Networkforensic

Threat hunting

Rusty Emotet Trojan

 19 Januar 2022  - Blog Post # 812

Emotet
Emotet Trojan er bestemt ikke ny. Det blev taget ned og nogen forsøger nu at puste liv i det igen.
Det støjer så det halve kan være nok i IDS systemer. Dog forsøger det et par nye ting, som gør det endnu nemmerer at få øje på.

SANS Storm Center
På næsten samme måde som jeg lige har beskrevet noget malware helt tilbage fra 2002 som er relateret til Cutwail/Pushdo, laver Emotet nu samme fejl i EHLO på SMTP porte. Derved kan inficeret host med Emotet identificeres ret hurtigt. Brand Duncan har et fint write-up

IOC
Domæner man kan lede efter.

IDS Rules frigivet
Ingen kendte falske positiver  

"ylmf-pc" Password attacks !

 17 Januar 2022  - Blog Post # 811

EHLO ylmf-pc
Nogen gange falder man over meget gamle ting som åbenbart bare ikke skifter eller forsvinder. Denne gang brute force password guessing attack fra Cutwail/Pushdo. Der er helt tilbage i august 2016  skrevet artikler omkring disse attacks. Må sige det køre lystingt derude stadig imod mail systemer.

Det er stadig meget aktivt
Efter jeg fik øje på det her, må jeg sige det ikke er noget blevet mindre aktivt igennem tiden. Det kan godt betale sig lige at holde et våget øje med dette. Det bedste er nok bare at droppe forbindelser med denne signatur. EHLO/HELO indeholder ylmf-pc

IDS Rules frigivet
Ingen falske positiver. Der findes heller ikke noget andre IDS rules derude jeg har kunnet finde.

 

Password attacks fra 3835 IP'er fra IOTBotnettet

 1 Januar 2022  - Blog Post # 810

Password attacks fra IOT Botnet
Skrev 10 December 2021 om angreb jeg så fra et IOTBotnet. Jeg har lige verificeret hvor mange forskellige IP adresser jeg har set som deltager i password attacks imod bla mail systemer. Det her er fra små 14 dages trafik, på antallet af attacks der er blevet droppet.

Betydelig størrelse
Med det estimat jeg har lavet her, som faktisk er rent begrænset i omfang, vil jeg tro at tallet kan være min 4-5 gange højere. Da det ikke kun er mig der har set de her attacks, må jeg sige det kan have en betydelig indvirkning på sikkerheden generalt for rigtig mange, der dels ikke opdager disse attacks eller for den sags skyld at de har inficeret udstyr med malware der deltager i disse attacks.

Mange bliver angrebet
Mange bliver angrebet og mange har allerede udstyr, som er inficeret og deltager i angreb. Det er lidt bemærkelsesværdigt at der ikke er langt mere fokus på at tage denne form for Botnet's ned, da der i virkeligheden jo ikke er grænser for hvilke ulykker de reaelt kan foretage på internettet.

Liste med IP-adresser
Har her igen frigivet en liste med de IP adresser som har udført angreb. Så skrevet indeholder den ip adresser på 3835 enheder der er inficeret med malware allerede.

IDS Rules - JA3 hash
Blev frigivet i tidligerer publicering. 


 

Blog posts

Alt hvad jeg har skrevet om igennem 2022