В продолжение темы с LNK. Исследование TTP APT37 (ScarCruft, Reaper, Red Eyes)

🔤 Атака начинается с фишинга, содержащего ZIP-вложение, которое скрывает LNK
🔤 При выполнении файл LNK запускает multi-stage атаку с bat и PowerShell
🔤 Аргументы LNK проверяют рабочую директорию, затем рекурсивно ищут файл с определенным размером и расширением LNK в директории Temp
🔤 После обнаружения из LNK извлекается 1 hwpx (файл-приманка) и 3 dat-файла
🔤 Далее цепочка из скриптов загружает в память shellcode, для запуска RokRat. Для взаимодействия с C2 использовались API Dropbox, Yandex Disk и PCloud

Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK

#ttp@detectioneasy
#detection@detectioneasy

Вышел релиз Cobalt Strike 4.11, много интересных изменений. Меня больше зацепило использование DNS over HTTPS (DoH) для взаимодействия с сервером. Готовы к обнаружению?)

Список публичных DoH/DoT резолверов и еще один

Список всех обновлений CS 🐎 можно найти здесь

#ttp@detectioneasy

Очередной NTLM Response disclosure (CVE-2025-24071), вначале было интересно) сейчас хочется верить, что у всех закрыт доступ на внешние smb

Можем обнаружить 🔭:

🔤 В логах Security и Sysmon поискать сессии к порту 445

ProviderName="Microsoft-Windows-Security-Auditing" and EventId=5156 and DestAddress not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestPort=445
  

ProviderName="Microsoft-Windows-Sysmon" and EventId=3 and DestinationIp not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestinationPort=445

🔤 создание файла с раширением .library-ms

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName endswith  "\\Users\\.*\.library-ms"

🔤 yara имеет смысл поискать в директориях пользователея (проверил, не фолсило)

rule detect_malicious_library_ms {
    meta:
        description = "Detects library-ms files with a search connector pointing"
        author = "@d3f0x0 @detectioneasy"
        reference = "CVE-2025-24071"
        date = "2025-03-19"
        score = 80

    strings:
        $xml_decl = /<\?xml\s+version\s*=\s*["']1\.0["']\s+encoding\s*=\s*["']UTF-8["']\s*\?>/ nocase
        
        $namespace = "http://schemas.microsoft.com/windows/2009/library"
        
        $url_pattern1 = /<url\b[^>]*>\s*\\\\/ wide ascii
        $url_pattern2 = /<\/url>/ wide ascii

        $connector_open = "<searchConnectorDescription>" wide ascii
        $connector_close = "</searchConnectorDescription>" wide ascii

    condition:
        all of ($xml_decl, $namespace, $url_pattern1, $url_pattern2 ) and
        2 of ($connector_open, $connector_close)
}

#detection@detectioneasy

Всем привет ✌️
Многими любимый Responder получил свое отражение на Powershell и C# в проекте Inveigh

Атакующие стараются не использовать его plaintext'ом и обфусцируют powershell или используют свой интерпретатор

Если Вам попались ребята, которые просто сделали git clone или скачали Release 👶 , проблем с ними нет

🔭 Обнаруживаем:
🔤 создание файлов с именем Inveigh
🔤 в логах Powershell вхождение inveigh, relay

Если хакеры подготовились обфусцировались, принесли с собой свой интерпретатор powershell:

🔤 Скорее всего оставили стандартное название логов, отслеживаем создание файлов по маскам

    $inveigh.cleartext_out_file = $output_directory + "\Inveigh-Cleartext.txt"
    $inveigh.log_out_file = $output_directory + "\Inveigh-Log.txt"
    $inveigh.NTLMv1_out_file = $output_directory + "\Inveigh-NTLMv1.txt"
    $inveigh.NTLMv2_out_file = $output_directory + "\Inveigh-NTLMv2.txt"
    $inveigh.POST_request_out_file = $output_directory + "\Inveigh-FormInput.txt"

🔤 если уже сильно запарились, и все поменяли, то формат хранения NTLMv2 Response, вряд ли будут менять, и в целом лог работы программы, поэтому берем строки вывода логов из скрипта формируем в yara и идем в поход по директориям пользователей

🔤 и для самых крутых, отойдем от tool-based, поднимемся выше по пирамиде боли к TTP 🤘

❗️ Суть атаки авторизовать на себя как можно больше хостов, для этого нужно поднять определенные сервера и заставить других клиентов подключаться к себе

Скорее всего подобного рода утилиты будут применяться в начале killchain для сбора учетных записей и информации об окружающей среде. Это дает нам вариант для профилирования поведения хостов.

🔤 Если у вас увеличилось количество подключений к хосту или в целом забиндились новые порты на пользовательских тачках - стоит проверить процесс, к которому подключаются.

🔤 Или наоборот, если хосты в широковещательном домене начали неожиданно подключаться к одному из хостов - необходимо его проверить

#detection@detectioneasy

Всем привет! ✌️

Прочитал статью от PT про внедрение LLM-агентов 🤖. Одно из направлений — это асистент для аналитика, интегрированный в SIEM или SOAR.

Встроенные агенты могут ускорить анализ скриптов, рассказать какие функции есть, попытаться снять обфускацию, дать описание аргументам командой строки или процессам.

В посте раннее получилось обмануть Deepseek внедрением промта в комментарии к скрипту. Что создает вектор для обхода средств обнаружения (обмана аналитика).

Внедрение агента в средства обнаружения может отрицательно повлиять на молодого аналитика и вызвать у него излишнее доверие к результатам. Это может быть следствием психологического феномена automation bias.

Automation bias понимают неосознанную склонность человека слепо доверять решениям, предлагаемым компьютером, особенно если они связаны с выполнением рабочей функции. При этом могут игнорироваться другие показатели, противоречащие рекомендации машины.

В OWASP Ttop 10 LLM - выделяли обман (дезинформация) в отдельную уязвимость.

Misinformation from LLMs poses a core vulnerability for applications relying on these models.
Misinformation occurs when LLMs produce false or misleading information that appears credible.
This vulnerability can lead to security breaches, reputational damage, and legal liability.

Одно из решений этой проблемы - внедрение ловушек в выдачу агента, чтобы поддерживать аналитика в тонусе.

#detection@detectioneasy

Всем привет! ✌️

Что делать, если пользователь удалил фишинговый файл 📬?) или атакующие стерли следы компрометации? 😐

Давайте обратимся к MSDN и вспоним, что такое файл в NTFS.

Файл — это единица данных в файловой системе, к которым пользователь может получить доступ и управлять ими. Файл должен иметь уникальное имя в своем каталоге. Он состоит из одного или нескольких потоков байтов, которые содержат набор связанных данных, а также набор атрибутов (также называемых свойствами), описывающих файл или данные в файле.

На картинке представлен файл с одним основным потоком и двумя альтернативными.

На основе этого мехнизма работает служба Attachment Execution Service.

Когда файл сохраняется ему добавляются альтернативные потоки:
🔤 ZoneID - число, указывающее Security Zone, из которой был получен файл. Вот возможные значения:
0 – My Computer (local files)
1 – Intranet (internal network)
2 – Trusted sites
3 – Internet (most web downloads)
4 – Untrusted (flagged as risky by Microsoft SmartScreen)
🔤 ReferrerURL - веб-сайт, с которого был загружен файл
🔤 HostURL - прямая ссылка для скачивания

Информацию о создании ADS можно увидеть в событии Sysmon - 15, если забыли настроить в MFT.

Таким образом мы можем сформулировать хант:

Атакующие нас пробили через фишинг. Пользователь удалил файл после открытия или хакеры удалили за собой файл. Найдем упоминания ReferrerURL/HostURL

Нам нужно:
🔤найти все созданные упоминания об ADS в событиях или в MFT
🔤определить расширения файлов, которые нас интересуют (можем воспользоваться https://filesec.io/)
🔤 провести анализ
🔤 или сгруппировать найденные url и проверить их репутацию

#detection@detectioneasy

Продолжим тему с ADS 💻

ADS для хакеров отличное место, для хранения нагрузки, создание потока несильно шумное событие. А запуск нагрузки из ADS может и не привлечь внимания 🤔

Для создания потока мы можем выполнить команду:

type C:\windows\system32\calc.exe > c:\users\qwer\downloads\cv.doc:calc.exe

Чтобы запустить процесс воспользуемся командой:

wmic process call create c:\users\qwer\downloads\cv.doc:notepad.exe

Как знаем из предыдущего поста создание ADS регистрируется событием Sysmon EventId = 15

Нас может заинтересовать:
🔤 создание потока подозрительным процессом, например не браузером

🔤 использовать хеши в качестве индикаторов. В поле Hash хранится хеш-значение данных в потоке

🔤 поле Contents может быть пустым. в примере на скриншоте в поток был записан бинарный файл. Понять было ли что-то записано в поток, нам поможет наличие значения в поле Hash

Второе событие которое нам поможет это создание процесса:

🔤 в поле CommandLine ищем использование символа ":" , могут быть специфичные процессы, где будет использоваться этот символ, но можем их отфильтровать

#detectioneasy@detection