Networkforensic
Threat hunting
njRat / Bladabindi Trojan
15 februar 2026 - Blog Post # 884
njRAt
njRat
har været fremme en del år efterhånden og der foregår stadig
udvikling af denne. Der findes store mængder data omkring angreb
hvor denne bliver benyttet og stadig gør det i stor stil. Der findes
også store mængder threat intelligence med IOC'er osv.
Billedet viser en snip af en online njRat server
Networkminer
I
Networkminer findes der i dag parsing af trafik skabt med njRat
samt fuld "file extraction" Erik fra NETRESEC har desuden fundet og
fortolket en del commands der benyttes i forbindelse med njRAT. Det
er super arbejde og noget der triggerede mig lidt til at kaste en
blik på hvad der fandtes af IDS detection af njRat.
IDS detection
Da jeg fik kigget igennem hvad der lige fandtes omkring detection på
njRat, blev jeg lidt overrasket over at der fandtes hele 142 IDS
detection rules. Det er ret meget på et enkelt stykke malware.
Ved at gennemgå alle disse rules var der faktisk kun 2 regler der
virkede på njRat som det ser ud i dag. Inklusiv et par stykker af
mine egne IDS regler fra 2020 men hvor de rent faktisk beskrev noget
forkert.
Tager jeg al den læring der fra de 142 regler, opdaterer med det der
findes idag og smider detection af commands ind i nogel nye
opdateret IDS regler på njRat, så lykkedes det mig at få det
hele omskrevet og opdateret til 9 nye IDS regler.
Nu kan man finde alle tidligerer kampanger og alle nuværende og
sikkert også alle dem der vil komme (såfremt hele source koden ikke
bliver omskrevet) Så har man nu et sæt regler der næsten fortæller
en "story" i ens IDS når man er ramt med njRat, som vist på billedet
herunder. Det er lidt vildt at se.....
Kendte Commands
CAP = Screen Capture
ret = Get Passwords
PLG = Plugin Delivery
kl = Key Logger
Ex = Execute Plugin
Ex proc = Process List
Ex fm = File Manager
CAP = take screenshot
inv = invoke (run) a plugin (dll)
rn = run a tool (executable)
act = File Explorer
MSG = command executed
11 and inf = Connection Started
Billedet viser en "IDS Detection Story" der er lidt usædvanlig.
(Klik for stor billede)
IDS rule frigivet
Der er frigivet 9 nye IDS rules i mit åben rule-set. Har
ikke fundet falske positiver. Men bemærk er man ramet vil flere IDS
rules trigger på en gang meget hurtigt.
SLIVER
09 februar 2026 - Blog Post # 883
Silver framework
Sliver er en Command and Control system (C2) til pen-testers og
Red teams. Der findes
rigtigt mange reports hvor det her bliver misbrugt. Der
findes mange IDS sigs her man kan benyttes såfremt det køre i ens
infrastruktur.
Angreb
Dog ser jeg brute force angreb imod visse typer systemer, herunder
mail systemer.
Anbefaling
Brug dit IDS system i Inline mode (IPS) sæt frigivet regler i "drop"
mode. Det kræver man selv ændre fra "alert" til "drop" i de frigivet
regler.
Noget andet er at man sikkert vil finde hvad der ligner "marketings
virksomheder", malware relateret IP adresser osv. der bliver triggeret af disse IDS rules.
Men valider lige indholdet, opsætninger, rygte, domæner osv på det
der trigger inden man lige dømmer IDS regler
ude. Tjek eventuelt IP adresserne på
AbuseIPDB Husk at undersøge patterens fra divers logs. Typisk sker det kun
over SMTP port 25 og for det meste kun SPAM. Den frigivet IDS Rules
via TLS inspection er mere pålidelig.
IDS rule frigivet
Det er rimeligt simpelt at spotte denne type angreb fra
Silver da det hele tiden benytter samme handshakes på TLS
forbindelser og ikke skifter disse. Der er både frigivet SNORT og
Suricata IDS Rules. Vær lidt forsigtig med IDS reglen der trigger på
PORT 25 (SMTP).
SYN Packets with payloads
1 februar 2026 - Blog Post # 882
SYN pakker skal ikke indeholde
payloads
Det er helt skævt hvis en SYN pakke indeholder payloads.
Jeg kiggede trafik igennem og fik en alerts om at en syn pakke
indeholdt en payload. Til trods for at SYN pakker ikke indeholder
payloads og "kun" skal bruges til 3-way handshake, fandt jeg faktisk
denne pakke lidt interesseant. Den indeholder en
Eicar test fil
som normalt er til at teste om en Anti-virus scanner virker.
De tidligere angreb jeg har beskrevet hvor vi ser syn pakker med
payloads er ofte i forbindelse med
reflected DDOS fra middelboks og stammer helt tilbage fra
2022. Men det nye er her, at man sikkert forsøger at gøre angrebet
endnu mere kraftigt såfremt man kan få AV scanners på hosts til at
spike samtidigt med at der bliver sendt et flood af pakker afsted i
mod systemerne. Det er det som jeg selv finder mest sansynligt er
det jeg ser. Dog kan dette også være en del af en
port knocking sekvens der benyttes til at åbne bagdøre på
systemer.
Derfor at det nok lige en god ide at få testet det målrettet system
for baggøre såfremt der kommer unormal returtrafik. Retur trafik
behøver ikke at være til afsender IP, det skal man lige være
opmærksom på. Så man er nød til at validere en lille tidsrum af
hændelser fra et angrebet system.
Klik for stort billede.
Zeek
I Zeek kan
man lede efter data feldtet "SYN_with_data".
Dette giver en alle de steder hver en SYN pakke indeholder en
payload. Dog vil zeek ikke give en indholdt af en payload derfor er
det en god ide her at benytte en IDS rules, og disse recorder typisk
hele pakken der derefter kan decodes.
IDS rule frigivet
Jeg har frigivet IDS detection til SYN pakker med payloads tilbage i
2022. Dog har jeg frigivet IDS rules der kan finde disse SYN pakker
med indlejret Eicar test files. Det gør det lidt nemmere at smide
IDS reglen i drop mode.
Gh0stKCP Protocol
27 Januar 2026 - Blog Post # 881
Gh0stKCP og PseudoManuscrypt samt
ValleyRAT
NETRESEC har lavet en
fin analyse af KCP protokollen som benyttes af bla
PseudoManuscrypt og ValleyRAT.
Det er ikke lige noget man spotter der kører på UDP protokollen uden
lidt networkforensic. NETRESEC
har i denne forbindelse frigivet 2 IDS rules jeg har omskrevet en
lille smule så de passer ind i mine egne frigivet IDS/IPS rules. Men
kredit går klart til
Erik Hjelmvik.
KCP
Selve
protokollen er lavet tilbage i 2010 og er beregnet til p2p,
voice, chat og audio i spil.
Den har en pakkestruktur som vis herunder i billedet. I forbindelse
med misbruget som C2, har de omskrevet den lidt, så den falder ud af
de normale speks, hvilket gør det nemmerer at identificerer når der
som her er tale om
VallyRAT og
PseudoManuscrypt.
Wireshark
For at lave analyse med Wireshark skal man hente et
plugin for at se hvad der sker i protokollen. Jeg har carvet UDP
(KCP) trafik ud af en pcap som kan
hentes her.
Scanninger
16 Januar 2026 - Blog Post # 880
Scanninger
Der findes rigtig mange aktører der scanner internettet som
de har lyst til derude. Det er primært rettet imod Threat
Intelligence (TI) og deres jagt på data de kan bruge til viderer salg af informationer fra
forskellige sikkerheds producenter. Eller det kan være med andre
formål. Der mangler generalt lovgivning på området og det har altid
gjort. Det er et tveægget sværd, som bla er kan være med til at
målrette os selv og udstille de sårbarheder og teknologier man har
eller benytter. Det er i min optik slet ikke smart på nogen måder i
den tid vi lever i da vi udstiller os selv og hvor vores svagheder
er. Selveom man er helt opdateret på alle fronter kan en finde en
sårbarhed i en system type og meget hurtigt lokalisere hvor der skal
angribes. Så lader man sig scanne, vil man typisk også være en af de
første der altid bliver ramt.
Nyeste skud på stammen....CrowdStrike Falcon
Igennem lang tid har jeg publiceret scannings lister / IP lister osv
fra forskellige aktører. Den seneste nye der er tilføjet er
CrowdStrike fra deres Falcon Surface platform.
Man bør have disse lister kørende og smide alle IP adresser ind i
Firewalls så al trafikken fra dem bliver droppet. Det skal også være
alle de steder hvor man har åbne service til eks mail, web, vpn, osv
osv.... Lav en default drop liste der ligger over alt andet i
inbound regler i en firewall og på hostiing sites som eks Azure osv
kan man ligge dem ned i lokale host firewalls.
Lister:
En fuld IDS rules liste med 75 forskellige aktører kan
hentes her. Man kan eks selv
hive alle IP adresserne ud såfremt man ikke kan køre IPS.
Som noget lidt nyt kan man også hente
en liste med de IP
adresser jeg kender der er relateret til
BIMP-Botnettet
Her skal man være opmærksom på at jeg ved der er langt flere IP
adresser end de 6.500+ der lige er tilføjet. Dette skyldes
forskellige muligheder for at kunne optage trafikken når disse
angriber.
Opdatering omkring BIMP-Botnettet
En lille opdatering i forhod til BIMP-Botnettet er at det er
lykkedes at få fat i en inficeret enhed. Jeg har kigget på en
GR241AG ONT fiber Gateway. Denne enhed gav mere end 130GB trafik
data pr uge med alle mulige former for inficeret trafik. Jeg er
derfor overbevist om at dette botnet stammer tilbage til ca 2017.
Det er opbygget som et stort proxy netværk der er indelt i
forskellige kategorier. Jeg mener dette kan være at meget af det
bliver udlejet til forskellige formål af ejerne bag dette. Der
ligger forskellige former for "attack networks" inde i
BIMP-Botnettet. Meget er Russisk men slet ikke udelukkende Russisk,
da jeg ser Vietnam være rigtig glade for dette netværk. Der sker
mange former for attacks igennem BIMP-Botnettet og det er derfor
meget anbefalet at man blokere for IP adresserne relateret til dette
netværk.
Blog posts
Alt hvad jeg har skrevet om igennem 2026