Продолжим тему с ADS 💻

ADS для хакеров отличное место, для хранения нагрузки, создание потока несильно шумное событие. А запуск нагрузки из ADS может и не привлечь внимания 🤔

Для создания потока мы можем выполнить команду:

type C:\windows\system32\calc.exe > c:\users\qwer\downloads\cv.doc:calc.exe

Чтобы запустить процесс воспользуемся командой:

wmic process call create c:\users\qwer\downloads\cv.doc:notepad.exe

Как знаем из предыдущего поста создание ADS регистрируется событием Sysmon EventId = 15

Нас может заинтересовать:
🔤 создание потока подозрительным процессом, например не браузером

🔤 использовать хеши в качестве индикаторов. В поле Hash хранится хеш-значение данных в потоке

🔤 поле Contents может быть пустым. в примере на скриншоте в поток был записан бинарный файл. Понять было ли что-то записано в поток, нам поможет наличие значения в поле Hash

Второе событие которое нам поможет это создание процесса:

🔤 в поле CommandLine ищем использование символа ":" , могут быть специфичные процессы, где будет использоваться этот символ, но можем их отфильтровать

#detectioneasy@detection