Networkforensic

Tjek dine egen version af CURL
En simpel måde hvorpå man lige kan tjekke sin egen version af CURL er med denne simple command
curl --version

Simple download command
curl https://networkforensic.dk/Tools/Files/IcedID/IcedID.zip --output d:\bla.zip

Det understøtter en del protokoller - Fin liste herunder i deres versions oplysninger

DNSCat2 - DNS Tunneling

 06 Marts 2022  - Blog Post # 821

DNS Tunneling
DNSCat2 er bestemt et fint tool til tunneling af trafik hen over DNS. Det er ude i en beta 1 version af DNSCat2. Det kan flippe imellem forskellige typer DNS request som eks TXT, MX, A osv... Alt for ikke at skabe for meget opmærksomhed i logs mm. Det kommer til forskellige typer OS herunder Windows.

Krypteret trafik
Alle forespørgelser og svar er krypteret, rigtig fint. Men det er netop det der gør man kan fange det, uanset hvilken type request det benytter.

Det vil virke rigtig mange steder
Som de selv skriver, vil det her virke rigtig mange steder, simpelthen fordi man ikke holder øje med sin netværkstrafik eller gør det på en utilstrækkelig måde. Ser rigtig mange der den dag i dag, slet ikke har styr på hvordan DNS trafik må flyve ind og ud af virksomheden. Der er rigtig mange der slet ikke har styr på begreber som SPLIT DNS eller DNS choking. Mange tror at fordi de lige har outsourcet til tredjepart, at så er der styr på det. Det er der sjældent.

IDS Rules frigivet
Fanger DNSCat2 - Ingen kendte falske positiver.

SYN - FIN packet with payloads - NOT ALLOWED

 03 Marts 2022  - Blog Post # 820

SYN - FIN
TCP pakker med et af disse flags sat (SYN eller FIN), er de eneste der ikke må indeholde data. LEN=0 er det eneste disse må være sat til. Læs evt selv RFC793. Det er så nu "TCP Middlebox Reflection" attack.

På det sidste er man dog begyndt at se, det slet ikke er tilfældet. Det ene er set i forbindelse med port knocking sekvenser til bagdøre på firewalls/routers og nu også i forbindelse med at udnytte middelbokses til amplifyed DDOS attacks.

Det er altid lidt sjovt at se hvor mange forskellige konsekvenser, det kan have forskellige steder, når producnter ikke overholder standarden, især men hensyn til middelbokses. Det åbner jo helt op for "pandoras æske" af uforudsete ting der kan ske rent sikkerhedsmæssigt. Det gælder også når man forsøger sig med bagdøre der ikke ligger inde for standarden. Man bliver nemmere at få øje på.

IDS Rules frigivet
Har oprettet "Bad TCP packets" som indeholder til både SYN og FIN packets med payloads.
Benytter man dem på en sensor ude foran en Router/Firewall, kan jeg anbefale man måske opsætter noget thresholding på sid:5020201 og sid:5020202 til eks. 1 alert pr 60 sec. - SNORT REF
Bemærk dog, at benytter man thresholding, så finder man sikkert ikke port knocking sekvenser til bagdøre som er ret vigtig i denne forbindelse.

Conti remote tools

 01 Marts 2022  - Blog Post # 819

Remote Tools
Både Mandiant og Sophos har beskrevet de samme typer angreb af Conti gruppen. Noget der er interesseant er brugen af nogen typisk remote admin tools, som jeg har set misbrugt før i helt andre typer angreb.

Jeg har samlet en række IDS rules til at opdage denne type tools såfremt de kører i infrastrukturen.Desuden har jeg en lang række domæner som også bruges i forbindelse med disse omtalte angreb (dog ikke frigivet). jeg har samlet disse IDS rules i en kategori som er under navnet "Remote management software". Desuden arbejder jeg lige nu på flere remote management tools, der vil komme ind under samme kategori.



Splashtop (ScreenConnect) og Atera
Splashtop og Atera er det samme og bygger på det samme. UI er dog forskellig. Jeg er også ret overbevist om at disse producenter slet ikke har rent mel i posen. Nu har jeg igennem tiden arbejdet rigtig meget med analyser af forskellige MalwareRAT's familier. Den eneste forskel jeg rent faktisk ser her, er at det nu køre i en "cloud" men hele metodikken og opsætningen ligner så meget en typisk RAT. Det undre mig også, at en gruppe som Conti bruger interfaces som det her, for så er de nød til at efterlade meget kraftige spor efter sig selv, da man skal oprettets på disse servises osv osv..

Desuden har jeg igennem tiden set rigtig meget brug/misbrug af remote tools. Men når 2 tools der ligner så meget hianden og rent faktisk deler domæner, installers mm og tilmed ligner alt det jeg kender fra malware "RAT's" verden. Så lugter det rigitg meget.....

Her kommer det smukke. Når nu man har en maskine inde i deres interface og man ønsker at foretage fjernadgang af hosten, så var det ens i begge løsninger, at man fik en fejlbesked om at management ikke kunne foretages, men man lige skulle installerer deres "remote exe fil" på ens egen host :-) Smukt... På den måde kan man jo også få fat i den person med alle formodet adgange til en virksomhed. Dont ever go there..

IDS Rules frigivet
Finder de her tools såfremt de køre på det indterne netværk. De er oprettet som "POLICY" rules.

Bvp47 - Top-tier Backdoor of US NSA Equation Group

 24 Februar 2022  - Blog Post # 818

Bvp47
Pangu Lab har frigivet hvad der lader til at være en ret omfattende undersøgelse af noget implant malware lavet af NSA. Det bemærkelsesværdige set fra mit synsvinkel, er at man også har beskrevet hvordan hele deres "port knocking" sekvenser ser ud med magic payloads. Det er meget sjældent man ser det frigivet. De beskriver også at "covert communication system is cutting edge" Sammenfaldet af denne publicering med krigens start i Ukraine kan være et vildt sammentræf eller nøje planlagt. Kina og Rusland er allieret på "cyber" fronten, så mon der kan være en sammenhæng....døm selv.

Data
De IOC'er og det data som denne report bygger på, ser dog ud til at være af ældre dato. Så hvor meget der kunne være i live, har jeg ingen ide om, men vil tro noget sikkert er. Dog optræder der også et enkelt dansk domæne, som ikke længerer ser aktivt ud. Men flere NATO lande optræder på listen, hvilket undre mig en del.

Report kan også hentes her
The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en
SHA1: 4f3beb306f760932a53b54e92a9bc695913daeef

SYN eller ACK
For at gøre det hele lidt mere forvirrende, så beskriver de i deres report, at der er tale om SYN pakker. Men billedet der er vedhæftet i deres report, viser ACK pakker. Det må siges at være noget at en graverende "hovsa" fejl. Det kan være en billedefejl / skrivefejl.

IDS Rules frigivet
Selvom jeg er klar over forvirringen med SYN / ACK pakkker, så har jeg fremstillet IDS rules til både ACK og SYN pakker der er målrettet selve angrebet.

Jeg har måtte lave en del "packet crafting" for at lave packet ud fra de opgivet speks. Men i virkeligheden ikke så svært som det lyder. Bemæk at den ene IDS rule kigger på SYN packet med payloads. Det er helt unormalt og bør ikke forekomme. Så sker der fremover "ting" hvor nogen forsøger sig med payoads i SYN pakker vil de blive opdaget med det samme. Dog har det taget lidt tid at få det hele beskrevet og til at fungere, grundet deres fejl i rapporten.

Om nogen skulle få nogen hits på disse regler høre jeg meget gerne om det. Inden for networkforensinc verden kan det ikke blive meget mere "high tech", sammenholdt med hvad det er brugt til. Men egenteligt simpelt at opdage, da man forsøger ting som egenteligt er tilladt i følge standarden, såfremt der var tale om et fuldt handshake, men det er ikke tilfældt her. 1 SYN packet med payload på en bestemt port og ikke et fuldt handshake.

IDS rules til at kigge på ACK pakker med payloads er straks en anden ting. Det forekommer ofte. Men IDS rules er lavet til både SYN og ACK attacket. Så handler det kun om valideringer såfremt noget giver alerts.

IDS Rules frigivet
Ingen kendte falske positiver. Men vær opmærksom på at de sikkert har begrænset levetid.  

AsyncRAT - Relateret til ISO filer oprettet af html filer.

 19 Februar 2022  - Blog Post # 817

AsyncRAT
Dette var en del af nogen af de første payloads hvor ISO filer bleve oprettet via vedhæftet html filer.
Der er ingen tvivl om at oprettet IDS sigs til dette, meget hurtigt kan blive forældet. Dog er det lykkedes mig at udtrække JA3 sigs der finder alle versioner af dette hver gang. Ellers må jeg sige det er et meget sejt framework, og det er nemt at skjule. Der er god dækning imod dette på anti-virus siden.
 

Forskellige rats
Jeg har haft en del upubliceret IDS rules liggende til detection af forskellige RAT's. Dem frigiver jeg lige i samme omgang.

NetWiredRCRAT
NetSupportRAT
QuasarRAT
CrimsonRAT
AsyncRAT
AgentTeslaRAT
CyberGateRAT
NanocoreRAT
NjRatRAT

AsyncRAT
JA3. fc54e0d16d9764783542f0146a98b300

Password attacks fra 6416 IP'er fra IOTBotnettet

 17 Februar 2022  - Blog Post # 816

SANS Internet Storm Center
De har nu også endelig fået øjne for alle disse attacks fra et stadig stigende antal IOT eneheder der fortager mange forskellige attacks efterhånden. Listen af porte der bliver angrebet lader åbenbart også til at vokse ifølge det SANS Internet Storm Center har frigivet. Yderligere er listen af enheder meget li det jeg ser.

En opdateret liste med ip adresser. Bemærk at mange lande ikke indgår, dette skyldes GEO blokering.
RAW-IP-LIST-IOT-BOTNET-FEB-2022.zip
SHA1: 2d5061817b77b27ef6457170c50ac71eb55fc990

Jeg har tidligere frigivet både IDS signatur samt en helt unik JA3 hash på alle IP adresser der foretager disse angreb.

IDS Sigs
IOT BotNet password guessing attack - 16-12-2021
IOT BotNet password attacks - 21-12-2021

JA3: f17ca639ecdcaa65b4521c49e3515ef9

Du kan læse mere om det jeg tidligerer har frigivet
10 December 2021 - Blog Post # 805
16 December 2021 - Blog Post # 806
1 Januar 2022 - Blog Post # 810

ISO filer der bliver oprettet af en vedhæftet html fil i mail. En trussel der virker. Der udvikler sig...

15 Februar 2022  - Blog Post # 815

Nye angreb der virker.
Det lader til at det ændre sig hurtigt. Man skal som virksomhed virkelig være klar til at blokerer for vedhæftet html filer udefra i mail. Har man ikke allerede gjort det, ville jeg gøre det med det samme. Lige nu er det bare CinaRAT, det kan være hvad som helt der bliver lagt ind som vbs downloaderen bare henter ned, man bliver ramt af.

Denne gang er det html koden ændret en del og nu med CinaRAT, (QuasarRAT). Sans har lige beskrevet nye tilfælde hvor der er 0 i detection på VT.

SHA256: ef579d9bf2dba387c3be9effa09258902c4833dfb7634f4ed804d96e8849da74

Anbefaling
Bloker vedhæftet html filer i mail.

Det er yderst vigtigt at man får Anti-virus scannet sine mail stores igennem med jævne mellemrum. Tror jeg uden at overdrive kan sige at mange mangler at opsætte scanninger i mail stores med jævne mellemrum. Jeg har set at de her mails bare får lov til at ligge og putte sig på systemerne, uden at blive fjernet efterfølgende når signaturer efterfølgende kan kende dem. Det er et simpelt tegn på manglende periodisk scaning af mail stores.
Det kan være en tikkende bombe.

Har man ikke modet til at lukke for vedhæftet html filer, så kan man i virkeligheden bare lukke op for vedhæftet, eksempel exe og scr filer, for de her html filer ville kunne skjule dem alle alligevel og bypasse ethvert extension filter. Jeg kan godt huske dengang man diskuterede længe om hvorvidt det var en god ide at lukke for exe og scr filer i mail for mange år siden. Historien viste også at det dengang var en klog beslutning at man fjernede dem.

ISO filer der bliver oprettet af en vedhæftet html fil i mail. En trussel der virker.

13 Februar 2022  - Blog Post # 814

ISO fil "angrebet"
Det var noget jeg blev opmærksom på via en publicering fra Morphisec. De beskrev dette meget fint.
Til hverdag sidder jeg med forskellige mailsystemer og jeg altid opmærksom på, når nye angreb via mail opstår og derfor kigger jeg dem altid nøje igennem. Mail er stadig den mest udnyttet vektor for en angriber, til at få fat i virksomheder. Det er ofte alt for nemt og mange har kun fokus på Phishing angreb i forhold til deres brugerer. Det faktum kender hackerne også.

SANS har beskrevet hvad jeg vil kalde "forløberen" til dette angreb. Dengang var det bare brugen af vedhæftet ISO filer som indeholdt exe filer. Men de har også beskrevet en andet eksempel af det samme type som jeg har kigget på.

Mit testet malware sample
MD5: 31c701aef60f588ece18d3d1392da916
Download: pw "infected"
VT link

Selve angrebet - html filen
Som beskrevet af Morphisec, modtager man en simpel vedhæftet html fil i en mail. Bemærk her, at der er stor forskel på html formateret mail og en html vedhæftet fil. Man kan godt i en html formateret mail og have en vedhæftet html fil. Det nemmeste i verden her og som ville forhindre hele angrebet var at lave et html extension filter på sine mail systemer når mail ankommer udefra. Det er altså ikke imellem ansatte som er på et mail system, hvor det skal være "forbudt". Så det handler om udefrakommende mails. Simpelt og nemt.



Åbningen af html filen
Når html vedhæftningen åbnes vil denne automatisk bare blive kørt af den pågælde browser der nu fortolker html koden. Html koden indeholder javascript der obfuskeret. Javascript koden sampler nu en iso fil og præsenterer denne for brugeren. (uden der sker adgang til Internettet "lidt sejt"). Nu begynder de lidt "grimme" ting at opstå. Eks i Outlook er det sikkerhed der sørger på at scripting er slået fra, så en bruger ikke ville kunne køre scripts. Men det er langt fra det der sker her. Systemet åbner bare en browser og kører filen når der bliver klikket på den, så det sker ikke i kontekst af outlook, men med browseren og med de rettigheder en bruger nu engang har til at åben en browser. (Det kan alle) Så har man ikke blokeret for alle vedhæftet html filer, så har man nu angrebet helt nede på klienten. På det eksempel jeg har testet på, har ingenting triggert. Jeg har sågår testet det igennem forskellige mailsystemer herunder O365 og Outlook som de fleste jo benytter, Mailen ligger nu bare og putter sig i systemet. Det er heller ikke blevet fjernet ved efterfølgende scanninger af mail stores. (lidt skræmmende - Tror ikke det er noget der sker ret tit i O365 mail)

Det angreb som Morphisec beskriver og det jeg har testet, kan man pt sagtes finde når det udfolder sig, fordi man kan finde det grundet oprettelse af filer, på steder de ikke bør være, brugen af powershell og CMD osv. Men det er jo lige nu og kun fordi de i det her attack har gjort det på den måde de har, med brugen af VBS scripts Jeg kan hurtigt forestille mig en simpel exe fil, der bliver samplet i iso filen af html filen istedet for et vbs script, så vil den bare køre, såfremt det ikke er identificeret af Anti-virus mm. Det kan åbne op for rigtig mange muligheder at angribe på.

Extension filters
Rigtig tit har mange systemer kun default opsatte extension filters implementert. Mange tager ikke højde nogen sinde for at få dem testet af. Benytter man kun default filters på filtyper i Windows så er man rigtig nem at udnytte.
De fleste i DK tillader html som vedhæftet filer og gør ikke noget ved det. Derfor er det min klare opfattelse at denne angrebstype kan gå hen og blive rigtig farlig for mange. Især fordi den nu kan bypass alle andre eksisterende extension filters der allerede måtte være opsat. Denne teknik vil jeg tro kan bypass 90% af allerde opsatte sikkerheds løsninger vi har derude i dag.

ISO filen igen
En iso fil kan på samtlige Windows systemer mountes som et DVD drev (Kræver ikke andre tools installeret). Mounter brugeren denne, får man nu vist et vbs i det nuværende angreb og det er først her, der begynder at blive hentet yderligere filer ned til systemet. Men igen var det en exe fil der bare starter en krypteret forbindelse ud (Måske vi QUIC protokollen), så bliver det lidt noget andet at finde. Jeg er udemærket klar over at mange holder øje med nye ukendte processor fra systemer og meget andet. Men sidder man et stort sted er det sjældent man nogen siden for gået dem alle igennem, der simpelthen for mange. Analytikkere bliver også pålagt alt muligt andet de skal lave og have fokus på, men som i virkeligheden er ligegyldige opgaver i forhold til dette. Rigtig mange har slet ingen eller for få analytikkerer, til at kunne overvåget det det hele. Det samme gør sig gældende for kørte powershell scripts og cmd commands og især hvis det er et rent Windows miljø, så blender det forholdsvis fint og nemt ind i mængden. Mængden af eks powershell logs alene kan være kæmpestor for rigtig mange.

Men det vigtigste er at dette angreb ikke kræver andet end at brugeren lige klikker et par gange. Så kan man sige sige at virksomheden nu er solgt.

"Det er lidt tankevækkende at det kun lige kræver et par klik at "sælge" sin virksomhed, når alt havd det krævede var et html extension filter for at beholde den"

Sikkerheds løsninger
Mange sikkerheds løsninger jeg har testet kan ikke scanne og finde den skadelige kode i html filen. Det flyver lige igennem. Den skadelige kode bliver slet ikke identificeret. Mange sikkerhedløsninger kan ikke lige finde mounted iso filer via VHD og få det logget. Dem jeg har testet som er noget Winlogbeat eller Sysmon de kan sagtes opsættes til at kigge efter det og finde det, såfremt det er opsat med lidt tilpasning. De fleste kigger ikke efter mounted DVD drives (CDROM) og leder efter filer der blev kørt fra disse drev. Andre meget dyre systemer, kan ikke slet ikke opsættes til at opsamle de nødvendige logs. Dog kan de godt finde andre dele at det nuværende angreb grundet bla PowerShell, men igen ting som hurtigt kan gemme sig i mængden af logs og andre alerts, der måske anses at være mere valide at jagte efter.

Mange af dem jeg kender og som sidder med SIEM og logsystemer til daglig har slet ikke fokus på mounted VHD.
En ting der er interesseant er at filstørrelsen på den ISO der i dette angreb bliver mounted kun er 50 KB stor, hvilket i sig selv er meget unormalt. Typisk ville man nok forvente noget cd, dvd størrelser, der bliver mounted.

Fil associering
En simpel metodik jeg har kigget på er at ændre fil associeringr på vbs som benyttes i det her angreb. Det kan godt lade sig gøre. Det ville gøre, at når en bruger så når helt ind til vbs filen med den skadelige downloader, og så klikker på filen, vil det bare åbne i eks notepad. Brugeren skal altså foretage sig noget ekstra for at åbne og køre vbs filen. Det kan i mange tilfælde alene stoppe et angreb. Man skal huske det er brugeren der skal "klikke" angrebet igang. Det sker ikke automatisk pt. om det ville kunne indgå i Javascriptet vil jeg tro det godt kunne.

Anbefalet
Har salmet en del ting man kan gøre, alle er ikke lige gode og der findes sikkert flere ting man kan gøre. Det er ikke noget jeg betvivler.

Bloker alle vedhæftet html filer i mails udefra.
Det er nok det bedste man kan gøre. Det behøver kun at være gældende pt. for udefra kommende mails med vedhæftet html filer.

Tillad ikke private web-mail
Det evigt omdiskuteret emne i mange virksomheder. Igen er det  lidt ledernes skyld når virksomheden ofte går i gulvet. Fordi de selv vil tilgå deres egne private mailsystemer. Jeg har undersøgt uanet mængder af malware angreb og rigtig mange skyldes brugen af privat web-mail. Men det viser jo ofte at man så ikke implementere de nødvendige tiltag, der kunne ligge andre steder som vil være gældende for en host.

Hold øje med mounted filer der ikke er ret store (fra KB størrelse til et par mb i størrelse.
Det kan gøres med alm logovervågning.

Opsæt logning af mounted filer til VHD
Microsoft-Windows-VHDMP-Operational er vejen frem. Opsæt dit SIEM så det kan få øje på det. Kig evt her
Event id 1 og 2 samt Event id 4663 kan benyttes.

Ændre default fil associering på vbs filer til eks notepad
Det er en mulighed og ville gøre at en bruger skulle gøre noget ekstra for at køre et angreb. Denne metodik kan også bruges imod andre filtyper der ofte misbruges i andre typer angreb. Men i dag kræver det ofte hacking af Windows for at få det til at virke.

Benyt SRP rules der beskytter imod hmtl  filer fra temp folders.
SRP på html filer fra temp, vil jeg nok være rigtig forsigtig med at benytte. Men den vil virke. BAT filer fra malware oprettet "Run" folderen vil breake det her attack.
%TEMP%\*.html
%PUBLIC%\Run\*.BAT

Vær opmærksom på at html skal tilføjes som "Designated File Types"  Hvorfor ikke bare bruge SRP rules imod iso eller vbs. Simpelt fordi der ikke findes en default systemvariabel til CD-ROM eller DVD drives i Windows. Dog kan de oprettes med noget scripting.

Files mounted on CdRom drev
Dette kan bruges til søgninger i Kibana.

Look for files mounted on CdRom drives:
Event id: 4663 - An attempt was made to access an object
event_data.ObjectName
Task: Removable Storage
event_data.ProcessName
Wildcard Search - *CdRom*



AV-Scanninger på mail stores
Indfør periodeske scanninger på alle mailstores. Dette skal være en del af ens complaint policy der er aktivt og virker. Det skal testes og alle resultater fra scanninger når scannerne finder noget bør man undersøge. For det betyder i bund og grund at malware er sluppet igennem på et tidligere tidspunkt. (Slet ikke filer, men sæt dem i karentæne så de efterfølgende kan undersøges)

OBS - Benytter man Microsoft Defender, så skal man slå email scanning til via GPO'er først. Men det betyder ikke at den så kan finde ud af at scanner alle filtyer der typisk kan indeholde mail. Benytter man Defender til et mailsystem skal man være opmærksom på at Defender langt fra kan scanne alle mail typer. Bruger man andet end beskrevet her, vil den slet ikke kunne finde malware i mails der ligger i eks eml. Windows Defender er en lidt begrænset kop te i virkeligheden. Jeg vil i virkeligheden have min tvivl ved at benytte det i en enterprice og især til mail scannning på andet end hvad det lige understøtter.

Man kan evt teste med MpCmdRun

Yara rules og OpenIOC
Der kan laves yara rules, såfremt man har den mulighed. Kræver man kigger den nuværende metodik igennem. IOC kan oprettet og benyttes de steder man har mulighed for det.

MITRE
På MITRE findes denne form for angreb slet ikke, dog kun løsligt beskrevet, men det er i forbindelse med noget x-fil af data.

BlackNurse Attacks - Now Black Storm

21 Februar 2022 - Blog Post # 813

rBlackNurse
NexusGuard har nu identificeret en udvikling af BlackNurse DOS attacket som jeg var en stor del af af foretage analyse af tilbage i 2016 sammen med et par kolleagaer fra min daværende arbejdsplads i TDC-SOC. BlackNurse som bestemt ikke er forsvundet, er nu blevet udviklet til "Black Storm" hvilket er vildt.

Black Storm i en nøddeskal
En spoofet UDP pakke bliver sendt til en enhed (Porte behøver ikke være åbne)
Enheden vil så svare den spoofet IP med en ICMP pakke. Der bliver svaret på samme måde som i BlackNurse attacket med Type 3 Code 3. Og vupti nu er BlackNurse pludselig noget der kan udnyttes i et distriburet spoofet angreb. Smart og rigtig farligt, for de fleste kan ikke gøre noget ved det, hvis det bliver angrebet. Eks kan man jo bare angribe enhederne før det target man ønsker at angribe og target kan slet ikke se hvad det er der sker.

Anbefalet
NexusGuard har et par anbefalinger i deres paper, jeg vil anbefale man lige får kigget igennem.

Test dit eget netværk
Igen kan man teste med "Hping3 -2 <target ip> -p <closed port> -c 1" Modtager du en Type 3 Code 3 tilbage, skal du nok gøre noget. Mere om Hping syntax her - https://diarium.usal.es/pmgallardo/2020/10/16/hping3-syntax/

Rusty Emotet Trojan

 19 Januar 2022 - Blog Post # 812

Emotet
Emotet Trojan er bestemt ikke ny. Det blev taget ned og nogen forsøger nu at puste liv i det igen.
Det støjer så det halve kan være nok i IDS systemer. Dog forsøger det et par nye ting, som gør det endnu nemmerer at få øje på.

SANS Storm Center
På næsten samme måde som jeg lige har beskrevet noget malware helt tilbage fra 2002 som er relateret til Cutwail/Pushdo, laver Emotet nu samme fejl i EHLO på SMTP porte. Derved kan inficeret host med Emotet identificeres ret hurtigt. Brand Duncan har et fint write-up

IOC
Domæner man kan lede efter.

IDS Rules frigivet
Ingen kendte falske positiver  

"ylmf-pc" Password attacks !

 17 Januar 2022 - Blog Post # 811

EHLO ylmf-pc
Nogen gange falder man over meget gamle ting som åbenbart bare ikke skifter eller forsvinder. Denne gang brute force password guessing attack fra Cutwail/Pushdo. Der er helt tilbage i august 2016  skrevet artikler omkring disse attacks. Må sige det køre lystingt derude stadig imod mail systemer.

Det er stadig meget aktivt
Efter jeg fik øje på det her, må jeg sige det ikke er noget blevet mindre aktivt igennem tiden. Det kan godt betale sig lige at holde et våget øje med dette. Det bedste er nok bare at droppe forbindelser med denne signatur. EHLO/HELO indeholder ylmf-pc

IDS Rules frigivet
Ingen falske positiver. Der findes heller ikke noget andre IDS rules derude jeg har kunnet finde.

Password attacks fra 3835 IP'er fra IOTBotnettet

 1 Januar 2022 - Blog Post # 810

Password attacks fra IOT Botnet
Skrev 10 December 2021 om angreb jeg så fra et IOTBotnet. Jeg har lige verificeret hvor mange forskellige IP adresser jeg har set som deltager i password attacks imod bla mail systemer. Det her er fra små 14 dages trafik, på antallet af attacks der er blevet droppet.

Betydelig størrelse
Med det estimat jeg har lavet her, som faktisk er rent begrænset i omfang, vil jeg tro at tallet kan være min 4-5 gange højere. Da det ikke kun er mig der har set de her attacks, må jeg sige det kan have en betydelig indvirkning på sikkerheden generalt for rigtig mange, der dels ikke opdager disse attacks eller for den sags skyld at de har inficeret udstyr med malware der deltager i disse attacks.

Mange bliver angrebet
Mange bliver angrebet og mange har allerede udstyr, som er inficeret og deltager i angreb. Det er lidt bemærkelsesværdigt at der ikke er langt mere fokus på at tage denne form for Botnet's ned, da der i virkeligheden jo ikke er grænser for hvilke ulykker de reaelt kan foretage på internettet.

Liste med IP-adresser
Har her igen frigivet en liste med de IP adresser som har udført angreb. Så skrevet indeholder den ip adresser på 3835 enheder der er inficeret med malware allerede.

IDS Rules - JA3 hash
Blev frigivet i tidligerer publicering.