Networkforensic

Threat hunting

Scanninger

 16 Januar 2026  - Blog Post # 880

Scanninger
Der findes rigtig mange aktører der scanner internettet som de har lyst til derude. Det er primært rettet imod Threat Intelligence (TI) og deres jagt  på data de kan bruge til viderer salg af informationer fra forskellige sikkerheds producenter. Eller det kan være med andre formål. Der mangler generalt lovgivning på området og det har altid gjort. Det er et tveægget sværd, som bla er kan være med til at målrette os selv og udstille de sårbarheder og teknologier man har eller benytter. Det er i min optik slet ikke smart på nogen måder i den tid vi lever i da vi udstiller os selv og hvor vores svagheder er. Selveom man er helt opdateret på alle fronter kan en finde en sårbarhed i en system type og meget hurtigt lokalisere hvor der skal angribes. Så lader man sig scanne, vil man typisk også være en af de første der altid bliver ramt.

Nyeste skud på stammen....CrowdStrike Falcon
Igennem lang tid har jeg publiceret scannings lister / IP lister osv fra forskellige aktører. Den seneste nye der er tilføjet er CrowdStrike fra deres Falcon Surface platform.

Man bør have disse lister kørende og smide alle IP adresser ind i Firewalls så al trafikken fra dem bliver droppet. Det skal også være alle de steder hvor man har åbne service til eks mail, web, vpn, osv osv.... Lav en default drop liste der ligger over alt andet i inbound regler i en firewall og på hostiing sites som eks Azure osv kan man ligge dem ned i lokale host firewalls.



Lister:
En fuld IDS rules liste med 75 forskellige aktører kan hentes her. Man kan eks selv hive alle IP adresserne ud såfremt man ikke kan køre IPS.

Som noget lidt nyt kan man også hente en liste med de IP adresser jeg kender der er relateret til BIMP-Botnettet
Her skal man være opmærksom på at jeg ved der er langt flere IP adresser end de 6.500+ der lige er tilføjet. Dette skyldes forskellige muligheder for at kunne optage trafikken når disse angriber.

Opdatering omkring BIMP-Botnettet
En lille opdatering i forhod til BIMP-Botnettet er at det er lykkedes at få fat i en inficeret enhed. Jeg har kigget på en GR241AG ONT fiber Gateway. Denne enhed gav mere end 130GB trafik data pr uge med alle mulige former for inficeret trafik. Jeg er derfor overbevist om at dette botnet stammer tilbage til ca 2017. Det er opbygget som et stort proxy netværk der er indelt i forskellige kategorier. Jeg mener dette kan være at meget af det bliver udlejet til forskellige formål af ejerne bag dette. Der ligger forskellige former for "attack networks" inde i BIMP-Botnettet. Meget er Russisk men slet ikke udelukkende Russisk, da jeg ser Vietnam være rigtig glade for dette netværk. Der sker mange former for attacks igennem BIMP-Botnettet og det er derfor meget anbefalet at man blokere for IP adresserne relateret til dette netværk. 



Blog posts

Alt hvad jeg har skrevet om igennem 2026