Все уже слышали про ldapnightmare 😈 в очередной раз хайповый POC, выложенный на GitHub оказался стиллером)

По TTP ничего интересного нет:
🔤 после запуска бинаря, в Temp создается ps1-скрипт
🔤 закреп через задачу
🔤для исполнения команд используется Powershell
🔤 для загрузки очередного этапа использовался Pastebin
🔤 эксфильтрация через ftp (в большинстве случаев отработает, тк стиллер рассчитан на безопасников и админов)

IOC:

ef4ba8eef919251f7502c7e66926bb3a5422065b poc.exe (UPX-packed)

d4a35487b95cc2b44395047717358bb2863a5311 Dropped PowerShell script

ftp[:]//ftp[.]drivehq[.]com/wwwhome/ FTP server

ftp[:]//ftpupload[.]net/htdocs FTP server

hxxps[:]//pastebin[.]com/raw/9TxS7Ldc Pastebin

#ttp@detectioneasy

🔤🔤 Этап 1 - формирование требований

В прошлый раз мы рассмотрели примеры источников требований к обнаружению.
Давай попробуем сформулировать общее описание требований:

🔤 описание источника требования

заказчик, соседний департамент, результат red team. с указанием контактного лица (тг, почта, чат …)

🔤 что должно быть обнаружено

описание активности или события, которое необходимо обнаруживать (если есть возможность сразу на техническом языке)

🔤 причина для проработки нового обнаружения

указать причину, по которой требуется разработка нового правила обнаружения. скорее всего они будут определены заранее, исходя из источников требований

🔤 исключения из правила

описание легитимной активности, или белых списков для правила

🔤 вряд ли такое случится при заведении таска) прикрепление логов, pcap-файлов с активностью, которую нужно обнаруживать. Скорее всего появится при разработке правила.

#detection@detectioneasy

Репорты по TTP группировок 😈 в России 🇷🇺 и странах СНГ

https://bi.zone/upload/for_download/Threat_Zone_2024_BI.ZONE_Research_rus.pdf

https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2024/05/20212017/Report_Threat-Landscape_for_Russia_and_CIS.pdf

#ttp@detectioneasy
#report@detectioneasy

🔤 ТОП10 утилит по версии BI.Zone:

1. Advanced Port Scanner
2. Nmap
3. Adminer
4. Impacket
5. Mimikatz
6. SharpHound
7. ngrok
8. Sliver
9. Chisel
10. gsocket

🔤 ТОП10 LOLBAS по версии BI.Zone:

1. Rundll32
2. Regsvr32
3. Wscript
4. Reg
5. Cscript
6. PsExec
7. ProcDump
8. BITSAdmin
9. Certutil
10. Schtasks

#ttp@detectioneasy
#report@detectioneasy

Прикольный разбор группировки RingSpy от RVision. По TTP также не очень интересно. Все еще используют CVE-2023-38831 в WinRar, такое чувство, что она будет жить бесконечно))

Автор обратил внимание на использование API Telegram стронним приложением. Получается интересный детект, тк атакующие 😎 часто используют чаты, видеохостинги и cdn для получения комманд и эксфильтрации.

У Elastic есть более общее правило в котором обнаруживается использование следующих ресурсов, понятно, что под каждую инфраструктуру список будет меняться, но есть почти 💯 варианты:

raw.githubusercontent.*
pastebin.*
paste4btc.com
paste.ee
ghostbin.com
drive.google.com
?.docs.live.net
api.dropboxapi.*
content.dropboxapi.*
dl.dropboxusercontent.*
api.onedrive.com
*.onedrive.org
onedrive.live.com
filebin.net
*.ngrok.io
ngrok.com
*.portmap.*
*serveo.net
*localtunnel.me
*pagekite.me
*localxpose.io
*notabug.org
rawcdn.githack.*
paste.nrecom.net
zerobin.net
controlc.com
requestbin.net
slack.com
api.slack.com
slack-redir.net
slack-files.com
cdn.discordapp.com
discordapp.com
discord.com
apis.azureedge.net
cdn.sql.gg
?.top4top.io
top4top.io
www.uplooder.net
*.cdnmegafiles.com
transfer.sh
gofile.io
updates.peer2profit.com
api.telegram.org
t.me
meacz.gq
rwrd.org
*.publicvm.com
*.blogspot.com
api.mylnikov.org
file.io
stackoverflow.com
*files.1drv.com
api.anonfile.com
*hosting-profi.de
ipbase.com
ipfs.io
*up.freeo*.space
api.mylnikov.org
script.google.com
script.googleusercontent.com
api.notion.com
graph.microsoft.com
*.sharepoint.com
mbasic.facebook.com
login.live.com
api.gofile.io
api.anonfiles.com
api.notion.com
api.trello.com
gist.githubusercontent.com
files.pythonhosted.org
g.live.com
*.zulipchat.com
webhook.site
run.mocky.io
mockbin.org 
www.googleapis.com 
googleapis.com
global.rel.tunnels.api.visualstudio.com
*.devtunnels.ms

#ttp@detectioneasy
#report@detectioneasy

Краткий обзор сетевых атак на l2:

🔤 MAC Table Attacks
🔤 VLAN Attacks
🔤 ARP Attacks
🔤 DHCP Attacks
🔤 Address spoofing attacks
🔤 STP Attacks

Большинство атак перестают работать при корректной настройке коммутаторов 😎

Что настраивать?)
🔤 port security
🔤 dhcp-snooping
🔤 switchport nonegotiate
🔤 bpduguard
🔤 dynamic arp inspection
🔤 ip source guard

https://infosecwriteups.com/layer-2-attacks-mitigation-techniques-5fb83e2f2f29

https://infosecwriteups.com/layer-2-attacks-mitigation-techniques-part-2-d5fbf76fd772

https://xakep.ru/2022/05/12/ethernet-abyss/

#ttp@detectioneasy

🔤🔤

Пока мы говорим про организационные требования к DE и упоминаем правила обнаружения, давайте вспомним как они работают. На самом деле правила обнаружения - это правила корреляции ⚠️

С правилами корреляции работает SIEM – это класс решений, предназначенный для сбора сырых событий информационной безопасности (далее – СИБ) от их источников (приложений, операционных систем, сетевого оборудования и т.п.), нормализации событий, агрегации, обогащения и их корреляции. Простыми словами - СИБ попадают в SIEM и обрабатываются, затем по заданным правилам формируются алерты. Алерт может стать инцидентом, если аналитик его подтвердит.

Как правило жизненный цикл СИБ в SIEM выглядит так:

🔤 Нормализация – приведение сырого события (raw) к виду принятом в SIEM (таксономия – набор полей, которые используются в SIEM).

Например, сырое событие имеет вид:

<10> 2024-10-22T10:22 host1 auditd: user1 create new process /bin/bash

Нормализованное событие:

{
date: 2024-10-22T10:22;
host: host1;
service: auditd;
username: user;
processname: /bin/bash
}

Теперь каждое значение расположено в соответствующем поле и мы можем осуществлять поиск и работу с полями.

🔤 Агрегация – обобщение однотипных нормализованных событий с указанием общего количества.

Например:
Нормализованное событие Event 1:
{
date: 2024-10-22T10:22;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Нормализованное событие Event 2:
{
date: 2024-10-22T10:23;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Нормализованное событие Event 3:
{
date: 2024-10-22T10:24;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
duration: 120
}

Для агрегации может понадобиться определить поля, которые должны быть одинаковые.

Определим поля: src.host, dst.host, app_protocol.

Установим время агрегации 5 секунд.

Агрегированное событие будет выглядеть следующим образом:
{
date: 2024-10-22T10:24;
src.host: host1;
dst.host: host2;
app_protocol: tcp;
count: 3
}

🔤 Обогащение – процесс добавления недостающей (отсутствующей) информации в событии.
Например, в нашем агрегированном событие есть поля src.host и dst.host в которых хранится имя хоста отправителя и получателя. Этого не достаточно для полного понимания картины сетевого взаимодействия. Как ты считаешь какой информации не хватает 😱? Все верно - ip-адреса.

Обогащение позволяет дополнить событие любой информацией. Наше событие приобрело новый вид:

{
date: 2024-10-22T10:24;
src.host: host1;
src.ip: 10.10.1.1
dst.host: host2;
dst.ip: 10.10.20.200
app_protocol: tcp;
count: 3
}

Теперь аналитику может стать проще проводить последующий анализ или расследование инцидента.

🔤 Корреляция – финальный этап в жизненном цикле события. Корреляция формирует новое событие или алерт, основываясь на правилах, которые написали аналитики.

Давайте рассмотрим пример:

Подсеть 10.10.1.0/24 – подсеть сетевого оборудования, а ip_net_DC – это сеть контроллеров домена Active Directory. Мы знаем, что в нашей инфраструктуре из подсети 10.10.1.0/24 не должны открываться соединения к контроллерам домена. Для обнаружения такого поведения мы можем написать правило на псевдоалгоритмическом языке:

Имя алерта: подключение к контроллеру домена с сетевого оборудования 

Критичность: высокая 

Если 
       src.ip входит в [10.10.1.0/24] 
       И  
       dst.ip входит в [ip_net_DC]  
то регистрируй АЛЕРТ

#detection@detectioneasy
#note@detectioneasy

В прошлом году, после дропа lnk-файлов, было актульно на одном из этапов использовать AutoIt 🤖

В статье и тут описываются TTP одной из APT 🥷, которые в своем арсенале используют AutoIt.

Страшно ли это для нас?) Скорее нет 🤡, чем да, при правильно настроенном сборе событий, мы можем обнаружить такую активность:

ProviderName="Microsoft-Windows-Sysmon» and EventId = 1 and  OriginalFileName = "autoIt*.exe" 

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and Image = ".*\\autoIt*.exe" 

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and (Description = "autoIt*.exe" or Product "autoIt*.exe")

ProviderName="Microsoft-Windows-Sysmon» and  EventId = 11 and (TargetFilename endswith ".au3" or endswith TargetFilename ".a3x")

#ttp@detectioneasy

Всем привет! 👋

Мы описали пример, как определить источники требований к мониторингу. Давайте попробуем кратко описать этот процесс для выдуманной компании World of detection.

1. Описание источника требования:
🔤 Департамент информационной безопасности (ИБ) компании World of detection.
Контактное лицо: Иван Иванов (Telegram: @ivan_ib, email: ivan.ib@detectionworld.com), Петр Иванов (Telegram: @petr_ib, email: petr.ib@detectionworld.com)

2. Что должно быть обнаружено:
🔤 Активность: Попытки подбора учетных данных (bruteforce) к корпоративным VPN-серверам.

🔤 Техническое описание:
Адреса VPN серверов: 1.1.1.1:1337, 1.1.1.2:3334, 1.1.1.3:31337

Множественные попытки аутентификации с одного IP-адреса в течение короткого промежутка времени (более 30 попыток за 5 минут).

Подключение клиента более чем с одного IP-адреса.

3. Причина для проработки нового обнаружения:
🔤 Источник требования: Результаты последнего тестирования Red Team показали, что текущие правила не обнаруживают атаки методом bruteforce на VPN-серверы.
🔤 Риск: Злоумышленники могут получить доступ к корпоративной сети, что может привести к утечке данных или компрометации критически важных систем.

4. Исключения из правила:
🔤 Белый список: IP-адреса офисов компании

5. Дополнительные данные:
🔤 Логи: Пример логов с попытками bruteforce, если есть.
🔤 PCAP-файлы: Пример сетевого трафика, если доступен.

Если у вас есть вопросы или хотите узнать больше, пишите в комментариях! 🛡️

#notes@detectioneasy
#detection@detectioneasy

Интересно, что у нас по дроперам 🦔?)

Скажем спасибо швиндовсу 🏠 за прекрасный формат *.msc, который описывает в xml оснастки. Мотивированные ребята придумали способ, как исполнять процессы, используя их, и назвали его - GrimResource.

На GitHub есть билдер, который позволяет создавать такие нагрузки.

Что это значит для нас? Ничего страшного, мониторинг - это просто))

Какие варианты обнаружения 🔭?

🔤 Появление новых файлов с расширением .msc в директориях пользователя (например, C:\Users\<Username>\Downloads)

ProviderName="Microsoft-Windows-Sysmon» and  EventId = 11 and (TargetFilename endswith «.msc» and TargetFilename «?:\\Users\.*\.msc»)

🔤 Запуск mmc.exe с оснасткой не из системной директории

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and Image = ".*\mmc.exe"  and CommandLine not in ["?:\\Windows\\System32\\*.msc",
        "?:\\Windows\\SysWOW64\\*.msc",
        "?:\\Program files\\*.msc",
        "?:\\Program Files (x86)\\*.msc»]

🔤 Родительский процесс - это mmc.exe и оснастка не из системной директории

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 1 and ParentImage = ".*\mmc.exe"  and ParentCommandLine not in ["?:\\Windows\\System32\\*.msc",
        "?:\\Windows\\SysWOW64\\*.msc",
        "?:\\Program files\\*.msc",
        "?:\\Program Files (x86)\\*.msc»]

Как не стать жертвой такой техники? 😿
Реализовать тестирование самим, нужно подготовить несколько сценариев, например:
🔤 письмо с вложенным msc
🔤 письмо с упакованным msc в несколько контейнеров
🔤 письмо с линком на msc
🔤 письмо с линком на упакованный msc в несколько контейнеров

Если у тебя по результатам 4х тестов будет 4+ детекта значит использование этой процедуры мы обнаружим своевременно)

🔤 к выше описанным детектам можно добавить вердикт твоего AV-решения, как хостового, так и почтового

Дополнительно можем похантить:
🔤 в директориях пользователей ищем *.msc
🔤 в Prefetch ищем MMC*.pf (кроме серверных версий Windows)
🔤 в MFT ищем создание *.msc
🔤 можем поискать ярой

Если у вас есть вопросы или хотите узнать больше, пишите в комментариях! 🛡️

#ttp@detectioneasy
#detection@detectioneasy

Продолжаем настройку NetFlow 📞
https://habr.com/ru/articles/873382/