Forwarded from ESCalator
Продолжаем искать файловый след из поста выше 🐾
Чтобы понять, с какого DC реплицировался файл, нужно узнать, какому хосту соответствует указанный
Как это сделать
1️⃣ Можно посмотреть таблицу соответствия в файле
2️⃣ Можно поискать в логах DFSR события, содержащие одновременно интересующий нас
3️⃣ Если DC «живы», то информацию о GUID’ах можно извлечь с помощью утилиты
Итак, в ходе расследования мы выяснили, что изначально вредоносный файл был размещен на DC02.
Дело за малым — узнать, кто и откуда заходил на этот DC и положил туда этот файл. Журналы ОС и SUM в помощь — никто не обещал, что будет легко! 🙂
#ir #dfir #DFSR
@ptescalator
Чтобы понять, с какого DC реплицировался файл, нужно узнать, какому хосту соответствует указанный
connId (это значение статично и соответствует однонаправленной связи между двумя машинами).Как это сделать
1️⃣ Можно посмотреть таблицу соответствия в файле
\System Volume Information\DFSR\Config\Replica_<GUID группы репликации>.XML. Поищем в нем наш connId и увидим примерно следующее:<DfsrConnection>
<ConnectionGuid>C62DFB26-63FA-4E9F-B533-0F487BF8E043</ConnectionGuid>
<...>
<PartnerName>DC02</PartnerName>
<...>
<PartnerDns>dc02.corp.local</PartnerDns>
<...>
</DfsrConnection>
2️⃣ Можно поискать в логах DFSR события, содержащие одновременно интересующий нас
connId и слова "partnerDns", "partnerName" или "partnerAddress". Можем обнаружить что-то типа:20250314 01:22:31.307 6304 DOWN 3959 [ERROR] DownstreamTransport::EstablishConnection EstablishConnection failed. Check that the connection partner is valid. If not then recreate the connection with valid partner. connId:{C62DFB26-63FA-4E9F-B533-0F487BF8E043} rgName:Domain System Volume partnerName:DC02 partnerDns:dc02.corp.local
3️⃣ Если DC «живы», то информацию о GUID’ах можно извлечь с помощью утилиты
Dfsradmin. Этот способ разбирать не будем — более подробно про логи DFSR можно почитать по ссылке.Итак, в ходе расследования мы выяснили, что изначально вредоносный файл был размещен на DC02.
Дело за малым — узнать, кто и откуда заходил на этот DC и положил туда этот файл. Журналы ОС и SUM в помощь — никто не обещал, что будет легко! 🙂
#ir #dfir #DFSR
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3🤔2
Всем привет 💻 ✌️
mr.dox не дает отдыхать и выпускает FileFix2
Суть атаки - для решения captcha пользователю нужно сохранить html-страницу и при сохранении, поменять расширение на😇
🔭 Для обнаружения FileFix2 отслеживаем цепочку процессов, например
и запуск hta из директорий пользователя
#ttp@detectioneasy
#detection@detectioneasy
mr.dox не дает отдыхать и выпускает FileFix2
Суть атаки - для решения captcha пользователю нужно сохранить html-страницу и при сохранении, поменять расширение на
.HTA, файл сохранится без MoTW mshta.exe -> powerhshell|cmd|cscript|curl|certutil - можно хоть весь LOLBAS перечислитьи запуск hta из директорий пользователя
*:\Users\#ttp@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Mrd0X
Security Research | mr.d0x
Providing security research and red team techniques
🔥6👍3🤔2
Всем привет 💻 ✌️
Давайте познакомимся со статьей trustedsec про использование встроенных VPN-клиентов в Windows.
Windows из коробки поддерживает клиенты для PPTP, L2TP, SSTP, IKev2 - не нужно приносить с собой сторонний клиент для организации доступа
🔭 Все не так страшно, мы можем относительно легко обнаружить такое поведение:
🔤 Доступ к файлу rasphone.pbk в:
предварительно нужно настроить DACL
🔤 Отслеживаем события:
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся со статьей trustedsec про использование встроенных VPN-клиентов в Windows.
Windows из коробки поддерживает клиенты для PPTP, L2TP, SSTP, IKev2 - не нужно приносить с собой сторонний клиент для организации доступа
%appdata%\Microsoft\Network\Connections\Pbk\
C:\Users\All Users\Microsoft\Network\Connections\Pbk\rasphone.pbk
C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk
предварительно нужно настроить DACL
Channel="Application" and ProviderName="RasClient" and (EventId = 20221 or EventId = 20222)
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6👍3🥰3🤔1
DE Q2 2025.pdf
43.7 MB
Всем привет 💻 ✌️
Журнал за Q2
Журнал за Q2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥5🤔2🍌2
Всем привет 💻 ✌️
Давайте познакомимся с C2-фреймворком OnionC2
Основное преимущество
🔭 Для формирования гипотез обнаружения и Threat Hunting обратим внимание на следующие особенности агента:
🔤 Для проверки реального IP-адреса агент использует сервис
🔤 Из коробки идет два варианта закрепа - реестр и
🔤 Для реестра, стандартно, отслеживаем создание ключей в
🔤
🔤 Для выполнения команд используется
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся с C2-фреймворком OnionC2
Основное преимущество
OnionC2 перед аналогами, по мнению автора, — это использование сети Tor для связи сервера и клиента.By utilizing the Tor network, it ensures that communications between the C2 server and remote systems remain secure, anonymous, and available
https://checkip.amazonaws.comShortcut Takeover*\Software\\Microsoft\\Windows\\CurrentVersion\Run\, имя ключа - Agent Shortcut Takeover - для изменения (или создания нового) используется ярлык %USERPROFILE%\Desktop\Microsoft Edge, целевой файл ярлыка - путь до агента, а значение аргумента - --run-lnk, укажет агенту запустить C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.execmd.exe /C#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍3🤔2
Всем привет 💻 ✌️
Сталкивались ли вы с ситуацией, когда при расследовании инцидента цепочка приводит к хосту, который уже успели переустановить?😱
Вспомнил полезное видео с PHD и решил дополнить список инструментов, которые помогут в таких случаях:
🔍 Основные из видео:
🔤 r-studio
🔤 photorec
🔤 strings
➕ Дополнение:
🔤 binwalk
🔤 Windows-Prefetch-Carver
🔤 EVTXtract
🔤 bulk_extractor
🔤 scalpel
А какие инструменты используете вы? Делитесь в комментах!👇
#dfir@detectioneasy
Сталкивались ли вы с ситуацией, когда при расследовании инцидента цепочка приводит к хосту, который уже успели переустановить?
Вспомнил полезное видео с PHD и решил дополнить список инструментов, которые помогут в таких случаях:
А какие инструменты используете вы? Делитесь в комментах!
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Ошибки при реагировании на инциденты в 2023–2024 годах
Кража данных и шифрование — две самые насущные проблемы 2023 года. Каждая компания, столкнувшаяся с ними, пыталась использовать собственные подходы к решению возникших задач, и многие успели наломать дров, учитывая, что они впервые встретились с подобными…
🔥8👍3🤔3👏1
Всем привет! 💻 ✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7👍5🤔2
Всем привет! 💻 ✌️
У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR
Уязвимости использовались для получения доступа к хостам жертв - фишинг.
Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.
🔭 Обнаружение строится достаточно легко:
Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)
#detection@detectioneasy
#ttp@detectioneasy
У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR
Уязвимости использовались для получения доступа к хостам жертв - фишинг.
Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and Image endswith "winrar.exe" and TargetFilename = ".*\Microsoft\Windows\Start Menu\Programs\Startup\"
Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥10👍5🤔2❤1