18 Juni 2022 - Blog Post # 831
Matanbuchus
Det er den
nye trojan downloader man skal være lidt opmærksom på. Der
ligger en pæn stor infrastruktur bag denne, og de sidste domæner
blev første aktive sent i går aftes, hvorfra Cobolt strike hentes.
Det bliver nok noget man skal holde lidt øje med. Det er ikke noget
der kan testes i vm, viratuelle miljøer osv, da den tjekker hvordan
CPU opsætningen er. Lidt smart.... Der er mange nye metodikker i
forbindelse med Matanbuchus.
Unit42 har nok det bedste skriv indtil videre jeg kan anbefale
man læser igennem. Desuden har
SANS et skriv også. Man skal også være opmærksom på at den
allerede nu skifter metodikker, meget hurtigt, jeg har allerede selv
set flere udformninger af denne.
Navnet Matanbuchus er
direkte
henvisning til den okkulte verden. Men tiden må vise hvor
okkulte de i virkeligheden er. Den slags hovmod har det med at
falde...
IOC'er
Jeg har samlet en
liste af domæner man med fordel lige nu kan blokerer for. Der
findes desuden mange andre IOS'er man kan kigge igennem.
IDS Rule frigivet
Kigger på den aktuelle kampange. Det kan meget vel ændre sig og jeg
ved der allerede nu findes flere IDS rules der kan laves.
14 Juni 2022 - Blog Post # 830
Bumblebee malware downloader
Det er desværre noget jeg ser blive hyppigt benyttet.
Bumblebee er en malware downloader, man ofte ser i forbindelse
med forskellige typer malware som, Emotet, CoboltStrike, RedLine
Stealer, Conti, IcedID og mange flere. Det er blevet lidt en
standard, at det bruges, men det gør det jo også lidt nemt finde
inficeret hosts...
SNORT Rule Frigivet
Kigger efter typisk certifikate der benyttes af Bumblebee. Det er
klart anbefalet at undersøge hosts hvor denne IDS rule giver alerts.
24 Maj 2022 - Blog Post # 829
Malware og anti-vm samt forensic tools og anti-forensic
Bumblebee loader er det seneste skud på stammen der bruges af
mange forskellige cybercrime grupper. Herunder Conti og Diavol og
flere. Det er med Bumblebee som med mange malware typer, at de
typisk holder øje med forensictools som køre på en maskine eller
bare har en tilstedværelse. Bliver de fundet vil malware typisk
ikke foretage sig noget eller helt
fjerne sig selv. Det er kendt taktik som går under navnet "malware
antiforensic" simpelt for at undgå at et stykke malware bliver
undersøgt eller afsløret for hurtigt.
Som analytikker kender man forhåbenteligt også til tools som
Paranoidfish der kan hjælpe med at opsætte tools
til en analyse maskine for at fjerne spor at et viratuelt miljø og
forskellige tools mm.
Brug forensic tools
Jeg ved ikke rigtigt hvad man skal kalde det, men det lader
efterhånden til at man som defender "bare" skal have et eller flere
af disse tools liggende på systemer, eller bare have et par "falske
processor kørende" så kan man helt undgå at hosts bliver inficeret
med visse typer loaders og dermed mange forskellige følgetyper af
malware.
Det er jo lidt den omvendte verden, hvor man bruger malware
grupperens egne taktikker imod dem selv og til fordel for en selv
som defender. Man "spiller" jo lidt på at et stykke malware benytter
sig af disse teknikker, (hvilket alt malware langtfra gør) men det
kan have en heldig positiv effekt, som kan fungerer som en form for
"vaccine" på et system overfor mange typer malware. Det vil langt
fra virke imod alt, men det vil virke imod rigtig mange malware
loaders. Ugheldigvis er der ingen jeg kender til der holder øje med
hvilket og hvor meget malware der benytter disse antiforensic
teknikker og i hvilke kategorier de rent faktisk ligger i.
Tools
Mange af disse forensic tools der bliver holdt øje med, er slet ikke
farlige i sig selv at have på et system. Tænker man efterhånden skal
lave en pakke af tools der bliver installeret på drift systemer,
hvor man kan sikre disse med rettigheder osv. Typisk holder malware
kun øje med selve process navnet, så i virkeligheden kunne det være
en omdøbt notepad.exe til eks tcpview.exe man starter op og har
kørende. Tænker det hele kan sikres med rettigheder så en alm
bruger ikke kan benyttes disse tools. Dog findes der rigtig mange
antiforensic teknikker og det ville være svært at bruge dem alle
sammen, men det meste malware er slet ikke så udviklet og finder de
bare en af de forensic tools holder loaderen helt op med at virke,
og resultatet er at man ikke blev inficeret den dag.
Der er egentelig ikke lavet nogen stats over hvor meget og hvilket
malware som beskytter sig selv på denne måde. Måske det kunne være
værd at undersøge. Jeg ved bare at mere og mere malware især
loaders, benytter samme teknikker og det sikkert kunne være en
fordel at begynde at holde øje med disse ting. En optimeret
indsamling af disse oplysninger kunne vise hvad der blev holdt mest
øje med og derved kunne man optimere hvad man skulle have liggende
på en maskine som "vaccine"..........
20 Maj 2022 - Blog Post # 828
Industroyer2.
Man kan læse en god gennemgang af Industroyer2 fra Netresec
her Det handler om at man via IEC-104 protokollen ændre circuit
breaker switches fra ON til OFF og derved kan man lukke for strøm på
visse typer powergrids. IEC-104 protokollen er bestemt ikke noget
man som analytikker kommer til at se hver dag, så det er lidt at et
scoop vi ser dette og bestemt takket være Erik Hjelmvik fantastiske
forarbejde.
Malware sampels
Erik fra Netresec har fået fingerne i dette malware, der har
muliggjort capture af hvordan trafikken ser ud når der sker en
ændring via IEC-104. De frigivet pcap's fra Netresec er ikke super
venlige at foretage analyse på. Derfor er disse blevet omskrevet fra
RAW til Ethernet via TCPREWRITE og en tur igennem CyberChef for at
ændre både SRC og DST ip'er der alle var de samme. Den sidste del
stod Jesper Lindgren (TDC NET) for og hans altid fantastiske hovede
til den slags analyse arbejde, hvilket har muliggjort, at vi nu i et
mere venligt format kan frigive de omskrevet pcap's.
EnergiCERT i danmark var faktisk dem der ønskede detection i denne
protokol, fordi der ikke findes noget derude der kan opdage
ændringer til en "OFF state", vi takker derfor for deres ønske
omkring dette.
Filnavn (PCAP):
indu.zip
SHA1: fac6fcfd12b414b0e8e94e1bcb51ab560b41d8ef
SNORT Rule Frigivet
Denne er frigivet via mit SCADA IDS rule detection set SID:120002001
https://networkforensic.dk/SNORT/NF-SCADA.zip
Vær opmærkstom på, at det kan betale sig KUN at benytte denne IDS
rule i et miljø hvor man kan sætte IP'adresser op på hvor IDS reglen
skal detecte fra. Man skal også være opmærksom på at jeg ikke
direkte kigger efter
Industroyer2 trafik men en alm command fra IEC-104 der benyttes
af Industroyer2, dog benyttes denne command meget flittigt imod
systemer, og det er klart noget man gerne vil holde øje med sker.
Opdatering: 21-05-2022
Jeg er opmærksom på en ny version at loaders til Industroyer mm. Men
de har ingen betydning i denne forbindelse, da nye loaders, malware
der inficerede et system, ikke kan ændre på de commnads der skal
benyttes for at flippe en circuit breaker.
I forhold til at flippe til en ON state, så blev det også en ønske
fra nogen, at man også kunne se dette. Det er hermed også lagt ud i
mine SCADA IDS rules
13 Maj 2022 - Blog Post # 827
Password protected zip filer.
Credman event id 5379 kan godt være noget der støjer rigtig
meget i SIEM systemer, især når man logger fra alle klienter.
Personligt her jeg ikke selv fundet brug for dem før, nu og
hvor Credman events giver god mening at indsamle fra hosts.
Et eksempel
Meget malware kommer via mail som password protected zip
filer. En bruger der udpakker en password beskyttet zip fil med
Windows explorer, vil efterlade en windows event 5379, hvor man kan
se navn osv. på den udpakket zip fil. Det er rigtig nyttig i
forbindelse med incident hvor man jagter "patient zero" eller
starten på en infection chain på anden vis. Det kan være til
alverdens former for malware attacks for rigtig meget benytter
password beskyttet zip filer.
Bemærk man kun ser
dette såfremt man benytter "Details view" og kigger i "Friendly
view" eller "Details"
Anbefalling
Det er klart anbefalet at opsamle Event ID 5379 Event data type 1.
Kig efter udpakket zip filer fra klienter og servers. Lav et
dashboard i jeres SIEM systemer der holder øje med det her når det
sker.
14 April 2022 - Blog Post # 826
Metastealer
Den benytter "nye" teknikker for at undgå detection, og er
også ret sværdt at identificere 100% sikkert hver gang via
netværkstrafik.
Derfor har jeg måtte slå flere IDS regler sammen, for at få
en mere nøjeagtig detection imod dette.
SANS har skrevet om det og jeg har selv tidligere informeret
omkring dette. Dengang blev det dog identificeret som AgentTesla.
Det er malware der benytter RTLO in deres exe filer,
hvilket kan snyde rigtig mange detection systemer.
Det ankommer typipsk via vedhæftet excell filer i mail.
Læs mere fra min tidligere post her
Malware exe file made with "Right-to-Left Override"
19 Marts 2022 - Blog Post # 823
IDS Rule frigivet
Man bør undersøge bmp filer for RTLO exe filer i disse med disse IDS
regler.
06 April 2022 - Blog Post # 825
DeepWeb Inteligense Feed
Til dem der ikke kan leve uden at skulle sidde og holde øje
med hvad de forskellige Ransomware Crews ligger og laver.
https://darkfeed.io
Kan nok anbefale man bruger en test maskine og ikke sin virksomheds
pc, når man ligger og besøger dem her. Desuden ville jeg nok bruge
noget VPN i en eller anden form (Måske en TOR browser igennem en VPN
løsning)
26 Marts 2022 - Blog Post # 824
Oprydning i IDS regler
For at få et mere relevant IDS regelsæt er mere end 500 IDS
regler taget ud af de nuværende frigivet IDS
regler. Så det nuværende regelsæt er på 644 IDS regler.
Jeg forsøger kun at lave IDS regler til noget der ikke
findes andre steder. Jeg bruger eks ikke tid på noget jeg kan se
andre allerede har lavet der virker. Dog oplever jeg at når man
kigger de mere kommercielle regler igennem på eks nye malware
kampanger, så har angreb skiftet karekter og regler virker derfor
ikke. I disse tilfælde laver jeg nye IDS regler.
Bemærk at jeg ikke er tilhænger af at lave IDS regler baseret på
DNS. Det er alt for ofte bare tidskrævende valideringer af falske
positiver, der dræber enhver analytikkers lyst til at arbejde. Til
DNS identificeringer anbefaler jeg at benytte
NXFilter,
eller en tilsvarende løsning.
De gamle regler
Dem kan man stadig hente. Men det vil ikke være dem jeg opdaterer på
fremadrettet. Men det giver muligheden for at se hvad der er fjernet
eller såfremt man har brug for en ældre IDS regel.
Fil: NF-local-OLD.zip
SHA1: 2e80bc57313f50ec3d5a185fa67360225a053c66
19 Marts 2022 - Blog Post # 823
AgentTesla
Faldt over en malware kampange hvor payload exe filen var lavet med
"Right-to-Left Override"
Det er jo pænt meget "Masquerading
- MITRE -> T1036 - Defense Evasion"
Malware sample
File name: Hyyyox Deoettcv.bmp (Hyyyox.exe)
SHA1: 54ff4ca946e8004f8af1a1e854ae06b3ab2fc46b
0 Detection på VT
OC'er
mail.beta1000.cl -> 69.16.244.78
tralkan.servidor21.com -> 69.16.244.78 (cname)
Kig efter forsøg på outbound mail TCP port 587
IDS Rule frigivet
Generic detection lavet så exe filer hvor der bliver benyttet RTLO bliver opdaget.
Kigger kun på HTTP porte
(Ren malware hver gang)
SID:5018812 - REV:2
10 Marts 2022 - Blog Post # 822
Default CURL i Windows 10
CURL blev tilføjet helt tilbage i 2017. Dog er det
første gang jeg ser det bliver brugt i forbindelse med en
info stealer skrevet direkte i en bat fil og hvor CURL bruges
til at hente den ondsindet kode. CURL er et ganske fint tool og
bruges til mange forskellige ting. Det kan bla downloade og uploade
stuff mm. Microsoft har også været så flinke at ligge curl.exe i
"system32".
Vær lige lidt vågen her
Man skal lige være lidt vågen, for der er ikke super meget detection
på CURL. Sammenligner jeg eks CURL med certutill og BITS, så er
de 2 sidste forholdsvis nemme at spotte, fordi de typisk kun henter
fra Microsoft / Windows domæner. CURL må forventes at gøre dette fra
alt mulig underligt herunder også malware nu. Det skal nok puttes
lidt i samme kasse som eks PowerShell og CMD. Så hvad CURL ligger og
laver på Windows systemerne skal man lige have et våget øje for.
Tjek dine egen version af CURL
Simple download command
Det understøtter en del protokoller - Fin liste herunder i deres versions oplysninger
06 Marts 2022 - Blog Post # 821
DNS Tunneling
DNSCat2
er bestemt et fint tool til tunneling af trafik hen over DNS. Det er
ude i en beta 1 version af DNSCat2. Det kan flippe imellem
forskellige typer DNS request som eks TXT, MX, A osv... Alt for ikke
at skabe for meget opmærksomhed i logs mm. Det kommer til
forskellige typer OS herunder Windows.
Krypteret trafik
Alle forespørgelser og svar er krypteret, rigtig fint. Men det er
netop det der gør man kan fange det, uanset hvilken type request det
benytter.
Det vil virke rigtig mange steder
Som de selv skriver, vil det her virke rigtig mange steder,
simpelthen fordi man ikke holder øje med sin netværkstrafik eller
gør det på en utilstrækkelig måde. Ser rigtig mange der den dag i
dag, slet ikke har styr på hvordan DNS trafik må flyve ind og ud af
virksomheden. Der er rigtig mange der slet ikke har styr på begreber
som SPLIT DNS eller DNS choking. Mange tror at fordi de lige har
outsourcet til tredjepart, at så er der styr på det. Det er der
sjældent.
IDS Rules frigivet
Fanger DNSCat2 - Ingen kendte falske positiver.
03 Marts 2022 - Blog Post # 820
SYN - FIN
TCP pakker med et af disse flags sat (SYN eller FIN), er de eneste
der ikke må indeholde data. LEN=0 er det eneste disse må være sat
til. Læs evt selv RFC793. Det er så nu "TCP
Middlebox Reflection" attack.
På det sidste er man dog begyndt at se, det slet ikke er tilfældet.
Det ene er set i forbindelse med
port knocking sekvenser til bagdøre på firewalls/routers og nu
også i forbindelse med at udnytte middelbokses til
amplifyed DDOS attacks.
Det er altid lidt sjovt at se hvor mange forskellige konsekvenser,
det kan have forskellige steder, når producnter ikke overholder
standarden, især men hensyn til middelbokses. Det åbner jo helt op
for "pandoras æske" af uforudsete ting der kan ske rent
sikkerhedsmæssigt. Det gælder også når man forsøger sig med bagdøre
der ikke ligger inde for standarden. Man bliver nemmere at få øje
på.
IDS Rules frigivet
Har oprettet "Bad TCP packets" som indeholder til både SYN
og FIN packets med payloads.
Benytter man dem på en sensor ude foran en Router/Firewall, kan jeg
anbefale man måske opsætter noget thresholding på sid:5020201 og
sid:5020202 til eks. 1 alert pr 60 sec. -
SNORT REF
Bemærk dog, at benytter man thresholding, så finder man sikkert ikke
port knocking sekvenser til bagdøre som er ret vigtig i denne
forbindelse.
01 Marts 2022 - Blog Post # 819
Remote Tools
Både
Mandiant og
Sophos har beskrevet de samme typer angreb af
Conti gruppen.
Noget der er interesseant er brugen af nogen typisk remote admin
tools, som jeg har set misbrugt før i helt andre typer angreb.
Jeg har samlet en række IDS rules til at opdage denne type tools
såfremt de kører i infrastrukturen.Desuden har jeg en lang række domæner
som også bruges i forbindelse med disse omtalte angreb (dog ikke
frigivet). jeg har
samlet disse IDS rules i en kategori som er under navnet "Remote management
software".
Desuden arbejder jeg lige nu på flere remote management tools, der
vil komme ind under samme kategori.
Splashtop (ScreenConnect) og Atera
Splashtop og Atera er det samme og bygger på det samme. UI er dog forskellig. Jeg
er også ret overbevist om at disse producenter slet ikke har rent mel
i posen. Nu har jeg igennem tiden arbejdet rigtig meget med analyser af
forskellige MalwareRAT's familier. Den eneste forskel jeg rent faktisk ser
her, er at det nu køre i en "cloud" men hele metodikken og
opsætningen ligner så meget en typisk RAT. Det undre mig også, at en
gruppe som Conti bruger interfaces som det her, for så er de nød
til at efterlade meget kraftige spor
efter sig selv, da man skal oprettets på disse servises osv
osv..
Desuden har jeg igennem tiden set rigtig meget brug/misbrug af
remote tools. Men når 2 tools der ligner så meget hianden og rent
faktisk deler domæner, installers mm og tilmed ligner alt det jeg
kender fra malware "RAT's" verden. Så lugter det rigitg meget.....
Her kommer det smukke. Når nu man har en maskine inde i deres
interface og man ønsker at foretage fjernadgang af hosten, så var
det ens i begge løsninger, at man fik en fejlbesked om at management
ikke kunne foretages, men man lige skulle installerer deres "remote
exe fil" på ens egen host :-) Smukt... På den måde kan man jo også
få fat i den person med alle formodet adgange til en virksomhed.
Dont ever go there..
IDS Rules frigivet
Finder de her tools såfremt de køre på det indterne netværk. De er
oprettet som "POLICY" rules.
24 Februar 2022 - Blog Post # 818
Bvp47
Pangu Lab har frigivet hvad der lader til at være en ret
omfattende undersøgelse af noget implant malware lavet af NSA. Det
bemærkelsesværdige set fra mit synsvinkel, er at man også har
beskrevet hvordan hele deres "port knocking" sekvenser ser ud med
magic payloads. Det er meget sjældent
man ser det frigivet. De beskriver også at "covert communication
system is cutting edge" Sammenfaldet af denne publicering med
krigens start i Ukraine kan være et vildt sammentræf eller nøje
planlagt. Kina og Rusland er allieret på "cyber" fronten, så mon der
kan være en sammenhæng....døm selv.
Data
De IOC'er og det data som denne report bygger på, ser dog ud til at
være af ældre dato. Så hvor meget der kunne være i live, har jeg
ingen ide om, men vil tro noget sikkert er. Dog optræder der også et
enkelt dansk domæne, som ikke længerer ser aktivt ud. Men flere NATO
lande optræder på listen, hvilket undre mig en del.
Report kan også hentes her
The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en
SHA1:
4f3beb306f760932a53b54e92a9bc695913daeef
SYN eller ACK
For at gøre det hele lidt mere forvirrende, så beskriver de i deres
report, at der er tale om SYN pakker. Men billedet der er vedhæftet
i deres report, viser ACK pakker. Det må siges at være noget at en
graverende "hovsa" fejl. Det kan være en billedefejl / skrivefejl.
IDS Rules frigivet
Selvom jeg er klar over forvirringen med SYN / ACK pakkker, så har
jeg fremstillet IDS rules til både ACK og SYN pakker der er
målrettet selve angrebet.
Jeg har måtte lave en del "packet crafting" for at lave packet ud
fra de opgivet speks. Men i virkeligheden ikke så svært som det
lyder. Bemæk at den ene IDS rule kigger på SYN packet med payloads.
Det er helt unormalt og bør ikke forekomme. Så sker der fremover
"ting" hvor nogen forsøger sig med payoads i SYN pakker vil de blive
opdaget med det samme. Dog har det taget lidt tid at få det hele
beskrevet og til at fungere, grundet deres fejl i rapporten.
Om nogen skulle få nogen hits på disse regler høre jeg meget gerne
om det. Inden for networkforensinc verden kan det ikke blive meget
mere "high tech", sammenholdt med hvad det er brugt til. Men
egenteligt simpelt at opdage, da man forsøger ting som egenteligt er
tilladt i følge standarden, såfremt der var tale om et fuldt
handshake, men det er ikke tilfældt her. 1 SYN packet med payload på
en bestemt port og ikke et fuldt handshake.
IDS rules til at kigge på ACK pakker med payloads er straks en
anden ting. Det forekommer ofte. Men IDS rules er lavet til både SYN
og ACK attacket. Så handler det kun om valideringer såfremt noget
giver alerts.
IDS Rules frigivet
Ingen kendte falske positiver. Men vær opmærksom på at de sikkert
har begrænset levetid.
19 Februar 2022 - Blog Post # 817
AsyncRAT
Dette var en del af nogen af de første payloads hvor ISO filer bleve
oprettet via vedhæftet html filer.
Der er ingen tvivl om at oprettet IDS sigs til dette, meget hurtigt
kan blive forældet. Dog er det lykkedes mig at udtrække JA3 sigs der
finder alle versioner af dette hver gang. Ellers må jeg sige det er
et meget sejt framework, og det er nemt at skjule. Der er god
dækning imod dette på anti-virus siden.
Forskellige
rats
Jeg har haft en del upubliceret IDS rules liggende til detection af
forskellige RAT's. Dem frigiver jeg lige i samme omgang.
NetWiredRCRAT
NetSupportRAT
QuasarRAT
CrimsonRAT
AsyncRAT
AgentTeslaRAT
CyberGateRAT
NanocoreRAT
NjRatRAT
AsyncRAT
JA3. fc54e0d16d9764783542f0146a98b300
17 Februar 2022 - Blog Post # 816
SANS Internet Storm Center
De har nu også endelig
fået øjne for alle disse attacks fra
et stadig stigende antal IOT eneheder der fortager mange forskellige
attacks efterhånden. Listen af porte der bliver angrebet lader
åbenbart også til at vokse ifølge det SANS Internet Storm Center har
frigivet. Yderligere er listen af enheder meget li det jeg ser.
En opdateret liste med ip adresser. Bemærk at mange lande ikke
indgår, dette skyldes GEO blokering.
RAW-IP-LIST-IOT-BOTNET-FEB-2022.zip
SHA1: 2d5061817b77b27ef6457170c50ac71eb55fc990
Jeg har tidligere frigivet både IDS
signatur samt en helt unik JA3 hash på alle IP adresser der
foretager disse angreb.
IDS Sigs
IOT BotNet password guessing attack - 16-12-2021
IOT BotNet password attacks - 21-12-2021
JA3: f17ca639ecdcaa65b4521c49e3515ef9
Du kan læse mere om det jeg tidligerer har frigivet
10 December 2021 - Blog Post # 805
16 December 2021 - Blog Post # 806
1 Januar 2022 - Blog Post # 810
15 Februar 2022 - Blog Post # 815
Nye angreb der virker.
Det lader til at det ændre sig hurtigt. Man skal som virksomhed
virkelig være klar til at blokerer for vedhæftet html filer udefra i
mail. Har man ikke allerede gjort det, ville jeg gøre det med det
samme. Lige nu er det bare CinaRAT, det kan være hvad som helt der
bliver lagt ind som vbs downloaderen bare henter ned, man bliver
ramt af.
Denne gang er det html koden ændret en del og nu med
CinaRAT, (QuasarRAT). Sans har lige
beskrevet nye tilfælde hvor der er
0 i detection på VT.
SHA256:
ef579d9bf2dba387c3be9effa09258902c4833dfb7634f4ed804d96e8849da74
Anbefaling
Bloker vedhæftet html filer i mail.
Det er yderst vigtigt at man får Anti-virus scannet sine mail stores
igennem med jævne mellemrum. Tror jeg uden at overdrive kan sige at
mange mangler at opsætte scanninger i mail stores med jævne
mellemrum. Jeg har set at de her mails bare får lov til at ligge og
putte sig på systemerne, uden at blive fjernet efterfølgende når
signaturer efterfølgende kan kende dem. Det er et simpelt tegn på
manglende periodisk scaning af mail stores.
Det kan være en tikkende bombe.
Har man ikke modet til at lukke for vedhæftet html filer, så kan
man i virkeligheden bare lukke op for vedhæftet, eksempel exe og scr
filer, for de her html filer ville kunne skjule dem alle alligevel
og bypasse ethvert extension filter. Jeg kan godt huske dengang man
diskuterede længe om hvorvidt det var en god ide at lukke for exe og
scr filer i mail for mange år siden. Historien viste også at det
dengang var en klog beslutning at man fjernede dem.
13 Februar 2022 - Blog Post # 814
ISO fil "angrebet"
Det var noget jeg blev opmærksom på via en
publicering fra Morphisec. De beskrev dette meget fint.
Til hverdag sidder jeg med forskellige mailsystemer og jeg altid
opmærksom på, når nye angreb via mail opstår og derfor kigger jeg
dem altid nøje igennem. Mail er stadig den mest udnyttet vektor
for en angriber, til at få fat i virksomheder. Det er ofte alt
for nemt og mange har kun fokus på Phishing angreb i forhold til
deres brugerer. Det faktum kender hackerne også.
SANS har
beskrevet hvad jeg vil kalde "forløberen" til dette angreb.
Dengang var det bare brugen af vedhæftet ISO filer som indeholdt exe
filer. Men de har også
beskrevet en andet eksempel af det samme type som jeg har kigget på.
Mit testet malware sample
MD5: 31c701aef60f588ece18d3d1392da916
Download: pw
"infected"
VT link
Selve angrebet - html filen
Som beskrevet af Morphisec, modtager man en simpel vedhæftet html
fil i en mail. Bemærk her, at der er stor forskel på html formateret
mail og en html vedhæftet fil. Man kan godt i en html formateret
mail og have en vedhæftet html fil. Det nemmeste i verden her og som
ville forhindre hele angrebet var at lave et html extension filter
på sine mail systemer når mail ankommer udefra. Det er altså ikke
imellem ansatte som er på et mail system, hvor det skal være "forbudt". Så det
handler om udefrakommende mails. Simpelt og nemt.
Åbningen af html filen
Når html vedhæftningen åbnes vil denne automatisk bare blive kørt af
den pågælde browser der nu fortolker html koden. Html koden
indeholder javascript der obfuskeret. Javascript koden sampler nu en
iso fil og præsenterer denne for brugeren. (uden der sker adgang til
Internettet "lidt sejt"). Nu begynder de lidt "grimme" ting at opstå. Eks i
Outlook er det sikkerhed der sørger på at scripting er slået fra, så
en bruger ikke ville kunne køre scripts. Men det er langt fra det
der sker her. Systemet åbner bare en browser og kører filen når der
bliver klikket på den, så det
sker ikke i kontekst af outlook, men med browseren og med de
rettigheder en bruger nu engang har til at åben en browser. (Det kan
alle) Så har man ikke blokeret for alle vedhæftet html filer, så har
man nu angrebet helt nede på klienten. På det eksempel jeg har
testet på, har ingenting triggert. Jeg har sågår testet det igennem
forskellige mailsystemer herunder O365 og Outlook som de fleste jo
benytter, Mailen ligger nu bare og putter sig i systemet. Det er
heller ikke blevet fjernet ved efterfølgende scanninger af mail
stores. (lidt skræmmende - Tror ikke det er noget der sker ret tit i
O365 mail)
Det angreb som Morphisec beskriver og det jeg har testet, kan man pt
sagtes finde når det udfolder sig, fordi man kan finde det grundet oprettelse af filer,
på steder de ikke bør være, brugen af powershell og CMD osv. Men det
er jo lige nu og kun fordi de i det her attack har gjort det på den
måde de har, med brugen af VBS scripts Jeg kan hurtigt forestille mig en simpel exe fil, der
bliver samplet i iso filen af html filen istedet for et vbs script, så vil den
bare køre, såfremt det ikke er identificeret af Anti-virus mm. Det
kan
åbne op for rigtig mange muligheder
at angribe på.
Extension filters
Rigtig tit har mange systemer kun default opsatte extension filters
implementert. Mange tager ikke højde nogen sinde for at få dem
testet af. Benytter man kun default filters på filtyper i Windows så
er man rigtig nem at udnytte.
De fleste i DK tillader html som vedhæftet filer og gør ikke noget
ved det. Derfor er det min klare opfattelse at denne angrebstype kan
gå hen og blive rigtig farlig for mange. Især fordi den nu kan
bypass alle andre eksisterende extension filters der allerede måtte
være opsat. Denne teknik vil jeg tro kan bypass 90% af allerde
opsatte sikkerheds løsninger vi har derude i dag.
ISO filen igen
En iso fil kan på samtlige Windows systemer mountes som et DVD drev
(Kræver ikke andre tools installeret).
Mounter brugeren denne, får man nu vist et vbs i det nuværende
angreb og det er først her, der begynder at blive hentet yderligere
filer ned til systemet. Men igen var det en exe fil der bare starter
en krypteret forbindelse ud (Måske vi QUIC protokollen), så bliver
det lidt noget andet at finde. Jeg er udemærket klar over at mange
holder øje med nye ukendte processor fra systemer og meget andet.
Men sidder man et stort sted er det sjældent man nogen siden for
gået dem alle igennem, der simpelthen for mange. Analytikkere bliver også
pålagt alt muligt andet de skal lave og have fokus på, men som i
virkeligheden er ligegyldige opgaver i forhold til dette. Rigtig
mange har slet ingen eller for få analytikkerer, til at kunne
overvåget det det hele. Det samme gør sig
gældende for kørte powershell scripts og cmd commands og især hvis det er et
rent Windows miljø, så blender det forholdsvis fint og nemt ind i
mængden. Mængden af eks powershell logs alene kan være kæmpestor
for rigtig mange.
Men det vigtigste er at dette angreb ikke kræver
andet end at brugeren lige klikker et par gange. Så kan man sige sige at
virksomheden nu er solgt.
"Det er lidt tankevækkende at det kun lige
kræver et par klik at "sælge" sin virksomhed, når alt havd det
krævede var et html extension filter for at beholde den"
Sikkerheds løsninger
Mange sikkerheds løsninger jeg har testet kan ikke scanne og finde
den skadelige kode i html filen. Det flyver lige igennem. Den
skadelige kode bliver slet ikke identificeret. Mange
sikkerhedløsninger kan ikke lige finde mounted iso filer via VHD og
få det logget. Dem jeg har testet som er noget Winlogbeat eller
Sysmon de kan sagtes opsættes til at kigge efter det og finde det, såfremt det er opsat med lidt
tilpasning. De fleste kigger ikke efter mounted DVD drives
(CDROM) og leder efter filer der blev kørt fra disse drev. Andre meget dyre systemer, kan ikke slet ikke
opsættes til at opsamle de nødvendige logs. Dog kan de godt finde
andre dele at det nuværende angreb grundet bla PowerShell, men igen
ting som hurtigt kan gemme sig i mængden af logs og andre alerts,
der måske anses at være mere valide at jagte efter.
Mange af dem jeg kender og som sidder med SIEM og logsystemer til
daglig har slet ikke fokus på mounted VHD.
En ting der er interesseant er at filstørrelsen på den ISO der i
dette angreb bliver mounted kun er 50 KB stor, hvilket i sig
selv er meget unormalt. Typisk ville man nok forvente noget cd, dvd
størrelser, der bliver mounted.
Fil associering
En simpel metodik jeg har kigget på er at ændre fil associeringr på
vbs som benyttes i det her angreb. Det kan godt lade sig gøre. Det ville gøre, at når en bruger så når helt ind
til vbs filen med den skadelige downloader, og så klikker på filen,
vil det bare åbne i eks notepad. Brugeren skal altså foretage sig
noget ekstra for at åbne og køre vbs filen. Det kan i mange tilfælde
alene stoppe et angreb. Man skal huske det er brugeren der skal
"klikke" angrebet igang. Det sker ikke automatisk pt. om det ville
kunne indgå i Javascriptet vil jeg tro det godt kunne.
Anbefalet
Har salmet en del ting man kan gøre, alle er ikke lige gode
og der findes sikkert flere ting man kan gøre. Det er ikke noget jeg
betvivler.
Bloker alle vedhæftet html filer i mails udefra.
Det er nok det bedste man kan gøre. Det behøver kun at være
gældende pt. for udefra kommende mails med vedhæftet html filer.
Tillad ikke private web-mail
Det evigt omdiskuteret emne i mange virksomheder. Igen er det
lidt ledernes skyld når virksomheden ofte går i gulvet. Fordi de
selv vil tilgå deres egne private mailsystemer. Jeg har undersøgt
uanet mængder af malware angreb og rigtig mange skyldes brugen af
privat web-mail. Men det viser jo ofte at man så ikke implementere
de nødvendige tiltag, der kunne ligge andre steder som vil være
gældende for en host.
Hold øje med mounted filer der ikke er ret store (fra KB
størrelse til et par mb i størrelse.
Det kan gøres med alm logovervågning.
Opsæt logning af mounted filer til VHD
Microsoft-Windows-VHDMP-Operational
er vejen frem. Opsæt dit SIEM så det kan få øje på det.
Kig evt her
Event id 1 og 2 samt Event id 4663 kan benyttes.
Ændre default fil associering på vbs filer til eks notepad
Det er en mulighed og ville gøre at en bruger skulle gøre noget
ekstra for at køre et angreb. Denne metodik kan også bruges imod
andre filtyper der ofte misbruges i andre typer angreb.
Men i dag kræver det ofte hacking af Windows for at få det til at
virke.
Benyt SRP rules der beskytter imod hmtl filer fra temp
folders.
SRP på html filer fra temp, vil jeg nok være rigtig forsigtig med at benytte.
Men den vil virke. BAT filer fra malware oprettet "Run" folderen vil
breake det her attack.
%TEMP%\*.html
%PUBLIC%\Run\*.BAT
Vær opmærksom på at html skal tilføjes som "Designated File Types"
Hvorfor ikke bare bruge SRP rules imod iso eller vbs. Simpelt fordi
der ikke findes en default systemvariabel til CD-ROM eller DVD
drives i Windows. Dog kan de oprettes med noget scripting.
Files mounted on CdRom drev
Dette kan bruges til søgninger i Kibana.
Look for files mounted on CdRom drives:
Event id: 4663 - An attempt was made to access an object
event_data.ObjectName
Task: Removable Storage
event_data.ProcessName
Wildcard Search - *CdRom*
AV-Scanninger på mail stores
Indfør periodeske scanninger på alle mailstores. Dette skal være en
del af ens complaint policy der er aktivt og virker. Det skal
testes og alle resultater fra scanninger når scannerne finder noget
bør man undersøge. For det betyder i bund og grund at malware er
sluppet igennem på et tidligere tidspunkt. (Slet ikke filer, men sæt
dem i karentæne så de efterfølgende kan undersøges)
OBS - Benytter man Microsoft Defender, så skal man slå email
scanning til via GPO'er først. Men det betyder ikke at den så kan
finde ud af at scanner alle filtyer der typisk kan indeholde mail.
Benytter man Defender til et mailsystem skal man være opmærksom på
at Defender langt fra kan scanne alle mail typer. Bruger man
andet end beskrevet her, vil den slet ikke kunne finde malware i
mails der ligger i eks eml. Windows Defender er en lidt begrænset
kop te i virkeligheden. Jeg vil i virkeligheden have min tvivl ved
at benytte det i en enterprice og især til mail scannning på andet
end hvad det lige understøtter.
Man kan evt teste med
MpCmdRun
Yara rules og OpenIOC
Der kan laves yara rules, såfremt man har den mulighed. Kræver man
kigger den nuværende metodik igennem. IOC kan oprettet og benyttes
de steder man har mulighed for det.
MITRE
På MITRE
findes denne form for angreb slet ikke, dog kun løsligt beskrevet,
men det er i forbindelse med noget x-fil af data.
21 Februar 2022 - Blog Post # 813
rBlackNurse
NexusGuard har nu identificeret en udvikling af
BlackNurse DOS attacket som jeg var en stor del af af foretage
analyse af tilbage i
2016 sammen med et par kolleagaer fra min daværende arbejdsplads i
TDC-SOC. BlackNurse som bestemt ikke er forsvundet, er nu blevet
udviklet til "Black Storm" hvilket er vildt.
Black Storm i en nøddeskal
En spoofet UDP pakke bliver sendt til en enhed (Porte behøver ikke
være åbne)
Enheden vil så svare den spoofet IP med en ICMP pakke. Der bliver
svaret på samme måde som i BlackNurse attacket med Type 3 Code 3. Og
vupti nu er BlackNurse pludselig noget der kan udnyttes i et
distriburet spoofet angreb. Smart og rigtig farligt, for de fleste
kan ikke gøre noget ved det, hvis det bliver angrebet. Eks kan man
jo bare angribe enhederne før det target man ønsker at angribe og
target kan slet ikke se hvad det er der sker.
Anbefalet
NexusGuard har et par anbefalinger i deres paper, jeg vil
anbefale man lige får kigget igennem.
Test dit eget netværk
Igen kan man teste med "Hping3 -2
<target ip> -p <closed port> -c 1" Modtager du en
Type 3 Code 3 tilbage, skal du nok gøre noget. Mere om Hping syntax
her -
https://diarium.usal.es/pmgallardo/2020/10/16/hping3-syntax/
19 Januar 2022 - Blog Post # 812
Emotet
Emotet Trojan er bestemt ikke ny.
Det blev taget ned og nogen forsøger nu at puste liv i det igen.
Det støjer så det halve kan være nok i IDS systemer. Dog forsøger
det et par nye ting, som gør det endnu nemmerer at få øje på.
SANS Storm Center
På næsten samme måde som jeg lige har beskrevet noget
malware helt tilbage fra 2002 som er relateret til Cutwail/Pushdo,
laver Emotet nu samme fejl i EHLO på SMTP porte. Derved kan
inficeret host med Emotet identificeres ret hurtigt.
Brand Duncan har et fint write-up
IOC
Domæner man kan lede efter.
IDS Rules frigivet
Ingen kendte falske positiver
17 Januar 2022 - Blog Post # 811
EHLO ylmf-pc
Nogen gange falder man over meget gamle ting som åbenbart bare ikke
skifter eller forsvinder. Denne gang brute force password guessing
attack fra Cutwail/Pushdo. Der er helt tilbage i
august 2016 skrevet artikler omkring disse attacks. Må
sige det køre lystingt derude stadig imod mail systemer.
Det er stadig meget aktivt
Efter jeg fik øje på det her, må jeg sige det ikke er noget
blevet mindre aktivt igennem tiden. Det kan godt betale sig lige at
holde et våget øje med dette. Det bedste er nok bare at droppe
forbindelser med denne signatur. EHLO/HELO indeholder
ylmf-pc
IDS Rules frigivet
Ingen falske positiver. Der findes heller ikke noget andre IDS rules
derude jeg har kunnet finde.
1 Januar 2022 - Blog Post # 810
Password attacks fra IOT Botnet
Skrev 10 December 2021 om
angreb jeg så fra et IOTBotnet. Jeg har lige verificeret hvor mange
forskellige IP adresser jeg har set som deltager i password attacks
imod bla mail systemer. Det her er fra små 14 dages trafik, på
antallet af attacks der er blevet droppet.
Betydelig størrelse
Med det estimat jeg har lavet her, som faktisk er rent begrænset i
omfang,
vil jeg tro at tallet kan være min 4-5 gange højere. Da det ikke kun
er mig der har set de her attacks, må jeg sige det kan have en
betydelig indvirkning på sikkerheden generalt for rigtig mange, der
dels ikke opdager disse attacks eller for den sags skyld at de har
inficeret udstyr med malware der deltager i disse attacks.
Mange bliver angrebet
Mange bliver angrebet og mange har allerede udstyr, som er inficeret
og deltager i angreb. Det er lidt bemærkelsesværdigt at der ikke er
langt mere fokus på at tage denne form for Botnet's ned, da der i
virkeligheden jo ikke er grænser for hvilke ulykker de reaelt kan
foretage på internettet.
Liste med IP-adresser
Har her igen frigivet en liste med de IP adresser som har udført
angreb. Så skrevet indeholder den ip adresser på 3835 enheder
der er inficeret med malware allerede.
IDS Rules - JA3 hash
Blev frigivet i tidligerer publicering.
Alt hvad jeg har skrevet om igennem 2022