Проактивный хантинг C2-серверов 👨💻
В процессе хантинга C2-серверов появляется важный вопрос — какие артефакты использовать для лучшей результативности и точности: искать по WHOIS-записям, регулярным выражениям для субдоменов, по NS-серверам, DDNS, резолвам на один IP-адрес и т. п. С этой точки зрения лучшим чаще всего является фингерпринт SSL-сертификата, используемого на C2-сервере.
Благодаря мониторингу фингерпринта сертификата через Censys,
который мы ранее видели на C2-сервере, используемом GoRed в атаках на российские организации, в июне этого года был обнаружен новый C2-сервер GoRed, а также дополнительные сетевые индикаторы.
IoC:
#TI #ExCobalt #GoRed #C2
@ptescalator
В процессе хантинга C2-серверов появляется важный вопрос — какие артефакты использовать для лучшей результативности и точности: искать по WHOIS-записям, регулярным выражениям для субдоменов, по NS-серверам, DDNS, резолвам на один IP-адрес и т. п. С этой точки зрения лучшим чаще всего является фингерпринт SSL-сертификата, используемого на C2-сервере.
Благодаря мониторингу фингерпринта сертификата через Censys,
services.tls.certificate.fingerprint_sha256: "aea6e20b6abcf58c27eab43de08d7b1cd988fc68c471b5cdcc812851df8c8748"
который мы ранее видели на C2-сервере, используемом GoRed в атаках на российские организации, в июне этого года был обнаружен новый C2-сервер GoRed, а также дополнительные сетевые индикаторы.
IoC:
passwade.ru
dnslan.ru
wglan.ru
mskde.ru
mskde.online
myldap.ru
#TI #ExCobalt #GoRed #C2
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏 Раз-два — и готово. Генерируем FLIRT-сигнатуры
А делаем это, чтобы не тратить время на распознавание библиотечного кода PureBasic, на котором написан COM-DLL-Dropper группировки ExCobalt.
Для начала нам понадобится компилятор PureBasic. Скачав его и установив или распаковав, найдем все .lib-файлы. Далее нам понадобятся входящие в состав Flair инструменты:
—
—
С их помощью мы и сгенерируем сигнатуры. Чтобы автоматизировать создание PAT-файла, будем использовать BAT-файл со следующим содержимым:
После получения PAT-файла нам нужно преобразовать его в SIG-файл. Для этого выполним следующую команду:
Так как произошли коллизии при генерации сигнатур, получаем следующий список файлов:
— PureBasic_x86.err,
— PureBasic_x86.exc,
— PureBasic_x86.pat.
При отсутствии коллизий сразу получили бы готовый SIG-файл. Для их устранения нужно отредактировать EXC-файл. Пример коллизии:
Видим, что три функции имеют одну и ту же сигнатуру, — нам необходимо выбрать, какую из них использовать.
Слева, рядом с именем нужной функции, ставим +. В этом случае коллизия коснулась функций, идентичных по назначению, и мы можем выбрать любую:
Но бывает, когда она касается функций с совершенно противоположным назначением, — можно выбрать любую, но запомнить или записать ее: это пригодится, когда будет получен результат.
Нужно также удалить строку --------- в EXC-файле, чтобы выбор учитывался при повторной генерации сигнатур:
После того как действие будет проделано для всех коллизий, нужно повторить генерацию. Если все сделано правильно, мы получим SIG-файл. Его следует положить в:
#reverse #tips #ComDllDropper #ExCobalt #APT #TI
@ptescalator
А делаем это, чтобы не тратить время на распознавание библиотечного кода PureBasic, на котором написан COM-DLL-Dropper группировки ExCobalt.
Для начала нам понадобится компилятор PureBasic. Скачав его и установив или распаковав, найдем все .lib-файлы. Далее нам понадобятся входящие в состав Flair инструменты:
—
pcf — парсер файлов .lib и .obj, создает PAT-файл из COFF-файлов.—
sigmake — конвертирует ранее созданный PAT-файл в SIG-файл для IDA.С их помощью мы и сгенерируем сигнатуры. Чтобы автоматизировать создание PAT-файла, будем использовать BAT-файл со следующим содержимым:
@echo off
\path\pcf.exe -a \path\Debugger.lib
\path\PureBasic_x86.pat
\path\pcf.exe -a \path\libmariadb.lib
\path\PureBasic_x86.pat
...
После получения PAT-файла нам нужно преобразовать его в SIG-файл. Для этого выполним следующую команду:
\path\sigmake.exe -n"PureBasic_Windows_X86_LTS_6.03" \path\PureBasic_x86.pat \path\PureBasic_x86.sig
Так как произошли коллизии при генерации сигнатур, получаем следующий список файлов:
— PureBasic_x86.err,
— PureBasic_x86.exc,
— PureBasic_x86.pat.
При отсутствии коллизий сразу получили бы готовый SIG-файл. Для их устранения нужно отредактировать EXC-файл. Пример коллизии:
_PB_WriteFloat@8 0B 5366........E8........85C0742D83780400
_PB_WriteInteger@8 0B 5366........E8........85C0742D83780400
_PB_WriteLong@8 0B 5366........E8........85C0742D83780400
Видим, что три функции имеют одну и ту же сигнатуру, — нам необходимо выбрать, какую из них использовать.
Слева, рядом с именем нужной функции, ставим +. В этом случае коллизия коснулась функций, идентичных по назначению, и мы можем выбрать любую:
_PB_WriteFloat@8 0B 5366........E8........85C0742D83780400
+_PB_WriteInteger@8 0B 5366........E8........85C0742D83780400
_PB_WriteLong@8 0B 5366........E8........85C0742D83780400
Но бывает, когда она касается функций с совершенно противоположным назначением, — можно выбрать любую, но запомнить или записать ее: это пригодится, когда будет получен результат.
Нужно также удалить строку --------- в EXC-файле, чтобы выбор учитывался при повторной генерации сигнатур:
;--------- (delete these lines to allow sigmake to read this fil
; add '+' at the start of a line to select a module
; add '-' if you are not sure about the selection
; do nothing if you want to exclude all modules
После того как действие будет проделано для всех коллизий, нужно повторить генерацию. Если все сделано правильно, мы получим SIG-файл. Его следует положить в:
%IDA Home%\sig\pc
#reverse #tips #ComDllDropper #ExCobalt #APT #TI
@ptescalator
В начале 2024 года наша команда выявила применение ВПО Cobint в инфраструктуре заказчиков 🥷
Это ВПО активно использует группировка (Ex)Cobalt при атаках на российские компании (прочитать подробнее о Cobint можно в нашем блоге: здесь и здесь).
В атаках использовался специфический Powershell-загрузчик, который распаковывал и выполнял полезную нагрузку в памяти, а также загружал следующий стейдж с C2-сервера.
Интересная особенность загрузчика — использование Windows API функции InternetReadFile для загрузки стейджа с C2-сервера, вследствие чего зашифрованный стейдж может оставаться в кэше Internet Explorer, который располагается по пути:
Зачастую ВПО запускается под учетными данными System или NetworkService, в этом случае индикатором может служить появление в кэше соответствующих пользователей файлов с длинными рандомными именами, например:
Анализ ВПО Cobint, полезные фишки, а также способы автоматизации расшифровки полезной нагрузки — ищите в статье на «xakep.ru».
#detect #malware #dfir #cobint #excobalt
@ptescalator
Это ВПО активно использует группировка (Ex)Cobalt при атаках на российские компании (прочитать подробнее о Cobint можно в нашем блоге: здесь и здесь).
В атаках использовался специфический Powershell-загрузчик, который распаковывал и выполнял полезную нагрузку в памяти, а также загружал следующий стейдж с C2-сервера.
Интересная особенность загрузчика — использование Windows API функции InternetReadFile для загрузки стейджа с C2-сервера, вследствие чего зашифрованный стейдж может оставаться в кэше Internet Explorer, который располагается по пути:
\%User%\AppData\Local\Microsoft\Windows\InetCache\IE\
Зачастую ВПО запускается под учетными данными System или NetworkService, в этом случае индикатором может служить появление в кэше соответствующих пользователей файлов с длинными рандомными именами, например:
\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\INetCache\IE\adubiyzhofbsewzzvbyesa[1]
\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE\kmduvjhwxevabeyuzafwe[1]
Анализ ВПО Cobint, полезные фишки, а также способы автоматизации расшифровки полезной нагрузки — ищите в статье на «xakep.ru».
#detect #malware #dfir #cobint #excobalt
@ptescalator
Путешествие_Извилистых_Троп_манёвры_ExCobalt_в_атаках_на_российские.pdf
11.5 MB
Кстати, про Offzone 🙂
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM