Networkforensic
Threat hunting
Sysmon
21 Maj 2023 - Blog Post # 851
Sysmon
I forbindelse med jeg bruger rigtig meget tid på
Sysmon,
har jeg efterhåden fået lavet en omfattende Sysmon config fil. Det
er lavet på mine egne erfaringer og udforming efter "best pratice"
samt gode ideer fra andre. Config filen bygger især på malware test,
virkelige senarier og hvor man typisk kan fange malware / hacker
stuff på Windows systemer. Desuden er der brugt lang tid på at
optimere denne således at man ikke bare opsamler ting fra systemer
man typpisk ikke rigtig kan bruge til noget. For et
almindeligt systemer vil støje helt vildt med logs hvis man ikke
tuner sin config fil og bare indsamler blindt.
Config filen har sneget sig op på 2025 linjer config
kode. Det betyder dog ikke at det alt sammen, er noget der
indsamles, da der er lige så meget kendt, der bliver filtreret fra,
såles at man spare på logs der sendes til et SIEM system for det
koster i mange tilfælde også rigtig mange penge bare at sende det
hele til eks Splunk. Derfor er det hele tiden en afvejning at sørge
for at man kun indsamler det mest nødvendige, som er brugbart.
Nogen piver lidt over det "store" config fil, MEN det sløver ikke
systemer ned og det man får er meget brugbart. Filen kan bruges
direkte til at sende logs til eks Security Onion, Elastic med
Winlogbeat eller til Splunk med
Splunk Universal Forwarder.
Config filen er især nyttig når man har med lokale test
systemer, hvor man tester malware for at indsamle IOC'er til andre
systemer.
Her kan man hele tiden finde malware spor på systemer der
benytter denne config fil. Alle disse små spor bliver typisk til
Alerts i et SIEM system.
Sysmon er ikke EDR
En Sysmon installation må ikke ses som en fuld afløser for
et fuldt EDR systeme, men derimod som et rigtig godt suplement til
logopsamlinger fra endpoints der bruger Windows Systemer. En måde
man kan blande det her på, er med en fuld log-implementering med
Windows Event-logs. Sammen med fuldt implementeret IDS system, så
får man noget rigtig kraftfuldt, til en meget billig penge, som
giver rigtig god overvågning af systemer. Noget man mangler er
typisk en måde hvorpå man kan tilgå systemer for at hive filer ud
til undersøgelse, men det kan faktisk løses på mange simple måder
man heller ikke skal betale penge for.
Udfordringen
Det der er udfordringen er at lære at skrive IOC'er der
blander netværks trafik IDS systemer med log-opsamling, så det rent
faktisk giver mening at kigge på som analytikker. Men det er
efterhånden også noget jeg selv føler at have knækket koden til
rigtig godt faktisk. Her er det vigtig hvilke event id'er man
benytter sig af når man kigger efter IOS'er på systemer mm. Hertil
bruger jeg både Splunk og Elastic,hvor man kan man lave rigtig fede
ting så overvågning giver mening og Alerting kan løses på rigtig
fede måder i Security Onion, Splunk og Elastic.
Config filen.
Hver eneste linje kode i config filen er testet, bla op imod
Atomic-RED
og der fanger den alle test senarier. Desuden er det testet op imod
nye attack metodikker der ikke findes test for andre steder, samt en
stor portion imod APT attack metodikker, der flyver den også meget
fint med. MITRE
beskrevet metodikker løser den også rigtig fint.
Hvad er så downside.
Alle log systemer kan jo blive slået ihjel, men man kan også se hvis
det er tilfældet, "de fleste gange". Jeg er stødt på malware af en
helt speciel karekter, hvor man virkelig skal være målrettet med sin
config fil, det gælder malware som AV heller ikke fanger alligevel,
og her bliver IDS / Zeek systemet din ven.
Man skal bruge en del tid på at lave meningsfulde "søgninger" til
sit SIEM system. Fokuser ikke på hvad AV typisk fanger men typiske
metodikker, Især MITRE er godt at fokuserer på her. Til sidst ender
man med et log opsamlingssystem system, der bliver utroligt
kraftfuldt, med meningsfulde Alerts som analytikker rent faktisk
gidder kigge på og ikke hele tiden bare validere falske positiver,
som er den største dræber for analytikkerer..
Træning.
Dog vil jeg sige, at det kræver meget tid at uddanne nye folk til at
lære de rigtig mange attack metodikker der findes, for man skal
træne sine øjne til at spotte om alerts er valide, og skal man
virkelig vide hvordan disse ser ud fra den virkelige verden, så her
bliver beskrivelser af alerts direkte i SIEM system virkelig
vigtige, og disse skal altid indeholde eks "Nest Stepp" som en
alalytikker skal foretage sig. Selvom jeg allerede har skrevet
rigtig rigtig mange, så kan jeg ikke engang selv huske dem alle jeg
selv har lavet...
Powergrids , Windmill farms and Seacabels
21 Marts 2023 - Blog Post # 850
Kritisk infrastruktur
Normalt ville jeg holde mig til emner omkring
networkforensic teknikker og malware og mere i den retning. Men der
er lige nogen ting ting der "undre" mig meget.
I forbindelse med at "Russerne" og sikkert også andre har
stor interresse i vindmølle placeringer, kabler på havbunden osv
osv... så er der lige et par ting jeg nok lige her vil henlede
opmærksomheden på.
Den russiske interresse kan have mange vinkler, det kunne eks være
hvor spræng-ladninger mm skulle placeres således at man kan tage
denne type infrastruktur meget nemt ud af drift, hvis det var det de
ville. Så derfor undre det mig meget, at man gør al denne type
information meget nem tilgængelig på internettet, så alle kan se
hvor ligger og er placeret og forbundet med hianden.
Da jeg selv var soldat i sin tid lærte vi at kapasiteter, antal mm
ikke var noget man måtte sige noget om og er en strafbar handling
såfremt man gør det. Nu snakker vi om hvad vi betegner som kritisk
infrastruktur, som jo er flere ting bla Internet søkabler, energi
kabler (Powergrid), Gas rør ledninger mm. Derfor virker det hamrende
uklogt at alle bare kan slå den information op. Man kunne vel i det
mindste sørge for at denne type information er beskyttet således at
det kun er dem der virkelig har brug for dette kan få denne
information. Eks noget MItID login (Er klar over det kun er DK der
bruger MItID) Men noget i den retning for validering af brugerne.
Buran - Første kendte Internet
espionage program
Det her minder mig helt vildt meget om det første kendte
Internet espionage program som omhandlede
Buran fra 1981 Dette beskrev jeg kort "30
December 2018 - Blog Post # 709" Det er helt vildt underligt at
myndigheder ikke lære bare en lille smule af fortiden her... for der
kan drages mange paralleller her.
Vi bliver nød til at passe bedre på denne information, da det nemt
kan slå rigtig meget ud i et samfund, bare kig på Ukraine. Denne
type kritisk infrastruktur vil næsten altid være noget af det første
man ønsker at slå ud i tilfælde af krig, derfor mener jeg vi i langt
højere grad skal værne bedre om denne type information.
Desuden undre det mig også at vi i vores samfund har så
forbandet travlt med at centralisere al power. Det er bare et enkelt
knald, så er store dele af et samfund taget ud. Hvis man nu byggede
sin power forsyning op omkring decentralicering helt ned på
husstands niveau, så hvert hus fremstiller sin egen power, så ville
et samfund være meget svært at tage ud af spillet. Det ville kræve
nye byggelove således at alle husstande kan være selvforsynende med
power. Derfor undre det mig endnu mere at vores
politikkere syntes det er en fed ide at placere et kæmpe central
vindmølle farm lige ved Bornholm, således at Russerne kan nøjes med
at sejle ud i en "robåd" og sprænge vindløller... Ville det måske
ikke være en god ide at placere denne lidt mere i ly af sjælland,
fyn, Jylland ???
Mon ikke det snart er på tide man beskytter denne
information lidt bedre end vi gør i dag. Det er ikke alt der behøver
at være offenteligt tilgængeligt på Internettet som eks Buran var
det !!!
Vindmølle farme i DK. (Europa)
https://map.4coffshore.com/offshorewind/
Powergrids i Danmark (Europa)
https://www.entsoe.eu/data/map/
Internet søkabler (Hele verden) - Beklager den dårlige billede
kvalitet
Submarine Cable Map
Redline Stealer / Net.TCP Port Sharing protocol
3 Marts 2023 - Blog Post # 849
Net.TCP Port Sharing protocol
Dette er en protokol
opfundet af Microsoft for bla at løse
unfordring med at der kun kan være 1 service forbundet til en port.
Det bruges primært på IIS web servers. Men trafikken når man kigger
på den er helt anderledes end alt muligt andet, da det jo er en
anden (ikke ny protokol). Typisk ser man trafikken gå fra High ports
til High ports. Det må siges at være lidt den "perfekte" service man
kan enable på en ISS for at knytte malware til samme porte på
web-serveren som de legale kørende ting man ellers kunne forvente.
Det gør også man skal være vågen overfor at flere "programmer" kan
køre på samme porte, herunder malware og især ved forensic af en
web-server.
RedLine
Ved et tilfælde finder jeg en ET IDS trigger på RedLine fra
2021.
Men denne trigger kiggede ikke efter Redline men net.tcp Port
Sharing delen. Den person fra ET der har lavet denne IDS trigge har
åbenbart ikke vist, at dette var net.tcp port sharing. For der blev
ikke kigget efter selve malware delen. Der blev kigget efter
content:"net.tcp|3a 2f 2f|";
som er lige netop net.tcp port sharing.
Det man nok lige skal være vågen overfor i det malware sample jeg
henviser til, er det faktum at det er "High ports" til "high ports"
hvilket kan indikere at firwall config måske ikke er tunet optimalt.
Men net.tcp kan laves til at køre på alle porte. Det er også første
gang jeg rent faktisk ser malware der udnøtter net.tcp og så er det
fra 2021. Det er så også uklart for mig om dette kan have været
tilfældet helt tilbage til 2018.
Data X-fil
Det er første gang jeg rent faktisk ser data X-fil hen over net.tcp
port sharing. Det er rent faktisk kun 1 henvisning og hvis man kan
huske
Solarwinds hacket fra 2019 så blev denne
Exploit forklaret i 2018 hvilket er lidt bemærkelsesværdigt i
sig selv. Lige nu virker data X-fil der bruger net.tcp ports sharing
rent faktisk er 100% undetected. Det er ikke
krypteret med kører "In the open" (klar txt) selvom net.tcp
understøtter kryptering.
Microsoft net.tcp port sharing
Der er lidt mere information om net.tcp her
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/net-tcp-port-sharing?source=recommendations
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/net-tcp-port-sharing
Wireshark
Man skulle tro at Wireshark kunne forstå trafikken, men der er ikke
noget protokol genkendelse i Wireshark og mit bedste bud til
denne del er dette display filter -> tcp contains "net.tcp://"
Caploader fra Netresec
Caploader kan finde Redline Stealer.
Malware sample
Fra ET IDS reglen er der en ref til RedLine malwaren
MD5: 6b5c7d46224b4d7c38ec620c817867ad
ET SID 2043233 Men igen så kigger denne efter net.tcp
og ikke efter selve Redline Inforstealer.
MalwareBazaar
https://bazaar.abuse.ch/sample/29c5edac63fee5c99aa2307b2b16bfb5123a51d3c9dfef6bfb1342e18a20d641/
Any Run
https://app.any.run/tasks/503d74e7-9d60-4def-8605-3906e72509e3/
EDR
Der kan laves en hel del detection der holder øje med servicen
lokalt på web-servers og hosts herunder forbindelser fra servicen.
Det er klart anbefalet man lige for undersøget om ens EDR holder øje
med dette.
IDS Rule frigivet
Jeg har frigivet en IDS sig der kigger efter net.tcp port sharing
protokollen, da den jo er interesseant i forhold til IP, porte,
domæner og filer osv..
Opdateret 05-03-2023
Har fået tjekke flere forskellige RedLine Stealer kampanger igennem,
hvor der bliver benyttet net.tcp. Jeg kan nu identificeret når det er net.tcp og Redline der bruger net.tcp.
Happy hunting...
GoDaddy
25 Januar 2023 - Blog Post # 848
GoDaddy
Igennem de sidste
3 år har GoDaddy været hacket. GoDaddy er ikke hvem som helst
når man snakker Certifikater til det brede Internet. Alle har
Trusted GoDaddy certifikater i deres browsers, på Windows, Linux,
Mac, Android, Iphone mm. Med en kundebase på 20.9 millioner kunder,
må det siges at være en stor del. Hvis man husker tilbage til hele
sagen omkring
Diginotar så må jeg sige jeg syntes at GoDaddy bør lide samme
skæbne som Diginotar. De blev lukket ned at myndigheder for mindre
end det GoDaddy viser her.
Certifikat udbyderer
Generalt set SKAL sikkerheden bare vare i yderste top når
vi snakker om sikkerhed i denne type virksomhed, som sælger "trust"
til Internettet via Certifikater. I gennem 3 år har hackerne stjålet
source code og regiregeret kunder til yderligere malware sites mm. Det er helt helt uhøt at man kan have
tillid til GoDaddy på nogen måde.
Med hackers indefor i over 3 år vil jeg godt skrive under på at det
ikke er til at kortlægge hvor meget og hvad de har lavet, heller
ikke med de bedste forensic muligheder, så vil det kun lige det
sidste år hvis man er heldig at kunne finde lidt. Hos GoDaddy er
28.000 brugere blevet bedt om at skifte passwords fordi hackerne har
været ind på brugernes konti og skaffet sig adgang til kundernes
data som eks privat keys. Det har afledt en lang række efterfølgende
hacks på kunde systemer verden over. Jeg tror i virkeligheden
at mange slet ikke forstår omganget i det her og hvad der er muligt
med eks adgange og private keys.
Statement fra GoDaddy
De er kommet med verden kortes statement, hvor de bare siger "undskyld"
Jeg siger også undskyld, men hele deres biks burde blive lukket
omgående og al trust til nogen former for Certifikter burde blive
fjernet, fra alle systemer.
SNIPS
The November
2021 incident led to a data breach affecting 1.2
million Managed WordPress customers after attackers breached
GoDaddy's WordPress hosting environment using a compromised
password.
Last year,
scammers used hundreds of compromised GoDaddy accounts to create
15,000 subdomains, some of them attempting to impersonate popular
websites, to redirect potential victims to spam pages that were
pushing snake oil products.
Yderligere har brugerne fået
stjålet private keys osv osv......
Listen
fortsætter bare..
Anbefaling
Bruger ,man certifikater fra dem,
skift dem ud til nye fra anden udbyder. Bruger man andre servisec
fra dem, skift til andet. Fjern trust trust hvis det er muligt i
browseres mm. De har desværre Root trust i browseres.
Googleaddservice
23 Januar 2023 - Blog Post # 847
Googleaddservice
Mens mange retter blikket imod Ukraine og kigger på hvad der sker
der, så skal man ikke kun rette site fokus den vej, for så bliver
man godt nok fanget. Der er mange kræfter der gerne vil ha man kun
kigger den vej, men det skal man nok ikke lade sig snyde af. Lige nu
bliver opmærksomheden taget af Killnet og Sudan der DDOS'er danske
virksomheder, men de gør slet ikke samme skade som det her kan gøre.
Rettet fokus imod googleaddservice
Jeg har siden slutning af sidste år kigget
meget på Googleaddservice og alle de malware kampanger der ruller ud
igennem netop googleaddservice. Det er som om "alle" de største
malware familer pludelig "kun" kommer ud igennem googleaddservice
det mere gængs infection chains syntes jeg er aftaget. Det er bemærkelsesværdigt at der er sket
et så stort skift på de mange familier på så kort tid. Det kan
bestemt godt være relateret til Ukraine.
Det sker igennem falske reklamer med malware der typisk leder til
falske sider med kendt software som mange benytter også kaldet
Drive-by-download. Der forekommer ved ganske almindelig google
søgninger, hvis man tilfældigvis lige søger på noget software som
som er målrettet af hackerne.
Målrettet software misbrugt
Jeg har samlet en lille liste af det software jeg selv har set der
leder til malware via fake adds fra googleaddservice. Listen er
bestemt ikke udelukkende kun til dette.
| Software | |
| 7-Zip Adobe Audacit AnyDesk Audacity AutoHotkey CCleaner Dashlane gpg4win Microsoft Teamviewer MSI Afterburner |
Grammarly IrfanViewer ITorrent μTorrent Libre Office Open Broadcaster Software Ring Slack teamviewer Terminal App Service VLC Malwarebytes |
Den bedste beskyttelse lige nu og
min klare anbefaling
Den bedste er helt at undgå google adds reklmaer i sin browser.
Blokering af domænet er det nok bedste man lige nu kan gøre. Især
gælder dette for virksomheder. jeg kan desuden anbefale at
virksomheder begynder at deploye add blockers til virksomhedens
maskiner. For et DNS filter på en primeter er slet ikke dækkende i
dag. Der er for mange smutveje uden om, især fordi de fleste slet
ikke choker outbound DNS.
Bloker følgende domæne
www[.]googleadservices[.]com
En meget kortfattet liste af malware domæner. Bemærk
at der er mange hundrede domæner.
microsofteamsus[.]top
amydecke[.]online
anydeskcloud[.]tech
yes2food[.]com
cpu-id[.]top
wvv-llbreofflce[.]top
obsqroject[.]com
llbroofice[.]com
archiver-7zip[.]software
adobereaders[.]co
bravebrowsers[.]cc
sraelifrenchbulldogs[.]com/teamviewer
dogotungtam[.]com/teamviewer
Websocket
08 Januar 2023 - Blog Post # 846
Websocket
Websocket er det man kan kalde den "pålidlige" version af HTTP.
HTTP er en upålidlig protokol bygget oven på TCP der så gør den
pålidlig. Den store forskel er nok at man kun behøver at åbne 1
session, man så kan holde gående meget længe frem for en http
forbindelse der meget ofte så skal igennem 3-way handshake og skal
åbne nye sessioner. Der er klart store foreskelle imellem de 2, men
mere om det kan du læse om
her
Encoding er ikke kryptering
Dog en særlig ting gør sig gældende i websockets er "Masked" det
består af en Masking-key og maked payload.
Det er helt simpelt for at forhindre ting som eks proxyes i at
snoope på trafikken. Endnu mere vigtig er det at trafikken ikke er
krypteret med "MASKED" kun encoded. Bla
Fiddler kan decode websockets. Wireshark kan ikke gøre det.
Data X-fil / C2 trafik
Det er klart at foretrække websocket frem for alm http såfremt man
skal lave data-x-fil hvis man skal vælge imellem de 2, da websockets
har det med at gå mere ubemærket igennem et netværk, da det ikke
støjer særlig meget.
Derfor skal man som defender også holde et skarpt øje med websocket
trafik i ens netværk.
MIn erfaring siger mig, at det ikke er noget der er mest af, dog vil
man støde på det, og det er meget hurtigt at validere om det er
skadelig trafik eller ej. Man skal være opmærksom på at websockets
også virker hen over HTTPS.
Trojan Rhadamanthys
Netop Trojan Rhadamanthys benytter sig af websockets, noget man ikke
ser hver dag. Derfor har jeg lavet en IDS rule der netop kigger
efter websockets og selvfølgelig og til at identificere Trojan
Rhadamanthys malware. Der findes bla også
PurpleFox botnet der benytter sig af websockets og mange mange
flere.
IDS Rule frigivet
Websocket og Trojan Rhadamanthys.
Velkommen til 2023
01 Januar 2023 - Blog Post # 845
Har været på en del år
I 2005 startede jeg med at skrive aktivt og publicerer en
masse ting jeg fandt interesseant i forhold til IT-Sikkerheds
relateret emner, dengang var det på et gammelt domæne og sidenhen
netcowboy.dk og nu er jeg igang med 7 år herinde, så samlet set har
jeg brugt 22 år og er igang med 23 år.
Jeg må sige at der er sket meget igennem 23 år på IT-Sikkerheds
området, det er helt vildt. De kommende år bliver sikkert med lige
så mange udfordringer og spændende ting, noget der sikkert aldrig
vil aftage.
Ny start
Jeg starter 2023 med at skifte til nyt job og vil fremadrettet
arbejde for
EnergiCERT. Det er inden for områder jeg er vandt til at arbejde
i og med meget spændende opgaver. Noget jeg ser rigtig meget frem
til og som vil passe bedre til mig fremadrettet både arbejdsmæssigt
og på især det private område.
Jeg har altid elsket at arbejde i en CERT funktion som analytikker
der dækker store områder af den danske infrastruktur. Det at bidrage
til øget sikkerhed er noget der altid har været mig nært.
Så 2023 bliver sikkert et år med mange nye ting og nye
mennesker jeg skal møde og lære at kende. En del af dem kender jeg
dog i forvejen. Men jeg glæder mig.
Pænt farvel
2022 er jo også et år hvor jeg har takket af med TDC og hvor jeg
faktisk har været glad for at være, og til alle dem i TDC kan jeg
kun komme med et kæmpe varmt tak for tiden og pænt farvel.
Blog posts
Alt hvad jeg har skrevet om igennem 2023