Networkforensic

Threat hunting

LOLBAS - ie4uinit.exe  - TA4557/FIN6

 15 December 2024  - Blog Post # 870

LOLBAS - ie4uinit.exe
Jeg har længe skrevet om brugen af LOLBAS metodikker, men der er første gang jeg selv ser misbrug af LOLBAS ie4uinit.exe i mere målrettet malware kampanger. The DFIR Report har netop beskrevet brugen af netop ie4uinit.exe i målrettet malware kampanger til bla. at installerer Cobalt Strike.




Netop LOLBAS metodikker er noget jeg er særlig opmærksom på, da det er metodikker der er virkelig nemme at udnytte og som typisk ikke giver nogen alerts ret mange steder. Denne metodik er helt tilbage fra 2018, men bliver stadig brugt her i 2024, som noget der åbenbart bare stadig virker. Det har hele tiden været muligt at opdage denne metodik med min Sysmon Config fil, dog har jeg gjort det lidt mere synligt at se at netop når denne metodik bruges med målrettet alerts.



Fil kopieringer
Netop fordi man er nød til at lave en kopi af ie4uinit.exe og køre denne uden for sit normale omåde som er system32 eller sysWOW64, gør at metodikken er nem at lave detection til.

TA4557/FIN6
Dette er en kendt gruppe der udføre mange forskellige former for attacks. Det gør dem bestemt værd at holde øje med. Den angriber typisk via e-mail og FIN6 har en historik der går tilbage til ca 2019.

Der er målrettet detection fra Sysmon Config 68

Happy hunting.....

 SNORT
NF IDS Rules

Latest Updates

Redline Stealer

Unsupported IIS 8.0

Russian Litemanager

Zyxel Auth port Scanning

Generic CURL detection

Download   
 

 Suricata
NF IDS Rules

3 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download

Sysmon Config
Latest Updates

Version 15.15 Config 74

Download