver mounted kun er 50 KB stor, hvilket i sig selv er meget unormalt. Typisk ville man nok forvente noget cd, dvd størrelser, der bliver mounted.

Fil associering
En simpel metodik jeg har kigget på er at ændre fil associeringr på vbs som benyttes i det her angreb. Det kan godt lade sig gøre. Det ville gøre, at når en bruger så når helt ind til vbs filen med den skadelige downloader, og så klikker på filen, vil det bare åbne i eks notepad. Brugeren skal altså foretage sig noget ekstra for at åbne og køre vbs filen. Det kan i mange tilfælde alene stoppe et angreb. Man skal huske det er brugeren der skal "klikke" angrebet igang. Det sker ikke automatisk pt. om det ville kunne indgå i Javascriptet vil jeg tro det godt kunne.

Anbefalet
Har salmet en del ting man kan gøre, alle er ikke lige gode og der findes sikkert flere ting man kan gøre. Det er ikke noget jeg betvivler.

Bloker alle vedhæftet html filer i mails udefra.
Det er nok det bedste man kan gøre. Det behøver kun at være gældende pt. for udefra kommende mails med vedhæftet html filer.

Tillad ikke private web-mail
Det evigt omdiskuteret emne i mange virksomheder. Igen er det  lidt ledernes skyld når virksomheden ofte går i gulvet. Fordi de selv vil tilgå deres egne private mailsystemer. Jeg har undersøgt uanet mængder af malware angreb og rigtig mange skyldes brugen af privat web-mail. Men det viser jo ofte at man så ikke implementere de nødvendige tiltag, der kunne ligge andre steder som vil være gældende for en host.

Hold øje med mounted filer der ikke er ret store (fra KB størrelse til et par mb i størrelse.
Det kan gøres med alm logovervågning.

Opsæt logning af mounted filer til VHD
Microsoft-Windows-VHDMP-Operational er vejen frem. Opsæt dit SIEM så det kan få øje på det. Kig evt her
Event id 1 og 2 samt Event id 4663 kan benyttes.

Ændre default fil associering på vbs filer til eks notepad
Det er en mulighed og ville gøre at en bruger skulle gøre noget ekstra for at køre et angreb. Denne metodik kan også bruges imod andre filtyper der ofte misbruges i andre typer angreb. Men i dag kræver det ofte hacking af Windows for at få det til at virke.

Benyt SRP rules der beskytter imod hmtl  filer fra temp folders.
SRP på html filer fra temp, vil jeg nok være rigtig forsigtig med at benytte. Men den vil virke. BAT filer fra malware oprettet "Run" folderen vil breake det her attack.
%TEMP%\*.html
%PUBLIC%\Run\*.BAT


Vær opmærksom på at html skal tilføjes som "Designated File Types"  Hvorfor ikke bare bruge SRP rules imod iso eller vbs. Simpelt fordi der ikke findes en default systemvariabel til CD-ROM eller DVD drives i Windows. Dog kan de oprettes med noget scripting.

Files mounted on CdRom drev
Dette kan bruges til søgninger i Kibana.

Look for files mounted on CdRom drives:
Event id: 4663 - An attempt was made to access an object
event_data.ObjectName
Task: Removable Storage
event_data.ProcessName
Wildcard Search - *CdRom*



AV-Scanninger på mail stores
Indfør periodeske scanninger på alle mailstores. Dette skal være en del af ens complaint policy der er aktivt og virker. Det skal testes og alle resultater fra scanninger når scannerne finder noget bør man undersøge. For det betyder i bund og grund at malware er sluppet igennem på et tidligere tidspunkt. (Slet ikke filer, men sæt dem i karentæne så de efterfølgende kan undersøges)

OBS - Benytter man Microsoft Defender, så skal man slå email scanning til via GPO'er først. Men det betyder ikke at den så kan finde ud af at scanner alle filtyer der typisk kan indeholde mail. Benytter man Defender til et mailsystem skal man være opmærksom på at Defender langt fra kan scanne alle mail typer. Bruger man andet end beskrevet her, vil den slet ikke kunne finde malware i mails der ligger i eks eml. Windows Defender er en lidt begrænset kop te i virkeligheden. Jeg vil i virkeligheden have min tvivl ved at benytte det i en enterprice og især til mail scannning på andet end hvad det lige understøtter.

Man kan evt teste med MpCmdRun

Yara rules og OpenIOC
Der kan laves yara rules, såfremt man har den mulighed. Kræver man kigger den nuværende metodik igennem. IOC kan oprettet og benyttes de steder man har mulighed for det.

MITRE
MITRE findes denne form for angreb slet ikke, dog kun løsligt beskrevet, men det er i forbindelse med noget x-fil af data.

 

BlackNurse Attacks - Now Black Storm

21 Februar 2022 - Blog Post # 813

rBlackNurse
NexusGuard har nu identificeret en udvikling af BlackNurse DOS attacket som jeg var en stor del af af foretage analyse af tilbage i 2016 sammen med et par kolleagaer fra min daværende arbejdsplads i TDC-SOC. BlackNurse som bestemt ikke er forsvundet, er nu blevet udviklet til "Black Storm" hvilket er vildt.

Black Storm i en nøddeskal
En spoofet UDP pakke bliver sendt til en enhed (Porte behøver ikke være åbne)
Enheden vil så svare den spoofet IP med en ICMP pakke. Der bliver svaret på samme måde som i BlackNurse attacket med Type 3 Code 3. Og vupti nu er BlackNurse pludselig noget der kan udnyttes i et distriburet spoofet angreb. Smart og rigtig farligt, for de fleste kan ikke gøre noget ved det, hvis det bliver angrebet. Eks kan man jo bare angribe enhederne før det target man ønsker at angribe og target kan slet ikke se hvad det er der sker.


Anbefalet
NexusGuard har et par anbefalinger i deres paper, jeg vil anbefale man lige får kigget igennem.

Test dit eget netværk
Igen kan man teste med "Hping3 -2 <target ip> -p <closed port> -c 1" Modtager du en Type 3 Code 3 tilbage, skal du nok gøre noget. Mere om Hping syntax her - https://diarium.usal.es/pmgallardo/2020/10/16/hping3-syntax/

 

Rusty Emotet Trojan

 19 Januar 2022 - Blog Post # 812

Emotet
Emotet Trojan er bestemt ikke ny. Det blev taget ned og nogen forsøger nu at puste liv i det igen.
Det støjer så det halve kan være nok i IDS systemer. Dog forsøger det et par nye ting, som gør det endnu nemmerer at få øje på.

SANS Storm Center
På næsten samme måde som jeg lige har beskrevet noget malware helt tilbage fra 2002 som er relateret til Cutwail/Pushdo, laver Emotet nu samme fejl i EHLO på SMTP porte. Derved kan inficeret host med Emotet identificeres ret hurtigt. Brand Duncan har et fint write-up

IOC
Domæner man kan lede efter.

IDS Rules frigivet
Ingen kendte falske positiver  

"ylmf-pc" Password attacks !

 17 Januar 2022 - Blog Post # 811

EHLO ylmf-pc
Nogen gange falder man over meget gamle ting som åbenbart bare ikke skifter eller forsvinder. Denne gang brute force password guessing attack fra Cutwail/Pushdo. Der er helt tilbage i august 2016  skrevet artikler omkring disse attacks. Må sige det køre lystingt derude stadig imod mail systemer.

Det er stadig meget aktivt
Efter jeg fik øje på det her, må jeg sige det ikke er noget blevet mindre aktivt igennem tiden. Det kan godt betale sig lige at holde et våget øje med dette. Det bedste er nok bare at droppe forbindelser med denne signatur. EHLO/HELO indeholder ylmf-pc

IDS Rules frigivet
Ingen falske positiver. Der findes heller ikke noget andre IDS rules derude jeg har kunnet finde.

 

Password attacks fra 3835 IP'er fra IOTBotnettet

 1 Januar 2022 - Blog Post # 810

Password attacks fra IOT Botnet
Skrev 10 December 2021 om angreb jeg så fra et IOTBotnet. Jeg har lige verificeret hvor mange forskellige IP adresser jeg har set som deltager i password attacks imod bla mail systemer. Det her er fra små 14 dages trafik, på antallet af attacks der er blevet droppet.

Betydelig størrelse
Med det estimat jeg har lavet her, som faktisk er rent begrænset i omfang, vil jeg tro at tallet kan være min 4-5 gange højere. Da det ikke kun er mig der har set de her attacks, må jeg sige det kan have en betydelig indvirkning på sikkerheden generalt for rigtig mange, der dels ikke opdager disse attacks eller for den sags skyld at de har inficeret udstyr med malware der deltager i disse attacks.

Mange bliver angrebet
Mange bliver angrebet og mange har allerede udstyr, som er inficeret og deltager i angreb. Det er lidt bemærkelsesværdigt at der ikke er langt mere fokus på at tage denne form for Botnet's ned, da der i virkeligheden jo ikke er grænser for hvilke ulykker de reaelt kan foretage på internettet.

Liste med IP-adresser
Har her igen frigivet en liste med de IP adresser som har udført angreb. Så skrevet indeholder den ip adresser på 3835 enheder der er inficeret med malware allerede.

IDS Rules - JA3 hash
Blev frigivet i tidligerer publicering. 


 

Blog posts

Alt hvad jeg har skrevet om igennem 2022