Новая кампания PhaseShifters 👽
В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.
Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен
В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.
Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам
Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением
После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.
Для маскировки атакующий процесс создает экземпляр
При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.
Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены
При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).
IoCs:
#TI #APT #Phishing
@ptescalator
В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.
Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен
minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга.В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.
Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам
bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска.Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением
.adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командойcmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k
После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.
Для маскировки атакующий процесс создает экземпляр
RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT.При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.
Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены
thelightpower.info и crostech.ru.При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).
IoCs:
2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a
Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z
193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru
#TI #APT #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20👍19👏7👾3🔥1
Нас — 5000! Откуда вы узнали про ESCalator? 🤩
Anonymous Poll
1%
Увидел баннер на сайте 🔍
16%
Коллеги порекомендовали 🤝
4%
Кликнул по ссылке в письме 🐭
0%
Нашел QR-код в журнале «Хакер» 📰
7%
Искал свой домен — нашел у вас в IoC 🤷♀️
8%
Руководитель заставляет писать сюда посты 😳
9%
Был на докладе эксперта PT ESC 🎙
29%
Из репоста в другом канале 👍
10%
Устраивался на работу, сказали читать, а то не возьмут 🤵
15%
Искал хороший эскалатор 😑
🔥18❤9👍9🤡5❤🔥3😁2👌1
Мы защитим ваши деньги… Просто отдайте их нам 😏
В начале года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта.
Выявленная цепочка атаки приводит к установке вредоносного расширения, нацеленного на пользователей из Бразилии, в Google Chrome👨💻
Более детальный ресерч показал, что, помимо обнаруженной цепочки, существует альтернативный вариант атаки, цель которой — установка средств удаленного администрирования (например, MeshAgent, PDQ Connect Agent, ScreenConnect).
На момент исследования статистика показывала более 700 скачиваний вредоносного расширения за все время его существования в Chrome Web Store (около 2,5 месяцев). Помимо этого, с учетом второй цепочки атаки было заражено около 70 компаний, инфраструктуру которых использовали для распространения фишинговых писем.
😏 Обо всем этом и не только вы можете прочитать в нашем новом исследовании «Операция Phantom Enigma».
#TI #Malware #Phishing
@ptescalator
В начале года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта.
Выявленная цепочка атаки приводит к установке вредоносного расширения, нацеленного на пользователей из Бразилии, в Google Chrome
Более детальный ресерч показал, что, помимо обнаруженной цепочки, существует альтернативный вариант атаки, цель которой — установка средств удаленного администрирования (например, MeshAgent, PDQ Connect Agent, ScreenConnect).
На момент исследования статистика показывала более 700 скачиваний вредоносного расширения за все время его существования в Chrome Web Store (около 2,5 месяцев). Помимо этого, с учетом второй цепочки атаки было заражено около 70 компаний, инфраструктуру которых использовали для распространения фишинговых писем.
#TI #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤11👍9
Один на один с Rust ☹️
В последнее время группа исследования сложных угроз TI-департамента Positive Technologies все чаще сталкивается с ВПО, написанном на Rust. ВПО бывает как очень простое, так и очень сложное в своей реализации, и чаще всего эта сложность обусловлена особенностями языка Rust.
В публичных репортах прослеживается тенденция не только к увеличению частоты использования Rust различными threat actor в качестве языка для своих инструментов, но и тенденция к усложнению этих инструментов.
Если поначалу использовались в основном простые загрузчики, дропперы, инжекторы или вспомогательные инструменты для разведки в системе жертвы, то позже Rust стали использовать для написания шифровальщиков и C2-фреймворков как с открытым, так и с закрытым исходным кодом.
☕️ В статье расскажем, какие подходы применяем для успешного реверса бинарных файлов на Rust, с какими сложностями сталкиваемся и как их преодолеваем.
#TI #Malware #Rust
@ptescalator
В последнее время группа исследования сложных угроз TI-департамента Positive Technologies все чаще сталкивается с ВПО, написанном на Rust. ВПО бывает как очень простое, так и очень сложное в своей реализации, и чаще всего эта сложность обусловлена особенностями языка Rust.
В публичных репортах прослеживается тенденция не только к увеличению частоты использования Rust различными threat actor в качестве языка для своих инструментов, но и тенденция к усложнению этих инструментов.
Если поначалу использовались в основном простые загрузчики, дропперы, инжекторы или вспомогательные инструменты для разведки в системе жертвы, то позже Rust стали использовать для написания шифровальщиков и C2-фреймворков как с открытым, так и с закрытым исходным кодом.
#TI #Malware #Rust
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥19👏8❤5🤓1
Уже не Rezet, или Новые атаки Rare Wolf 🐺
Группа киберразведки PT ESC продолжает фиксировать атаки группировки Rare Wolf: так, в конце мая злоумышленники рассылали фишинговые письма от имени
Группировка все так же доставляет вредоносный SCR-файл внутри архива, пароль к которому указан в тексте письма. При запуске SCR-файл отвлекает внимание жертвы, открывая документ-приманку, и одновременно скачивает на узел архив с PowerShell- и BAT-скриптами. В этот раз для распаковки скриптов используется скрытая папка
Rare Wolf по-прежнему собирает системную информацию, в том числе дампы реестров SAM и SYSTEM, сканирует локальные подсети в попытке скопировать файлы с других устройств и скрытно устанавливает AnyDesk для удаленного доступа.
🕗 Следует отметить, что сканирование локальной подсети проходит по жестко заданным IP-адресам и занимает около 9–10 минут, что существенно превышает лимиты динамического анализа большинства публичных песочниц. Обычно такие сервисы ограничивают время эмуляции несколькими минутами (от 1 до 6), а в расширенных режимах — не более 10–12 минут. Вероятно, цель подобных задержек — не дать песочницам зафиксировать дальнейшие действия вредоносных файлов.
🙅♂️ Единственными заметными изменениями стали отказ от файла
Для этого злоумышленники устанавливают на зараженном устройстве демон sshd и исполняемый файл tuna.exe, прописывают в firewall разрешение на входящий TCP-порт 22 и настраивают ключевую аутентификацию, обеспечивая автоматический запуск службы sshd при старте системы и поддерживая обратное SSH-соединение с сервером управления. Tuna при этом инициирует исходящее соединение к C2 и проксирует весь трафик на локальный демон sshd, обеспечивая скрытый и защищенный канал.
😠 При попытке вручную вызвать tuna (например, выполнить в командной строке
В марте этого года группировка также предпринимала попытку рассылки вирусного ПО, однако пароль от архива не совпал с тем, что был указан злоумышленниками в тексте письма. А используемый домен
IoCs
#TI #APT #phishing #malware #ioc
@ptescalator
Группа киберразведки PT ESC продолжает фиксировать атаки группировки Rare Wolf: так, в конце мая злоумышленники рассылали фишинговые письма от имени
antey-almaz-info.site в адрес компаний военно-промышленного комплекса. Текущая кампания очень похожа на ту, что мы описывали в конце января (скриншот 1).Группировка все так же доставляет вредоносный SCR-файл внутри архива, пароль к которому указан в тексте письма. При запуске SCR-файл отвлекает внимание жертвы, открывая документ-приманку, и одновременно скачивает на узел архив с PowerShell- и BAT-скриптами. В этот раз для распаковки скриптов используется скрытая папка
C:\Users\admin\Window (скриншоты 2–3).Rare Wolf по-прежнему собирает системную информацию, в том числе дампы реестров SAM и SYSTEM, сканирует локальные подсети в попытке скопировать файлы с других устройств и скрытно устанавливает AnyDesk для удаленного доступа.
rezet.cmd, использовавшегося ранее в атаках, и переход с публичного туннелирования через ngrok на собственный обратный SSH-туннель с использованием Tuna и штатного sshd — это повышает скрытность и надежность канала связи с C2-сервером. Для этого злоумышленники устанавливают на зараженном устройстве демон sshd и исполняемый файл tuna.exe, прописывают в firewall разрешение на входящий TCP-порт 22 и настраивают ключевую аутентификацию, обеспечивая автоматический запуск службы sshd при старте системы и поддерживая обратное SSH-соединение с сервером управления. Tuna при этом инициирует исходящее соединение к C2 и проксирует весь трафик на локальный демон sshd, обеспечивая скрытый и защищенный канал.
tuna tcp 22), можно увидеть адрес электронной почты, который используют злоумышленники. На скриншоте также видна ошибка, сообщающая, что учетная запись неактивна — возможно, они просто забыли продлить оплату (скриншот 4).В марте этого года группировка также предпринимала попытку рассылки вирусного ПО, однако пароль от архива не совпал с тем, что был указан злоумышленниками в тексте письма. А используемый домен
almaz-antey-info.online представлял слегка измененный вариант домена, используемого в майских атаках (скриншот 5).IoCs
[email protected]
almaz-antey-info.online
antey-almaz-info.site
b7543b3e0c3fa6bd8973dde12258c7f7
fc0b6c43185061c2b3b11ab0bfdf924f
9eb2c87299e3b1d86268ab1752b83502
#TI #APT #phishing #malware #ioc
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍12👏7❤4😁2🎉1🤡1
DarkGaboon. Яд кибергадюки в цифровых жилах российских компаний 🐍
В январе текущего года группа киберразведки TI-департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже этой весной департамент комплексного реагирования на киберугрозы непосредственно столкнулся с кибератаками DarkGaboon в ходе расследования инцидентов. Недостающими элементами kill-chain-пазла оказались сканер сетевых шар и шифровальщик LockBit.
📥 Эксперты PT ESC обнаружили, что в качестве вектора проникновения DarkGaboon использует электронные письма c замаскированными под финансовые документы RAT-троянами Revenge и XWorm, которые рассылаются с расположенного в России SMTP-сервера (
Для управления RAT-сессиями на зараженных хостах группировка использует зарегистрированный на Сейшелах Windows-хост с RDP-подключением, арендованный у американского провайдера хостинга Nybula LLC, и группу DDNS-доменов.
Артефакты, обнаруженные экспертами PT ESC на инцидентах, позволили связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit.
Подробности — в нашем блоге.
#TI #APT #Malware
@ptescalator
В январе текущего года группа киберразведки TI-департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже этой весной департамент комплексного реагирования на киберугрозы непосредственно столкнулся с кибератаками DarkGaboon в ходе расследования инцидентов. Недостающими элементами kill-chain-пазла оказались сканер сетевых шар и шифровальщик LockBit.
📥 Эксперты PT ESC обнаружили, что в качестве вектора проникновения DarkGaboon использует электронные письма c замаскированными под финансовые документы RAT-троянами Revenge и XWorm, которые рассылаются с расположенного в России SMTP-сервера (
185.185.70.85) и более 50 связанных с ним доменов в российской доменной зоне.Для управления RAT-сессиями на зараженных хостах группировка использует зарегистрированный на Сейшелах Windows-хост с RDP-подключением, арендованный у американского провайдера хостинга Nybula LLC, и группу DDNS-доменов.
196.251.66.118
myhost.servepics.com
myhost.misecure.com
kilimanjaro.theworkpc.com
Артефакты, обнаруженные экспертами PT ESC на инцидентах, позволили связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit.
Подробности — в нашем блоге.
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤9🆒5🏆4👍1
После третьей я сегодня... 🤌
Anonymous Poll
16%
Волчаро Детектино 🐺
6%
Коррелято Отключато 😐
3%
Патчело Апдейтини 😬
8%
Алертино Эскалато 🌚
6%
Секурито Аварнесито 😼
13%
Фолзито Закрывато 🙅♂️
11%
Детектини Пропустини 🙈
4%
Копилото Вызывато 📞
21%
Реверсило Малварило 👾
11%
Нагрузилини Упалини 🤦♀️
😁32🤡12👍9😎5💩2❤1
IoCs-детокс: защищаем TI от ложных индикаторов ✋
Представьте ситуацию: ваша команда SOC получает свежий фид с индикаторами компрометации. В списке — сотни новых IP-адресов, хешей и доменов. Вы загружаете их в свою систему защиты, и... начинается хаос. Ложные срабатывания сыплются, как из рога изобилия, легитимный трафик блокируется, а настоящие угрозы теряются в этом шуме🤯
Почему ложные индикаторы — это серьезная проблема? Сначала аналитики ИБ бурно реагируют на каждый новый индикатор. Но после десятков ложных срабатываний наступает «усталость от предупреждений» — и вот уже настоящая угроза проходит незамеченной. Кроме того, это формирует дурной имидж для фидов в целом, т. к. аналитики начинают считать, что от них больше вреда, чем пользы.
🤔 Откуда берутся ложные индикаторов?
• Ошибки аналитиков. Человеческий фактор никто не отменял. Опечатка в отчете может превратить легитимный IP-адрес во вредоносный.
• Устаревшие данные. Индикатор мог быть актуальным год назад, но сейчас принадлежит совершенно безобидному сервису.
• Поспешные выводы. Некоторые исследователи раздувают свои отчеты, добавляя непроверенные данные.
• Контекстные ошибки. IP-адрес может считаться зловредным в одной кампании, но совершенно нормальным в контексте другой активности.
• Имитовставки. Некоторые злоумышленники специально «подбрасывают» ложные индикаторы, чтобы замаскировать реальную вредоносную активность и дискредитировать конкретных TI-провайдеров.
😎 Как защититься от ложных индикаторов?
1️⃣ Лучше всего не доверять одному единственному источнику. Сверяйте каждый подозрительный индикатор минимум с тремя-четырьмя авторитетными базами угроз или фидами от других TI-провайдеров.
2️⃣ Доверяйте только проверенным поставщикам TI-данных с хорошей репутацией. Здесь особенно поможет внедрение системы оценки качества TI-поставщиков, про которую мы говорили ранее.
3️⃣ Прежде чем предпринимать какие-либо действия по событиям безопасности, связанным с индикатором компрометации, его контекст можно подвергнуть дополнительному анализу. Например, если контекст пустой, а есть просто указание, что индикатор вредоносный, то его лучше либо отфильтровать, либо поставить на мониторинг. Если же есть явные связи с деятельностью группировки, используемые техники и связи с другими опасными индикаторами, то такую активность можно заблокировать.
4️⃣ Новую итерацию фидов или пачку новых индикаторов сначала желательно рассматривать только в режиме мониторинга хотя бы в течение нескольких часов. Понаблюдайте за их активностью, прежде чем вносить в блокирующие правила.
5️⃣ Для блокирующих правил на основе индикаторов компрометации можно рассмотреть проверку наличия событий безопасности от других типов СЗИ.
Киберпреступники прекрасно знают о проблеме ложных IoC и активно этим пользуются. Грамотная фильтрация индикаторов — это не просто удобство, а необходимость для эффективной защиты.
#TI #ioc #tips
@ptescalator
Представьте ситуацию: ваша команда SOC получает свежий фид с индикаторами компрометации. В списке — сотни новых IP-адресов, хешей и доменов. Вы загружаете их в свою систему защиты, и... начинается хаос. Ложные срабатывания сыплются, как из рога изобилия, легитимный трафик блокируется, а настоящие угрозы теряются в этом шуме
Почему ложные индикаторы — это серьезная проблема? Сначала аналитики ИБ бурно реагируют на каждый новый индикатор. Но после десятков ложных срабатываний наступает «усталость от предупреждений» — и вот уже настоящая угроза проходит незамеченной. Кроме того, это формирует дурной имидж для фидов в целом, т. к. аналитики начинают считать, что от них больше вреда, чем пользы.
• Ошибки аналитиков. Человеческий фактор никто не отменял. Опечатка в отчете может превратить легитимный IP-адрес во вредоносный.
• Устаревшие данные. Индикатор мог быть актуальным год назад, но сейчас принадлежит совершенно безобидному сервису.
• Поспешные выводы. Некоторые исследователи раздувают свои отчеты, добавляя непроверенные данные.
• Контекстные ошибки. IP-адрес может считаться зловредным в одной кампании, но совершенно нормальным в контексте другой активности.
• Имитовставки. Некоторые злоумышленники специально «подбрасывают» ложные индикаторы, чтобы замаскировать реальную вредоносную активность и дискредитировать конкретных TI-провайдеров.
Киберпреступники прекрасно знают о проблеме ложных IoC и активно этим пользуются. Грамотная фильтрация индикаторов — это не просто удобство, а необходимость для эффективной защиты.
#TI #ioc #tips
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👌8👍5👎4❤2🆒2💯1
Мутация Exchange. Как мы аномалии в Outlook-страницах ловили 😮
В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:
• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.
• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.
• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.
• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.
📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.
#TI #IR #Malware
@ptescalator
В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:
• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.
• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.
• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.
• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.
📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.
#TI #IR #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤14👍10❤🔥2
По следам 1C_Shell. Расследуем атаки с помощью журнала регистрации 🐾
В одном из предыдущих постов мы писали об обнаружении атак на систему «1С», в которых злоумышленники использовали инструмент 1C_shell. Он представляет собой внешнюю обработку, позволяющую запустить произвольный код на сервере «1С:Предприятие».
Подобные атаки интересны тем, что оставляют мало очевидных следов в скомпрометированных системах. В частности, тяжело определить источник атаки, особенно в условиях ротации журналов событий Windows.
Одним из артефактов, которые могут нам помочь в расследовании, является журнал регистрации.
💡 Журнал регистрации — механизм в системе «1С», предназначенный для логирования действия пользователей, в том числе начала и завершения сессий.
Чтобы просмотреть журнал регистрации, перейдем в конфигуратор и на вкладке «Администрирование» выберем соответствующий пункт (скриншот 1).
В журнале, помимо всего прочего, мы можем увидеть события начала и завершения пользовательских сеансов (скриншот 2). Таким образом, зная временной промежуток, в рамках которого происходила вредоносная активность, мы определим подозрительные сессии. В рамках этих сессий злоумышленники могли выполнять команды.
Файлы журнала регистрации в случае клиент-серверного варианта информационной базы по умолчанию хранятся в рабочей папке кластера:
Логи имеют необычный формат и плохо пригодны для ручного анализа. О формате можно почитать в статье «Инфостарт»: описание актуально для «1С:Предприятия» версий 8.1 и 8.2, но с тех пор формат изменился незначительно.
💡 Актуальная структура журнала регистрации описана в Руководстве администратора «1С:Предприятия» — однако доступ к документу ограничен.
Для того чтобы распарсить файлы журнала регистрации, можно воспользоваться встроенной консольной утилитой ibcmd, предназначенной для администрирования сервера «1С». Она входит в комплект, поставляемый при установке «1С:Предприятия», и, начиная с версии 8.3.25, имеет функциональность для обработки файлов журнала регистрации.
Утилита расположена в папке
Документацию утилиты также можно найти в Руководстве администратора.
Для того чтобы распарсить журнал регистрации и на выходе получить файл формата JSONL, можно использовать следующую команду:
Пример выходной строки:
#ir #detect #dfir #malware
@ptescalator
В одном из предыдущих постов мы писали об обнаружении атак на систему «1С», в которых злоумышленники использовали инструмент 1C_shell. Он представляет собой внешнюю обработку, позволяющую запустить произвольный код на сервере «1С:Предприятие».
Подобные атаки интересны тем, что оставляют мало очевидных следов в скомпрометированных системах. В частности, тяжело определить источник атаки, особенно в условиях ротации журналов событий Windows.
Одним из артефактов, которые могут нам помочь в расследовании, является журнал регистрации.
Чтобы просмотреть журнал регистрации, перейдем в конфигуратор и на вкладке «Администрирование» выберем соответствующий пункт (скриншот 1).
В журнале, помимо всего прочего, мы можем увидеть события начала и завершения пользовательских сеансов (скриншот 2). Таким образом, зная временной промежуток, в рамках которого происходила вредоносная активность, мы определим подозрительные сессии. В рамках этих сессий злоумышленники могли выполнять команды.
Файлы журнала регистрации в случае клиент-серверного варианта информационной базы по умолчанию хранятся в рабочей папке кластера:
C:\Program Files\1cv8\srvinfo\reg_****\****\1Cv8Log
Логи имеют необычный формат и плохо пригодны для ручного анализа. О формате можно почитать в статье «Инфостарт»: описание актуально для «1С:Предприятия» версий 8.1 и 8.2, но с тех пор формат изменился незначительно.
💡 Актуальная структура журнала регистрации описана в Руководстве администратора «1С:Предприятия» — однако доступ к документу ограничен.
Для того чтобы распарсить файлы журнала регистрации, можно воспользоваться встроенной консольной утилитой ibcmd, предназначенной для администрирования сервера «1С». Она входит в комплект, поставляемый при установке «1С:Предприятия», и, начиная с версии 8.3.25, имеет функциональность для обработки файлов журнала регистрации.
Утилита расположена в папке
C:\Program Files\1cv8\<version>\bin. Папку можно скопировать и использовать на другом компьютере без необходимости устанавливать систему «1С».Документацию утилиты также можно найти в Руководстве администратора.
Для того чтобы распарсить журнал регистрации и на выходе получить файл формата JSONL, можно использовать следующую команду:
ibcmd.exe eventlog export -f json --skip-root -o C:\<output_path> \output.jsonl C:\<path_to_1Cv8Log>
Пример выходной строки:
{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"25","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:31","Event":"_$Session$_.Start","EventPresentation":"Сеанс. Начало","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"1560","ServerName":"WIN-UB4CFT0Q9FN","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}
{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"0","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:57","Event":"_$Session$_.Finish","EventPresentation":"Сеанс. Завершение","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"0","ServerName":"","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}
#ir #detect #dfir #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥30❤13✍8😁3👍2
В дополнение к предыдущему посту хотим рассказать о некоторых других потенциальных способах детектирования выполнения вредоносного кода в системе «1С» 😳
• Во-первых, если информационная база опубликована на веб-сервере, злоумышленники могут получить к ней доступ и запустить шелл через веб-клиент (скриншот 1).
В таком случае мы можем найти в логах IIS полезную информацию, в частности — обращение к информационной базе и загрузку внешней обработки:
После декодирования URL запроса выше мы получим строку, которая говорит о взаимодействии с внешней обработкой:
• Другой способ обнаружить следы вредоносной активности — проанализировать процесс
Стоит отметить, что этот метод не принесет результата, если сервер или процесс
#ir #detect #dfir #malware
@ptescalator
• Во-первых, если информационная база опубликована на веб-сервере, злоумышленники могут получить к ней доступ и запустить шелл через веб-клиент (скриншот 1).
В таком случае мы можем найти в логах IIS полезную информацию, в частности — обращение к информационной базе и загрузку внешней обработки:
2025-06-17 13:15:20 192.168.80.130 GET /mybase/ - 80 - 192.168.80.129 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/137.0.0.0+Safari/537.36+Edg/137.0.0.0 - 200 0 0 2
2025-06-17 13:18:55 192.168.80.130 GET /mybase/ru/e1cib/logForm cmd=elements&formId=urn:form:ext:0:ce244e8a-6d30-4e49-a244-c6d80d2ea085@n=%22%D0%92%D0%BD%D0%B5%D1%88%D0%BD%D1%8F%D1%8F%D0%9E%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0.%D0%92%D0%BD%D0%B5%D1%88%D0%BD%D1%8F%D1%8F%D0%9E%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B01%22;v=%223bb1cd7e449b0540951594ef9f12fb6d00000000%22&altFormId=urn:form:ext:8:add30da0-7627-464c-b936-820f49ac3e75@n=%22%D0%92%D0%BD%D0%B5%D1%88%D0%BD%D1%8F%D1%8F%D0%9E%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0.%D0%92%D0%BD%D0%B5%D1%88%D0%BD%D1%8F%D1%8F%D0%9E%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B01%22;v=%223bb1cd7e449b0540951594ef9f12fb6d00000000%22&sysver=8.3.18.1208&confver=3bb1cd7e449b0540951594ef9f12fb6d00000000&rolesId=0&clang=ru 80 - 192.168.80.129 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/137.0.0.0+Safari/537.36+Edg/137.0.0.0 https://192.168.80.130/mybase/ru/ 200 0 0 37
После декодирования URL запроса выше мы получим строку, которая говорит о взаимодействии с внешней обработкой:
"ВнешняяОбработка.ВнешняяОбработка1";v="3bb1cd7e449b0540951594ef9f12fb6d00000000"• Другой способ обнаружить следы вредоносной активности — проанализировать процесс
rphost.exe. В случае выполнения кода через 1C_shell в памяти процесса остаются фрагменты кода внешней обработки (скриншот 2).Стоит отметить, что этот метод не принесет результата, если сервер или процесс
rphost.exe будут перезапущены после выполнения вредоносного кода.#ir #detect #dfir #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍7🤝7✍3🔥3🙏1
Когда я увидел инфу про утечку 16 млрд логинов и паролей...
Anonymous Poll
28%
Не поверил 😑
3%
Написал пост ✏️
8%
Поменял пароль 🔄
12%
Начал искать свободное место на диске 👨💻
12%
Придерживался какой-то тактики 🧐
6%
Нашел там свой забытый пароль 😉
1%
Пошел комментировать в СМИ 🎤
5%
Сходил в личку к Лукацкому 👋
8%
Отписался от Forbes 🙅♀️
17%
Какая утечка?❔
😁16👍7❤4😱3