Networkforensic 2026

Claude Mayhem - WolfSSL

30 April 2026 - Blog Post # 892

Claude Mayhem
Det er helt sikkert at det her bliver et "buzzword" for 2026 og sikkert også længere frem. Med Anthropic nye AI model til at finde sårbarheder så er der en kæmpe stor bunke af software, der er udviklet af mennesker der nu bliver undersøgt med AI til at finde gamle fejl i kode. Faktum er at mennesker er dårlige til at kode og begår fejl. Det resulterer i at vi altid løber efter sårbarheder i kode og patcher som gale hele tiden. Det kan måske med tiden ændre sig med AI til at udvikle kode. Hvem ved ....

Men WolfSSL er klart den første mega kritiske sårbarhed jeg ser relateret til Anthropic . De siger selv 5 Milliader enheder der benytter som benytter deres SSL/TLS implementering. Det er helt vildt at så mange enheder har sårbarheder der er til at exploite udefra.

Jeg kan virkelig anbefale man selv lige tager et kig på sit eget udstyr for lige at finde ud af om man rent faktisk benytter WolfSSL og det er MEGET nemmerer sagt end gjort, for det er slet ikke sikkert man kan komme ind i enheder for at leder efter det her...

LIge nu er der ingen beviser på det bliver udnytte, MEN jeg håber virkelig ikke det kommer til at ske, det kan have helt vilde konsekvenser, for det kan give adgang til de vildeste ting derude... Jeg ville placere denne her sårbarhed i toppen af de sårbarheder jeg nogen sinde selv har set som kan få størst impact.

Et par links man selv lige kan starte med at tage et kig på.

https://techjacksolutions.com/scc-intel/cve-2026-5194-wolfssl-cryptographic-bypass-puts-5-billion-devices-at-risk-of-certificate-forgery/

https://purple-ops.io/blog/wolfssl-vulnerability-cve-2026-critical

https://www.wolfssl.com/docs/security-vulnerabilities/

Så herfra, Gå lige igang med at få set jeres ting efter......

Abuse - Bolignet Århus - They don't care

23 April 2026 - Blog Post # 891

BIMP-BotNET - AVRecon inficeret IP adresse hos Bolignet Århus
Da jeg har jagtet BIMT-BotNET og AVRecon i årevis efterhånden er det jo noget jeg holder en del øje med til dagligt.
I den forbindelse kontakter jeg også dem der er inficeret og gør dem opmærksom på disse forhold. Det er de fleste jo ret taknemmelige for og får taget inficeret udstyr ned og det foregår typisk ret hurtigt og smertefrit.

Da jeg har en smule erfaring med CERT, CSIRT, SOC SAC arbejder, er det jo noget jeg efterhåden har prøvet ret mange gange. Der er typisk "regler" hvordan dette lige sker eks via mail, telefon osv... Er det eks som med Bolignet Århus er fremgangs måden typisk henvendelser til deres Abuse mail, med dokumenteret information herom.

Da IP adressen sikkert ligger hos en af deres kunder så benytter man den oplyste IP adresse's abuse kontakt.
Det er kontakt information man kan skrive til i tilfælde som dette. Er man ISP som Bolignet Århus skal man typisk overvåge og reagere på abuse henvendelser, det er ret god skik og der gør vores største ISP'er i DK heldigvis. Det er også med til at sikre virksomhedens eget omdømme og netværketes troværdighed også for alle som benytter det.

Bolignet Århus lidt af en ignorant.
Efter flere abuse henvendelser til dem over en længere periode via deres abuse@bnaa.dk sker der ingen ting. Hverken modtaget, tak eller vi vender tilbage beskeder. Forsøger så at skrive til oplyste support, og drift mail. Der sker stadig ingen ting... Forsøger at skrive på deres Facebook side. Der sker stadig ingen ting...

Mit sidste forsøg er at ringe til dem på deres oplyste nummer 82 50 50 50 Endelig en der tager telefonen....vildt nok.
Efter en længere forklaring til supporteren må hun kontake deres tekniske afdeling, for det jeg forsøger at forklare hende kender hun slet ikke noget til....efter 5 min venten i røret oplyser hun, at deres tekniske afdelig ikke kan gøre noget ved det og det er KUN Politiet der kan gøre noget ved det...

Her taber jeg edder hammer sutten, for sikke en gang ævl. IP-adressen er deres. De skal kontakte deres kunde og kan de ikke det, kan de lukke for IP-adressen som dagligt angriber alt og alle med brutefore angreb. Kunden skal nok henvende sig når det ikke virker mere. Men i bund og grund handler det om at få stoppet de mange angreb.

Her kommer der lidt ref til hvad Bolignet Århus er ramt af.
Bemærk lige at IP-Adressen har været hacket siden 2023 23 April og AbuseIPDB har mere end 14.230 reports liggende alene på denne ene IP.

BIMP-BotNET
AVRecon
Virustotal
AbuseIPDB
Krebs on Security
Europol

Bolignet Århus og lovgivningen.
Bolignet Århus er også underlagt NIS2-direktivet som skærper kravene til informationssikkerhed. Her kan man hurtigt argumentere at de ikke helt lever helt op til det ansvar

Anbefaling
Til alle bloker IP adressen 84.238.92.245 Eller hele deres net. 84.238.66.0 - 84.238.98.255

TIl ISP'er.....Hold for dælen øje med jeres abuse mailboks og tag den bare lidt alvorligt. IP adressen jeg omtaler her, har bla sårbarheder med 9.8 i CVE score. Det er så lidt og betyder så meget......

Det er måske ikke helt anbefalt at benytte Bolignet Århus, da de IKKE tager sikkerheden alvorligt nok og tillader at deres IP ranges kan misbruges til angreb imod alle i DK og også i andre lande.

Har iøvrigt frigivet en IP liste med over 7.200 IP adresser med inficeret enheder med AVRecon (BIMP-BotNET)

Happy hunting....

Den første Native Sysmon Update

19 April 2026 - Blog Post # 890

Sysmon
I forbindelse med at Microsoft har publiceret Sysmon Native, så var en af forventningerne at det skulle være mere overskueligt for mange at vedligeholde selve Sysmon og derved kun selv stå for Config filen. Det lader til at virke, da MS allerede er gået et version nummer up fra 10.0.26100.7920 til 10.0.26100.8115. Det sket 15 April. Hvad der så er ændret kan jeg ikke finde noget oplysninger om nogen steder. Det kunne man måske godt tænke sig.

Anbefaling
Kan kun anbefale at man får det enabled på alle sine PC'er. Det er rigtig fin lognig man kan få. Det sammen med de normale logs i Windows så har man et rigtig fint logsystem.

Sysmon - LOLRMM

28 Marts 2026 - Blog Post # 889

Sysmon
I forbindelse med at Sysmon er blevet native i Windows, som et standard tool der nu kan installeres, sker der mange ting i øjeblikket på den front. Der er lige blevet frigivet Sysmon 15.20 via Sysinternals. Det er mere målrettet systemer der kører ældre end Windows 11 og Server 2025. Jeg anbefaler klart at siden der er opdateret til schemaversion version 4.91, at man får opdateret sine Sysmon installationer til 15.20. Jeg er slev stoppet med at vedligeholde ældre versioner en 4.91.

Optimeringer og fejlrettelser
Der er lidt fejl rettelser og optimeringer i "event køen" Der er fokus på stabilitet og hastigheder.

Detections
Her er det lidt mere spændende. Jeg er selv kæmpe fan af generiske detection, der gør at meget kan fanges med config filerne uden det behøver at være vildt målrettet. Der er også meget der eks er rigtig målrettet til forskellige hacker teknikker der benyttes. Her er det lidt et spil, for man kan hurtig lave en config der bare kigger på alt og sender alt til et SIEM. Men det kan være en meget bekostelig affære, for det er ikke billigt med den tilgang. Så det skal være mere oprimeret. Så det er en balance imellem detections på hvad er vigtigt at kigge efter og hvor får man mest ud af sine logs.

Metodikker
Jeg har selv fokus på metodikker som autoruns teknikker, MITRE, LOLAPPS, LOLBAS og LOLDRIVERS. Samt en del teknikker der faktisk ikke er beskrevet laver jeg også en del detections på.

Remote admin tools
For lang tid siden begyndte jeg kigge på de mest misbrugte remote admin tools. Ofte er de misbrugt i forbindelse med GUI adgang til hacket udstyr. Til en håndfuld og de mest benytte, har jeg lavet detection som allerede er i Sysmon Config filen. En projekt her jeg er helt vild med er LOLRMM De har støvsuget alt hvad der findes at remote admin tools derude og samlet de i en config fil. Det er blevet til en config fil på godt 12.000 linjer kode, kun fokuseret på remote admin værktøjer. Der findes desuden plugin til Splunk til netop LOLRMM tools man kan benytte, som nok ville være foretrukket for de fleste der har Splunk. Her kræver det at ens config fil er mere generisk og kan fange disse tools uden målrettet detection.

Det er super super nice at man kan finde alle dem der benytter uautoriseret remote værktøjer i ens infrastruktur. For der er rigtig mange der gør det. Her snakker jeg af erfaring på det jeg selv har set igennem tiden. Desuden finder man også tit hacket udstyr.

Så min klare anbefaling er tag endelig et kig på LOLRMM. Det er rigtig god detection.

Jeg tror ikke jeg lige vil hive alt det her detection direkte ind i Sysmon. Her ville jeg ende på over 17.000 linjer kode i en sysmon config fil. Det er helt sikkert det godt kan give noget negativ impact på hastigheder på endpoints. Men at vælge ting, man har set eller kender til fra egen infrastruktur eller andre incidents, der ville jeg klart hive dem ind og bruge dem.

Sysmon Native

24 Marts 2026 - Blog Post # 888

Sysmon Native
I Windows 11 25H2 (Server 2025) er Sysmon blevet native. Det betyder flere ting. Man skal ikke længere selv sørge for at vedligeholde Sysmon versioner. Det vil blive opdateret via Windows Update systemet fremover. Man skal stadig selv sørge for en Config fil man ønsker. Man skal også sørge for at have en nem måde løbende at få opdateret sine config filer...

Installation
Jeg har lavet en installations vejledning til Sysmon Native på Windows 11 man kan benytte for at komme igang med Sysmon. Kan hentes her. Samt der er vejledning til at få sine config filer automatisk opdateret med de Sysmon Config jeg frigiver.

Bemærk
Jeg oplever forskellige udfordringer med opdateringen 2026-03 Update (KB5085516) (26200.8039) som er den opdatering der rent faktisk giver muligheden for native Sysmon. På noget hardware fejler denne opdatering.

Notepad Tabstate / Notepad++ Backup files

20 Marts 2026 - Blog Post # 887

Notepad Tabstate
Rigtig mange admins og almindelige brugere benytter ofte Notepad eller Notepad++. Notepad har faktisk altid være en "dum" måde at skrive tekst på i en computer (Windows) Mange bruger den frem for at benytte Word, da den skaber tmp filer osv hvor ting kan genskabes fra. Det er typisk ikke godt, når man arbejder med informationer over en hvis kalssificerings grad.

Tit benytter jeg eks selv Notepad / Notepad++ mens jeg eks sidder og opsætter firewalls til huske ting. Det kan være passwords, certifikat informationer, VPN keys, IP adresser, domæner og informationer til domæner. Eller det kan være jeg sidder og laver noget kode til scripting osv..Det står bare i Notepad uden faktisk at jeg gemmer Notepad filen som en txt fil på harddisken. I det øjeblik den bliver gemt på harddisken, er det ofte muligt at genskabe disse filer. Når jeg er ved at være færdig med mit arbejde ryger det alt sammen ind i krypto foldere og password keepers osv, så det bliver gemt fint og sikkert væk.

I Windows 11 er Notepad blevet ændret markant. Den benytter noget der hedder "Tabstate" og Copilot som er default aktive i Windows 11 Systemer. Det betyder at man eks ikke behøver at gemme alle disse txt filer hele tiden. De bliver nenmlig gemt automatisk for en. Selvom man lukker en tab, vil data stadig ligge på harddisken i en .bin fil.

Sti til bin fil.
C:\Users\<USERNAME>\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState

BIN fil
Denne bin indeholder alt hvad der har været skrevet i de forskellige tabs. Udfordringen med bin filen er, at det er utrolig nem at decode og i nogen tilfælder gør notepad det selv for en. En par værktøjer man kan benytte er eks Notepad selv, Total Commander, eller et lille powershell srcript (PowerNote) De kan decode alt så man får det hele i klar læsebar tekst.

Billedet viser PowerNote som decoder tabs.

Udfordringen.
En virksomhed der for nylig blev hacket. Her benyttede hackerne sig bare at at læse disse filer. Det gav fuld adgang til alt. Man arbejder i min verden med MITRE og noget der hedder "Unsecured Credentials" Det handler om steder i systemer hvor bruger oplysninger eks ikke er beskytte godt nok. Det er nøjeagtig hvad det her er. Notepad / Notepad++ burde gøre mere ud af at eks krypterer indholdet af deres Tabstates / backup filer, så det ikke er muligt at genskabe vigtig information så nemt som det er lige nu. Adgang til bare en pc hvor der sidder en bruger og laver fortrolige og vigtige ting, så behøver en hacker faktisk slet ikke anstrenge sig yderligere. Det er simpelthen for nemt....

Det er faktisk udemærket funktioner, jeg selv har benyttet meget tit, især via Notepad++. Udfordring er at man fejlagtigt kan tro at de fortrolige informationer nu er væk. Men det er de ikke.

Anbefaling
Man kan slå dette fra via settings i Notepad. Det anbefaler jeg virklig at man gør. Udfyld dine settings i Notepad som vist på billedet. Derudover skal man være opmærksom på at Notepad++ som har den nøjeagtig samme funktionalitet. Den kræver ingen værktøjer for at læse.... Der hedder det bare "Periodic backup" Den skal man også lige huske at slå fra, hvis man er Notepad++ bruger og arbejder med fortrolige informationer af enhver slags.

Sti til backup filer
\AppData\Roaming\Notepad++\backup\

Billedet viser notepad settings

Sysmon
Via min Sysmon har jeg lavet detection til når disse usikre backup / Tabstates bliver oprettet på systemer. Det kan hjælpe lidt på at vise hvor stor ens udfordring kan være med at have fortrolige og vigtige informationer liggende på ens system i klar tekst. Sysmon Config 153 er nødvendig.

Sextortion SPAM kampanger

12 Marts 2026 - Blog Post # 886

Sextortion
Hver gang der er sextortion SPAM kampanger i omløb bliver jeg kontaktet af bekymret personer, der tror det er rigtig hvad de skriver. Hver gang er mit svar det samme, det er sextortion SPAM - slet de mails. Det er uden bekymringer man kan gøre dette. Sjovt nok kræver det faktisk overbevisning fra min side til de bekymret personer om, at de ikke skal være bekymret. Slet dem nu, hvis nogen skulle være sluppet igennem... Benyt eventuelt en anden mail leverandør med et bedre SPAM håndterings-system. De fleste systemer kan opdage disse. Selv DNS blacklist fra SpamHaus fanger disse.

Kampangen.
Denne startede 8 Marts kl ca 10, der kunne jeg selv begynde at se disse mails som forsøgte at lande i brugernes mail bokse. Den er pt i fuld gang med toppede 11 Marts. MalwareBytes har også bemærket denne.

Billedet viser et eksempel på en mail

Fakemail
Afsender er hver gang JennyGreen64868@gmail[.]com, hvilket er lidt bemærkelsværdig, da den er oprettet via Fakemail. Så man skal nok passe lidt på med at benytte denne type tjeneste.

IOC'er
Lande til Geoblokeringer imod ens mail system som kan anbefales.

Azerbaijan
Bangladesh
Bolivia
Burundi
China
Guatemala
Kazakhstan
Korea Republic Of
Kyrgyzstan
Mexico
Mozambique
Nicaragua
Russian Federation
Syrian Arab Republic
Turkmenistan
Uzbekistan
Viet Nam

Liste med afsender ip adresser
Bemærk at der sikkert findes mange flere. Kan bruges til blokeringer imod mail systemer.

BIMP-BotNet

03 Marts 2026 - Blog Post # 885

Ændringer i angrebs metodik
For første gang siden 2021 er der sket en ændring i den måde hvorpå BIMP-BotNet foretager bruteforce angreb imod mail systemer. Denne ændring kom 1 Marts 2026.

Der er foretaget 2 ændringer. Det betyder at eks SSL (TLS) parseren i SNORT kunne blive bypasset så længe BIMP holdt en del af trafikken på port 25 (SMTP) En anden ting de nu forsøger, er at lave IP spoofing i EHLO commanden.

EHLO
Netop forsøg med Spoofing i EHLO er velkendt. Det betyder der bliver indsat en spoofet (falsk IP adresse) i EHLO som ifølge standarden skal være den server der sender og netop her er det typisk et mail domæne man benytter, men må må faktisk gerne benytte en IP. Men så skal det være IP på afsender. Men som eks billedet viser herunder er den rigtig afsender 2.60.252.[90] og ikke 61.99.249.[45]

Billede viser en SMTP EHLO med spoofed IP

Effekten af netop en spoofet IP i EHLO kan have en effekt. Benytter man kun Syslog beskeder fra sit mailsystem, kan kan man hurtigt bllive snydt, da man ofte ikke ser den rigtig afsender IP adresser i ens syslog besked. Her kommer det naturligvis an på hvilken type system man benytter.

Hvorfor jeg netop nævner Syslog, er fordi jeg har fået en henvelselse fra en der netop kun modtager denne type syslog beskeder fra sit mailsystem og ved brug af den BIMP IP blokerings liste jeg frigiver, finder de aldrig at BIMP-BotNet som angriber dem. Men man skal altså søge efter IP adresser fra forbindelser til mail systemet. Helst via Firewall logs og bedst et IDS / IPS system med full logning på. (Brug Security Onion)

Eksempel:
{smtps} Command EHLO [61.99.249.45] (IP adressen her, findes ikke i BIMP blokerings listen)

Wireshark display filter
(smtp.req.command == "EHLO") && smtp.req.parameter

IDS rule frigivet
Jeg har frigivet nye IDS Rules. Til både BIMP TLS samt til EHLO commands hvor der benyttes IP adresser.
For at få bedst udnyttelse kan man benytte sig af søgninger i sit SIEM til at finde Spoofed IP adresser. Simpelt og pænt....

njRat / Bladabindi Trojan

15 februar 2026 - Blog Post # 884

njRAt
njRat har været fremme en del år efterhånden og der foregår stadig udvikling af denne. Der findes store mængder data omkring angreb hvor denne bliver benyttet og stadig gør det i stor stil. Der findes også store mængder threat intelligence med IOC'er osv.

Billedet viser en snip af en online njRat server

Networkminer
I Networkminer findes der i dag parsing af trafik skabt med njRat samt fuld "file extraction" Erik fra NETRESEC har desuden fundet og fortolket en del commands der benyttes i forbindelse med njRAT. Det er super arbejde og noget der triggerede mig lidt til at kaste en blik på hvad der fandtes af IDS detection af njRat.

IDS detection
Da jeg fik kigget igennem hvad der lige fandtes omkring detection på njRat, blev jeg lidt overrasket over at der fandtes hele 142 IDS detection rules. Det er ret meget på et enkelt stykke malware.

Ved at gennemgå alle disse rules var der faktisk kun 2 regler der virkede på njRat som det ser ud i dag. Inklusiv et par stykker af mine egne IDS regler fra 2020 men hvor de rent faktisk beskrev noget forkert.

Tager jeg al den læring der fra de 142 regler, opdaterer med det der findes idag og smider detection af commands ind i nogel nye opdateret IDS regler på njRat, så lykkedes det mig at få det hele omskrevet og opdateret til 9 nye IDS regler.

Nu kan man finde alle tidligerer kampanger og alle nuværende og sikkert også alle dem der vil komme (såfremt hele source koden ikke bliver omskrevet) Så har man nu et sæt regler der næsten fortæller en "story" i ens IDS når man er ramt med njRat, som vist på billedet herunder. Det er lidt vildt at se.....

Kendte Commands
CAP = Screen Capture
ret = Get Passwords
PLG = Plugin Delivery
kl = Key Logger
Ex = Execute Plugin
Ex proc = Process List
Ex fm = File Manager
CAP = take screenshot
inv = invoke (run) a plugin (dll)
rn = run a tool (executable)
act = File Explorer
MSG = command executed
11 and inf = Connection Started

Billedet viser en "IDS Detection Story" der er lidt usædvanlig. (Klik for stor billede)

IDS rule frigivet
Der er frigivet 9 nye IDS rules i mit åben rule-set. Har ikke fundet falske positiver. Men bemærk er man ramet vil flere IDS rules trigger på en gang meget hurtigt.

SLIVER

09 februar 2026 - Blog Post # 883

Silver framework
Sliver er en Command and Control system (C2) til pen-testers og Red teams. Der findes rigtigt mange reports hvor det her bliver misbrugt. Der findes mange IDS sigs her man kan benyttes såfremt det køre i ens infrastruktur.

Angreb
Dog ser jeg brute force angreb imod visse typer systemer, herunder mail systemer.

Anbefaling
Brug dit IDS system i Inline mode (IPS) sæt frigivet regler i "drop" mode. Det kræver man selv ændre fra "alert" til "drop" i de frigivet regler.

Noget andet er at man sikkert vil finde hvad der ligner "marketings virksomheder", malware relateret IP adresser osv. der bliver triggeret af disse IDS rules. Men valider lige indholdet, opsætninger, rygte, domæner osv på det der trigger inden man lige dømmer IDS regler ude. Tjek eventuelt IP adresserne på AbuseIPDB Husk at undersøge patterens fra divers logs. Typisk sker det kun over SMTP port 25 og for det meste kun SPAM. Den frigivet IDS Rules via TLS inspection er mere pålidelig.

IDS rule frigivet
Det er rimeligt simpelt at spotte denne type angreb fra Silver da det hele tiden benytter samme handshakes på TLS forbindelser og ikke skifter disse. Der er både frigivet SNORT og Suricata IDS Rules. Vær lidt forsigtig med IDS reglen der trigger på PORT 25 (SMTP).

SYN Packets with payloads

1 februar 2026 - Blog Post # 882

SYN pakker skal ikke indeholde payloads
Det er helt skævt hvis en SYN pakke indeholder payloads. Jeg kiggede trafik igennem og fik en alerts om at en syn pakke indeholdt en payload. Til trods for at SYN pakker ikke indeholder payloads og "kun" skal bruges til 3-way handshake, fandt jeg faktisk denne pakke lidt interesseant. Den indeholder en Eicar test fil som normalt er til at teste om en Anti-virus scanner virker.

De tidligere angreb jeg har beskrevet hvor vi ser syn pakker med payloads er ofte i forbindelse med reflected DDOS fra middelboks og stammer helt tilbage fra 2022. Men det nye er her, at man sikkert forsøger at gøre angrebet endnu mere kraftigt såfremt man kan få AV scanners på hosts til at spike samtidigt med at der bliver sendt et flood af pakker afsted i mod systemerne. Det er det som jeg selv finder mest sansynligt er det jeg ser. Dog kan dette også være en del af en port knocking sekvens der benyttes til at åbne bagdøre på systemer.

Derfor at det nok lige en god ide at få testet det målrettet system for baggøre såfremt der kommer unormal returtrafik. Retur trafik behøver ikke at være til afsender IP, det skal man lige være opmærksom på. Så man er nød til at validere en lille tidsrum af hændelser fra et angrebet system.

Klik for stort billede.

Zeek
I Zeek kan man lede efter data feldtet "SYN_with_data". Dette giver en alle de steder hver en SYN pakke indeholder en payload. Dog vil zeek ikke give en indholdt af en payload derfor er det en god ide her at benytte en IDS rules, og disse recorder typisk hele pakken der derefter kan decodes.

IDS rule frigivet
Jeg har frigivet IDS detection til SYN pakker med payloads tilbage i 2022. Dog har jeg frigivet IDS rules der kan finde disse SYN pakker med indlejret Eicar test files. Det gør det lidt nemmere at smide IDS reglen i drop mode.

Gh0stKCP Protocol

27 Januar 2026 - Blog Post # 881

Gh0stKCP og PseudoManuscrypt samt ValleyRAT
NETRESEC har lavet en fin analyse af KCP protokollen som benyttes af bla PseudoManuscrypt og ValleyRAT.
Det er ikke lige noget man spotter der kører på UDP protokollen uden lidt networkforensic. NETRESEC har i denne forbindelse frigivet 2 IDS rules jeg har omskrevet en lille smule så de passer ind i mine egne frigivet IDS/IPS rules. Men kredit går klart til Erik Hjelmvik.

KCP
Selve protokollen er lavet tilbage i 2010 og er beregnet til p2p, voice, chat og audio i spil.
Den har en pakkestruktur som vis herunder i billedet. I forbindelse med misbruget som C2, har de omskrevet den lidt, så den falder ud af de normale speks, hvilket gør det nemmerer at identificerer når der som her er tale om VallyRAT og PseudoManuscrypt.

Wireshark
For at lave analyse med Wireshark skal man hente et plugin for at se hvad der sker i protokollen. Jeg har carvet UDP (KCP) trafik ud af en pcap som kan hentes her.

Scanninger

16 Januar 2026 - Blog Post # 880

Scanninger
Der findes rigtig mange aktører der scanner internettet som de har lyst til derude. Det er primært rettet imod Threat Intelligence (TI) og deres jagt på data de kan bruge til viderer salg af informationer fra forskellige sikkerheds producenter. Eller det kan være med andre formål. Der mangler generalt lovgivning på området og det har altid gjort. Det er et tveægget sværd, som bla er kan være med til at målrette os selv og udstille de sårbarheder og teknologier man har eller benytter. Det er i min optik slet ikke smart på nogen måder i den tid vi lever i da vi udstiller os selv og hvor vores svagheder er. Selveom man er helt opdateret på alle fronter kan en finde en sårbarhed i en system type og meget hurtigt lokalisere hvor der skal angribes. Så lader man sig scanne, vil man typisk også være en af de første der altid bliver ramt.

Nyeste skud på stammen....CrowdStrike Falcon
Igennem lang tid har jeg publiceret scannings lister / IP lister osv fra forskellige aktører. Den seneste nye der er tilføjet er CrowdStrike fra deres Falcon Surface platform.

Man bør have disse lister kørende og smide alle IP adresser ind i Firewalls så al trafikken fra dem bliver droppet. Det skal også være alle de steder hvor man har åbne service til eks mail, web, vpn, osv osv.... Lav en default drop liste der ligger over alt andet i inbound regler i en firewall og på hostiing sites som eks Azure osv kan man ligge dem ned i lokale host firewalls.

Lister:
En fuld IDS rules liste med 75 forskellige aktører kan hentes her. Man kan eks selv hive alle IP adresserne ud såfremt man ikke kan køre IPS.

Som noget lidt nyt kan man også hente en liste med de IP adresser jeg kender der er relateret til BIMP-Botnettet
Her skal man være opmærksom på at jeg ved der er langt flere IP adresser end de 6.500+ der lige er tilføjet. Dette skyldes forskellige muligheder for at kunne optage trafikken når disse angriber.

Opdatering omkring BIMP-Botnettet
En lille opdatering i forhod til BIMP-Botnettet er at det er lykkedes at få fat i en inficeret enhed. Jeg har kigget på en GR241AG ONT fiber Gateway. Denne enhed gav mere end 130GB trafik data pr uge med alle mulige former for inficeret trafik. Jeg er derfor overbevist om at dette botnet stammer tilbage til ca 2017. Det er opbygget som et stort proxy netværk der er indelt i forskellige kategorier. Jeg mener dette kan være at meget af det bliver udlejet til forskellige formål af ejerne bag dette. Der ligger forskellige former for "attack networks" inde i BIMP-Botnettet. Meget er Russisk men slet ikke udelukkende Russisk, da jeg ser Vietnam være rigtig glade for dette netværk. Der sker mange former for attacks igennem BIMP-Botnettet og det er derfor meget anbefalet at man blokere for IP adresserne relateret til dette netværk.

Blog posts

Alt hvad jeg har skrevet om igennem 2026

Networkforensic

Threat hunting