Volatility: proxies and network traffic

When dealing with an incident it can often happen that your starting point is a suspicious IP. For example, because the IP is showing a suspicious beaconing traffic pattern (i.e. malware calling home to its C2 server for new instructions). One of the questions you will have is what is causing this traffic. It can really help your investigation when you know which process (or sometimes processes) are involved. However, answering this question is challenging when you have to deal with the following:

  • An IT infrastructure where a non-transparent proxy is used for all outgoing network traffic (this is the case in many enterprise networks).
  • No other sources, except a memory dump, are available to you where you could find this information.

In this blog post I will explain how you can solve this with Volatility and strings.

Door |2024-02-17T12:47:10+00:00maart 29, 2018|Article, Artikel, Engels, Nederlands|Reacties uitgeschakeld voor Volatility: proxies and network traffic

Yesterday’s non-issue, todays record breaker…

How open memcached quickly escalated to a record breaking DDoS vehicle.

In my previous column I already described the amplification phenomenon that is used in modern DDoS attacks to turn a small traffic stream into a large one. In short, the criminals that launch DDoS attacks send small requests to publicly exposed services and spoof the originating IP address. These services then reply to the spoofed source address with a reply that is much larger then the original request, therefor amplifying the attack traffic.

Door |2024-02-17T12:51:50+00:00maart 22, 2018|Article, Artikel, Engels, Nederlands|Reacties uitgeschakeld voor Yesterday’s non-issue, todays record breaker…

Wat is een DDoS-aanval en wat kunnen we er tegen doen?

De afgelopen week zijn er opnieuw meldingen over DDoS-aanvallen in het nieuws gekomen. “De grootste aanval ooit!”, “…cybercriminelen…”, “… afpersing en vreemde mogendheden”, de superlatieven volgen elkaar in rap tempo op. Maar wat is een DDoS-aanval nu precies, wat is het acute gevaar van dit type aanvallen, wie pleegt ze en wat zijn de details achter de nu spelende Memcached-aanvallen? Allemaal vragen die wij in dit artikel hopen te beantwoorden.

Door |2024-02-17T06:32:37+00:00maart 15, 2018|Artikel, Nederlands|Reacties uitgeschakeld voor Wat is een DDoS-aanval en wat kunnen we er tegen doen?

It doesn’t matter

A great many before me have discussed the merits pro and contra using contractors instead of perm contracted staff.
I will still give it one more go. Since lately, there has been some back and forth again about motivational issues and how certain is one in one legal contract situation compared to the other hence how motivated can one be and why the need to cater to so different audiences as ‘manager’.

The thing is, it doesn’t matter.

Door |2024-02-17T12:53:37+00:00maart 8, 2018|Article, Artikel, Engels, Nederlands|Reacties uitgeschakeld voor It doesn’t matter

Politie en gezichts-herkenning. Twee vragen.

Onlangs stond er een interessant stuk in de NRC over CATCH, het gezichtsherkenning systeem waarmee de Nationale Politie verdachten opspoort. Foto’s van mensen die mogelijk betrokken zijn bij een misdrijf worden vergeleken met een database met ruim een miljoen foto’s van veroordeelden, arrestanten, en vreemdelingen. Het stuk riep bij mij een tweetal vragen op.

Door |2024-02-17T06:32:37+00:00maart 1, 2018|Artikel, Nederlands|Reacties uitgeschakeld voor Politie en gezichts-herkenning. Twee vragen.
Ga naar de bovenkant