В прошлый раз мы рассмотрели способы поиска C&C Sliver. Исследователи на GitHub озаботились защитой от абьюза их серверов и начали разработку новых возможностей в форке Sliver, нацеленном на скрытность от обнаружения better-sliver 🔤🔤🔤🔤🔤

#notes@detectioneasy
#ttp@detectioneasy

🔤🔤 Этап 1 - формирование требований

Перед формированием требований к процессам обнаружения атак необходимо определить их источники.

Источниками могут выступать:
🔤 описание недопустимых событий
🔤 результаты инвентаризации активов (критичные системы, уязвимые активы, которые нельзя пропатчить и др)
🔤 нормативные акты регуляторов
🔤 best practices, требования SOC
🔤 результаты CTI, Red Team
🔤 политика безопасности организации

Давайте рассмотрим несколько примеров:
🔤Процесс передачи результатов проведения Pentest и Red team
Результаты должны передаваться для ознакомления команде SOC.

Red Team удалось остаться незамеченными при закреплении на хосте через WMI-подписки. Рекомендация для SOC - проверить наличие правила корреляции, при его наличии, проверить корректность работы.

🔤 Взаимодействие с CTI

При выявлении новых ТТП группировок за которыми следим, передавать разработчикам правил корреляции информацию о ТТП

#detection@detectioneasy

evil-go 😈 is a fork of go with some tweaks here and there to generate more stealthy binaries. It mainly includes, IAT hiding and GoReSym evasion.

https://github.com/almounah/evil-go/

#tools@detectioneasy
#ttp@detectioneasy

Все уже слышали про ldapnightmare 😈 в очередной раз хайповый POC, выложенный на GitHub оказался стиллером)

По TTP ничего интересного нет:
🔤 после запуска бинаря, в Temp создается ps1-скрипт
🔤 закреп через задачу
🔤для исполнения команд используется Powershell
🔤 для загрузки очередного этапа использовался Pastebin
🔤 эксфильтрация через ftp (в большинстве случаев отработает, тк стиллер рассчитан на безопасников и админов)

IOC:

ef4ba8eef919251f7502c7e66926bb3a5422065b poc.exe (UPX-packed)

d4a35487b95cc2b44395047717358bb2863a5311 Dropped PowerShell script

ftp[:]//ftp[.]drivehq[.]com/wwwhome/ FTP server

ftp[:]//ftpupload[.]net/htdocs FTP server

hxxps[:]//pastebin[.]com/raw/9TxS7Ldc Pastebin

#ttp@detectioneasy

🔤🔤 Этап 1 - формирование требований

В прошлый раз мы рассмотрели примеры источников требований к обнаружению.
Давай попробуем сформулировать общее описание требований:

🔤 описание источника требования

заказчик, соседний департамент, результат red team. с указанием контактного лица (тг, почта, чат …)

🔤 что должно быть обнаружено

описание активности или события, которое необходимо обнаруживать (если есть возможность сразу на техническом языке)

🔤 причина для проработки нового обнаружения

указать причину, по которой требуется разработка нового правила обнаружения. скорее всего они будут определены заранее, исходя из источников требований

🔤 исключения из правила

описание легитимной активности, или белых списков для правила

🔤 вряд ли такое случится при заведении таска) прикрепление логов, pcap-файлов с активностью, которую нужно обнаруживать. Скорее всего появится при разработке правила.

#detection@detectioneasy

Репорты по TTP группировок 😈 в России 🇷🇺 и странах СНГ

https://bi.zone/upload/for_download/Threat_Zone_2024_BI.ZONE_Research_rus.pdf

https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2024/05/20212017/Report_Threat-Landscape_for_Russia_and_CIS.pdf

#ttp@detectioneasy
#report@detectioneasy

🔤 ТОП10 утилит по версии BI.Zone:

1. Advanced Port Scanner
2. Nmap
3. Adminer
4. Impacket
5. Mimikatz
6. SharpHound
7. ngrok
8. Sliver
9. Chisel
10. gsocket

🔤 ТОП10 LOLBAS по версии BI.Zone:

1. Rundll32
2. Regsvr32
3. Wscript
4. Reg
5. Cscript
6. PsExec
7. ProcDump
8. BITSAdmin
9. Certutil
10. Schtasks

#ttp@detectioneasy
#report@detectioneasy

Прикольный разбор группировки RingSpy от RVision. По TTP также не очень интересно. Все еще используют CVE-2023-38831 в WinRar, такое чувство, что она будет жить бесконечно))

Автор обратил внимание на использование API Telegram стронним приложением. Получается интересный детект, тк атакующие 😎 часто используют чаты, видеохостинги и cdn для получения комманд и эксфильтрации.

У Elastic есть более общее правило в котором обнаруживается использование следующих ресурсов, понятно, что под каждую инфраструктуру список будет меняться, но есть почти 💯 варианты:

raw.githubusercontent.*
pastebin.*
paste4btc.com
paste.ee
ghostbin.com
drive.google.com
?.docs.live.net
api.dropboxapi.*
content.dropboxapi.*
dl.dropboxusercontent.*
api.onedrive.com
*.onedrive.org
onedrive.live.com
filebin.net
*.ngrok.io
ngrok.com
*.portmap.*
*serveo.net
*localtunnel.me
*pagekite.me
*localxpose.io
*notabug.org
rawcdn.githack.*
paste.nrecom.net
zerobin.net
controlc.com
requestbin.net
slack.com
api.slack.com
slack-redir.net
slack-files.com
cdn.discordapp.com
discordapp.com
discord.com
apis.azureedge.net
cdn.sql.gg
?.top4top.io
top4top.io
www.uplooder.net
*.cdnmegafiles.com
transfer.sh
gofile.io
updates.peer2profit.com
api.telegram.org
t.me
meacz.gq
rwrd.org
*.publicvm.com
*.blogspot.com
api.mylnikov.org
file.io
stackoverflow.com
*files.1drv.com
api.anonfile.com
*hosting-profi.de
ipbase.com
ipfs.io
*up.freeo*.space
api.mylnikov.org
script.google.com
script.googleusercontent.com
api.notion.com
graph.microsoft.com
*.sharepoint.com
mbasic.facebook.com
login.live.com
api.gofile.io
api.anonfiles.com
api.notion.com
api.trello.com
gist.githubusercontent.com
files.pythonhosted.org
g.live.com
*.zulipchat.com
webhook.site
run.mocky.io
mockbin.org 
www.googleapis.com 
googleapis.com
global.rel.tunnels.api.visualstudio.com
*.devtunnels.ms

#ttp@detectioneasy
#report@detectioneasy

Краткий обзор сетевых атак на l2:

🔤 MAC Table Attacks
🔤 VLAN Attacks
🔤 ARP Attacks
🔤 DHCP Attacks
🔤 Address spoofing attacks
🔤 STP Attacks

Большинство атак перестают работать при корректной настройке коммутаторов 😎

Что настраивать?)
🔤 port security
🔤 dhcp-snooping
🔤 switchport nonegotiate
🔤 bpduguard
🔤 dynamic arp inspection
🔤 ip source guard

https://infosecwriteups.com/layer-2-attacks-mitigation-techniques-5fb83e2f2f29

https://infosecwriteups.com/layer-2-attacks-mitigation-techniques-part-2-d5fbf76fd772

https://xakep.ru/2022/05/12/ethernet-abyss/

#ttp@detectioneasy

🔤🔤

Пока мы говорим про организационные требования к DE и упоминаем правила обнаружения, давайте вспомним как они работают. На самом деле правила обнаружения - это правила корреляции ⚠️

С правилами корреляции работает SIEM – это класс решений, предназначенный для сбора сырых событий информационной безопасности (далее – СИБ) от их источников (приложений, операционных систем, сетевого оборудования и т.п.), нормализации событий, агрегации, обогащения и их корреляции. Простыми словами - СИБ попадают в SIEM и обрабатываются, затем по заданным правилам формируются алерты. Алерт может стать инцидентом, если аналитик его подтвердит.

Как правило жизненный цикл СИБ в SIEM выглядит так:

🔤 Нормализация – приведение сырого события (raw) к виду принятом в SIEM (таксономия – набор полей, которые используются в SIEM).

Например, сырое событие имеет вид:

<10> 2024-10-22T10:22 host1 auditd: user1 create new process /bin/bash

Нормализованное событие:

{
date: 2024-10-22T10:22;
host: host1;
service: auditd;
username: user;
processname: /bin/bash
}

Теперь каждое значение расположено в соответствующем поле и мы можем осуществлять поиск и работу с полями.

🔤 Агрегация – обобщение однотипных нормализованных событий с указанием общего количества.

Например:
Нормализованное событие Event 1:
{
date: 2024-10-22T10:22;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Нормализованное событие Event 2:
{
date: 2024-10-22T10:23;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Нормализованное событие Event 3:
{
date: 2024-10-22T10:24;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Для агрегации может понадобиться определить поля, которые должны быть одинаковые.

Определим поля: src.host, dst.host, app_protocol.

Установим время агрегации 5 секунд.

Агрегированное событие будет выглядеть следующим образом:
{
date: 2024-10-22T10:24;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
count: 3
}

🔤 Обогащение – процесс добавления недостающей (отсутствующей) информации в событии.
Например, в нашем агрегированном событие есть поля src.host и dst.host в которых хранится имя хоста отправителя и получателя. Этого не достаточно для полного понимания картины сетевого взаимодействия. Как ты считаешь какой информации не хватает 😱? Все верно - ip-адреса.

Обогащение позволяет дополнить событие любой информацией. Наше событие приобрело новый вид:

{
date: 2024-10-22T10:24;
src.host: host1;
src.ip: 10.10.1.1
dst.host: host2;
dst.ip: 10.10.20.200
app_protocol: tcp;
count: 3
}

Теперь аналитику может стать проще проводить последующий анализ или расследование инцидента.

🔤 Корреляция – финальный этап в жизненном цикле события. Корреляция формирует новое событие или алерт, основываясь на правилах, которые написали аналитики.

Давайте рассмотрим пример:

Подсеть 10.10.1.0/24 – подсеть сетевого оборудования, а ip_net_DC – это сеть контроллеров домена Active Directory. Мы знаем, что в нашей инфраструктуре из подсети 10.10.1.0/24 не должны открываться соединения к контроллерам домена. Для обнаружения такого поведения мы можем написать правило на псевдоалгоритмическом языке:

Имя алерта: подключение к контроллеру домена с сетевого оборудования 

Критичность: высокая 

Если 
       src.ip входит в [10.10.1.0/24] 
       И  
       dst.ip входит в [ip_net_DC]  
то регистрируй АЛЕРТ

#detection@detectioneasy
#note@detectioneasy

В прошлом году, после дропа lnk-файлов, было актульно на одном из этапов использовать AutoIt 🤖

В статье и тут описываются TTP одной из APT 🥷, которые в своем арсенале используют AutoIt.

Страшно ли это для нас?) Скорее нет 🤡, чем да, при правильно настроенном сборе событий, мы можем обнаружить такую активность:

ProviderName="Microsoft-Windows-Sysmon» and EventId = 1 and  OriginalFileName = "autoIt*.exe" 

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and Image = ".*\\autoIt*.exe" 

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and (Description = "autoIt*.exe" or Product "autoIt*.exe")

ProviderName="Microsoft-Windows-Sysmon» and  EventId = 11 and (TargetFilename endswith ".au3" or endswith TargetFilename ".a3x")

#ttp@detectioneasy