Ловите продолжение
Если вдруг подобный вредонос смог пройти все рубежи защиты, попасть на тачку пользователя и начать там работать, не все потеряно!
Вы же обратили внимание, что на первом этапе вредоносный BAT-файл копировал и переименовывал пару системных файлов (
cmd.exe и certutil.exe), которые затем использовал?Выявление такого поведения несложно автоматизировать
Хорошо настроенная служба Microsoft Sysmon позволяет не только журналировать запуск процессов и параметры командной строки, но и фиксировать такие интересные данные из свойств файла, как его оригинальное имя (смотрите скриншоты 1 и 2).
А значит, достаточно просто сравнить значения двух полей в событии, чтобы вовремя выявить использование подобной хакерской техники (она, кстати, называется «Маскировка: Переименование системных утилит»).
В составе пакетов экспертизы MaxPatrol SIEM у нас есть правило и на этот случай —
Copied_or_Renamed_Executable.А если у вас нет нашего продукта, можно взять за основу для своих детектов одно из SIGMA-правил proc_creation_win_renamed_binary_highly_relevant.
#Detect #Sigma #Rules
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🤩7✍6👍2😁1
В продолжение предыдущих публикаций рассказываем, как обнаруживать уязвимость CVE-2025-33073 🕵️♂️
1️⃣ Отслеживать DNS-запросы с Marshalled-суффиксом
В атаках Reflection Relay злоумышленник вынуждает службы выполнять DNS-запросы к поддельным именам с паттерном
• Что мониторить
Все DNS-запросы, где имя узла заканчивается на marshalled-часть (
• События
Sysmon Event ID 22 (DNS-запросы на узлах).
События DNS-серверов, содержащие такие запросы.
2️⃣ Ловить LDAP-поиск с marshalled-суффиксом
Reflection Relay вызывает LDAP-запросы от атакуемого узла к контроллеру домена, в которых параметр
• Что мониторить:
Запросы LDAP, в которых параметр
• События:
Windows Security Event 1644 ("A search was performed in Active Directory") на контроллерах домена.
3️⃣ Знать механику CVE-2025-33073 и Coerce-атаки
Как работает уязвимость:
• Coerce-атаки (PetitPotam, PrinterBug) вынуждают жертву подключиться к поддельному DNS-имени.
• Windows ошибочно считает запрос локальным из-за marshalled-суффикса, отключая проверки NTLM и Kerberos.
• Это позволяет атакующему выполнить Relay сессии обратно на жертву для получения RCE с правами SYSTEM.
Примеры Coerce-атак:
• PetitPotam: принуждение через уязвимость в EFS RPC, заставляющее LSASS инициировать аутентификацию;
• PrinterBug: принудительная отправка NTLM-хешей через уязвимость в службе печати Windows (MS-RPRN).
4️⃣ Опираться на примеры сработавших правил корреляции
При реализации CVE-2025-33073 совместно с PetitPotam для дампа учетных данных сработали следующие правила корреляции:
• Coerce_Auth: правило обнаруживает Coerce-атаки на узел с целью перехвата хеша машинной учетной записи атакованного узла, а также пытается определить по названию используемого пайпа, какая техника атаки используется (netdfs = DFSCoerce; spoolss = PrinterBug; fssagentrpc = ShadowCoerce; efsrpc, lsarpc, samr, lsass, netlogon = PetitPotam; msftewds = WSPCoerce) и какой инструмент применяется.
• SVCCTL_Connection: правило обнаруживает подключение к именованному каналу
• Remote_Password_Dump: правило обнаруживает удаленный дамп паролей через обращение к именованному каналу
5️⃣ Использовать примеры SIGMA-правил
Если у вас нет MaxPatrol SIEM, то вот вам пример простых SIGMA-правил:
Для Sysmon Event ID 22.
Для Windows Security Event 1644.
6️⃣ Использовать наши публичные Suricata-сигнатуры для обнаружения этой атаки
#detect #cve #win #sigma #rules
@ptescalator
1️⃣ Отслеживать DNS-запросы с Marshalled-суффиксом
В атаках Reflection Relay злоумышленник вынуждает службы выполнять DNS-запросы к поддельным именам с паттерном
1UWhRCA + 37–45 символов Base64. Записи вида srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA.example.com или localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA.example.com — индикаторы попытки Reflection Relay (NTLM, Kerberos).• Что мониторить
Все DNS-запросы, где имя узла заканчивается на marshalled-часть (
1UWhRCA + 37-45 символов Base64).• События
Sysmon Event ID 22 (DNS-запросы на узлах).
События DNS-серверов, содержащие такие запросы.
2️⃣ Ловить LDAP-поиск с marshalled-суффиксом
Reflection Relay вызывает LDAP-запросы от атакуемого узла к контроллеру домена, в которых параметр
name= содержит поддельное DNS-имя формата [имя_узла]1UWhRCA[Base64]. Это происходит при выполнении Relay-атаки обратно на жертву.• Что мониторить:
Запросы LDAP, в которых параметр
name= содержит конструкцию: "[имя_хоста]1UWhRCA[символы Base64]"• События:
Windows Security Event 1644 ("A search was performed in Active Directory") на контроллерах домена.
3️⃣ Знать механику CVE-2025-33073 и Coerce-атаки
Как работает уязвимость:
• Coerce-атаки (PetitPotam, PrinterBug) вынуждают жертву подключиться к поддельному DNS-имени.
• Windows ошибочно считает запрос локальным из-за marshalled-суффикса, отключая проверки NTLM и Kerberos.
• Это позволяет атакующему выполнить Relay сессии обратно на жертву для получения RCE с правами SYSTEM.
Примеры Coerce-атак:
• PetitPotam: принуждение через уязвимость в EFS RPC, заставляющее LSASS инициировать аутентификацию;
• PrinterBug: принудительная отправка NTLM-хешей через уязвимость в службе печати Windows (MS-RPRN).
4️⃣ Опираться на примеры сработавших правил корреляции
При реализации CVE-2025-33073 совместно с PetitPotam для дампа учетных данных сработали следующие правила корреляции:
• Coerce_Auth: правило обнаруживает Coerce-атаки на узел с целью перехвата хеша машинной учетной записи атакованного узла, а также пытается определить по названию используемого пайпа, какая техника атаки используется (netdfs = DFSCoerce; spoolss = PrinterBug; fssagentrpc = ShadowCoerce; efsrpc, lsarpc, samr, lsass, netlogon = PetitPotam; msftewds = WSPCoerce) и какой инструмент применяется.
• SVCCTL_Connection: правило обнаруживает подключение к именованному каналу
svcctl, который ответственен за удаленное конфигурирование служб Windows на узлах через Service Control Manager, что может привести к выполнению произвольного кода;• Remote_Password_Dump: правило обнаруживает удаленный дамп паролей через обращение к именованному каналу
WINREG.5️⃣ Использовать примеры SIGMA-правил
Если у вас нет MaxPatrol SIEM, то вот вам пример простых SIGMA-правил:
Для Sysmon Event ID 22.
Для Windows Security Event 1644.
6️⃣ Использовать наши публичные Suricata-сигнатуры для обнаружения этой атаки
#detect #cve #win #sigma #rules
@ptescalator
🔥20👍10❤9👏1