15 December 2024 - Blog Post # 870
LOLBAS - ie4uinit.exe
Jeg har længe skrevet om brugen af LOLBAS metodikker, men
der er første gang jeg selv ser misbrug af
LOLBAS ie4uinit.exe i mere målrettet malware kampanger.
The DFIR Report har netop beskrevet brugen af netop ie4uinit.exe
i målrettet malware kampanger til bla. at installerer Cobalt Strike.
Netop LOLBAS metodikker er noget jeg er særlig opmærksom på, da det
er metodikker der er virkelig nemme at udnytte og som typisk ikke
giver nogen alerts ret mange steder. Denne metodik er helt tilbage
fra 2018, men bliver stadig brugt her i 2024, som noget der åbenbart
bare stadig virker. Det har hele tiden været muligt
at opdage denne metodik med min Sysmon Config fil, dog har jeg gjort
det lidt mere synligt at se at netop når denne metodik bruges med
målrettet alerts.
Fil kopieringer
Netop fordi man er nød til at lave en
kopi af ie4uinit.exe og køre denne uden for sit normale omåde
som er system32 eller sysWOW64, gør at metodikken er nem at lave
detection til.
TA4557/FIN6
Dette er en kendt gruppe der udføre mange forskellige
former for attacks. Det gør dem bestemt værd at holde øje med. Den
angriber typisk via e-mail og
FIN6 har en historik der går tilbage til ca 2019.
Der er målrettet detection fra Sysmon Config 68
Happy hunting.....