Как и обещали, делимся второй частью идей правил корреляции для SIEM-систем 👨💻
Первую часть можно найти в этом посте.
5️⃣ Выявлять подозрительную последовательность запуска процесса приложением Microsoft Office можно на основе событий запуска процесса *.exe Windows 4688 Sysmon 1 с родительскими процессами ParentProcessName ("winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "acrord32.exe") с разными значениями в полях ParentProcessName и NewProcessName.
Исключения для NewProcessName:
6️⃣ Рекомендуем выявлять создание исполняемых файлов офисными программами:
• события создания процесса (Windows 4688, Sysmon 1);
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe";
• расширение TargetFilename:
7️⃣ Офисная программа загружает DLL-библиотеку COM-объекта Internet Explorer (ieproxy.dll):
• события Sysmon 7;
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe".
• значение "ieproxy.dll" в поле ImageLoaded.
#tips #siem #detect
@ptescalator
Первую часть можно найти в этом посте.
5️⃣ Выявлять подозрительную последовательность запуска процесса приложением Microsoft Office можно на основе событий запуска процесса *.exe Windows 4688 Sysmon 1 с родительскими процессами ParentProcessName ("winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "acrord32.exe") с разными значениями в полях ParentProcessName и NewProcessName.
Исключения для NewProcessName:
"winword.exe", "excel.exe", "powerpnt.exe", "eqnedt32.exe", "outlook.exe", "msosync.exe", "chrome.exe", "firefox.exe", "msedge.exe", "launcher.exe", "browser.exe", "acrord32.exe", "acrobat.exe", "rdrcef.exe", "adobearm.exe", "splwow64.exe", "visio.exe".
6️⃣ Рекомендуем выявлять создание исполняемых файлов офисными программами:
• события создания процесса (Windows 4688, Sysmon 1);
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe";
• расширение TargetFilename:
.exe, .bat, .com, .cmd, .dll, .cpl, .msi, .sys, .scr, .ps1, .hta
7️⃣ Офисная программа загружает DLL-библиотеку COM-объекта Internet Explorer (ieproxy.dll):
• события Sysmon 7;
• с именами Image: "winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "msaccess.exe".
• значение "ieproxy.dll" в поле ImageLoaded.
#tips #siem #detect
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Как пройти в интернет 🚶♂️
Что делают хакеры, когда интересующий их сегмент сети не имеет доступа в интернет, а подключиться к C2 очень хочется? Правильно: ищут хосты, которые смотрят в разные подсети, и пытаются пробросить каналы управления через них. Если атакуемая инфраструктура сильно сегментирована, такой канал может проходить через много узлов и принимать причудливые формы.
В одном из недавних кейсов хакеры использовали два метода для проброса канала, условно назовем их «простой» и «сложный».
🤯 Начнем со «сложного»
Злоумышленники обнаружили хост, через который был возможен доступ из одной подсети в другую. Но был нюанс: попасть на этот хост можно было только через RDP (remote desktop — удаленный рабочий стол).
Хакеры нашли решение. На прослушивание порта
Настоящую службу RDP хакеры перевесили со стандартного порта
Присутствие такой утилиты на хосте выдают (помимо, собственно, наличия исполняемого файла на файловой системе) следующие признаки:
1️⃣ Изменение порта RDP на нестандартный (проверить порт можно в свойствах системы или с помощью команды
2️⃣ Какой-то «левый» процесс слушает порт
3️⃣ Подключения пользователей по RDP в такой схеме отображаются как исходящие от localhost. На практике мы видели только IP-адрес
Но имейте в виду, что поменять порт RDP мог админ, а подключения с локалхоста могут говорить и о других вещах, например о наличии туннелей 🙂
💆♂️ В чем тогда заключался «простой» способ?
В этом варианте злоумышленники для проксирования трафика использовали функциональность Windows под названием Port Proxy.
В самом простом варианте этот инструмент позволяет создать простой маппинг «откуда пришел пакет — куда его отправить». Проще всего показать это на примере:
После выполнения этой команды хост начинает слушать порт
Этот метод хорош тем, что не нужно использовать стороннее ПО. Основное ограничение метода заключается в том, что маппинг статичен, то есть позволяет организовать только жестко заданное перенаправление пакетов.
🕵️♀️ Как обнаружить использование такого способа
1️⃣ Детектировать запуск команды netsh interface portproxy add (например, в событиях
Детект в MaxPatrol SIEM:
2️⃣ По наличию в реестре ключей в ветке [
Детект в MaxPatrol SIEM:
3️⃣ По появлению подозрительных слушающих портов или сетевых подключений у службы
👉 Кстати, в том кейсе злоумышленники умудрились с помощью portproxy построить цепочку длиной в четыре хопа, причем на каждом этапе в проксируемый порт также перенаправлялся трафик от «закладок» на хостах внутри сегмента. Получилось целое «дерево», «корни» которого уходили на сервер C2 в интернете.
Happy hunting!
#Hunt #C2 #Detect #DFIR #SIEM
@ptescalator
Что делают хакеры, когда интересующий их сегмент сети не имеет доступа в интернет, а подключиться к C2 очень хочется? Правильно: ищут хосты, которые смотрят в разные подсети, и пытаются пробросить каналы управления через них. Если атакуемая инфраструктура сильно сегментирована, такой канал может проходить через много узлов и принимать причудливые формы.
В одном из недавних кейсов хакеры использовали два метода для проброса канала, условно назовем их «простой» и «сложный».
Злоумышленники обнаружили хост, через который был возможен доступ из одной подсети в другую. Но был нюанс: попасть на этот хост можно было только через RDP (remote desktop — удаленный рабочий стол).
Хакеры нашли решение. На прослушивание порта
3389 они повесили своеобразный сплиттер трафика: настоящий трафик RDP перенаправлялся на порт 33389, а весь остальной трафик на порт 3389 проксировался дальше внутрь соседней подсети. Принадлежность пакета к RDP определялась по первым трем байтам — они должны быть равны 03 00 00.Настоящую службу RDP хакеры перевесили со стандартного порта
3389 на порт 33389. Таким образом, злоумышленники получили возможность передавать трафик между сегментами, при этом подключающиеся по RDP пользователи не видели никакой разницы.Присутствие такой утилиты на хосте выдают (помимо, собственно, наличия исполняемого файла на файловой системе) следующие признаки:
1️⃣ Изменение порта RDP на нестандартный (проверить порт можно в свойствах системы или с помощью команды
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber").2️⃣ Какой-то «левый» процесс слушает порт
3389.3️⃣ Подключения пользователей по RDP в такой схеме отображаются как исходящие от localhost. На практике мы видели только IP-адрес
127.0.0.1, но не стоит забывать о том, что вообще-то таких адресов целая подсеть, а еще есть варианты вроде ::1 или даже ::%16777216.Но имейте в виду, что поменять порт RDP мог админ, а подключения с локалхоста могут говорить и о других вещах, например о наличии туннелей 🙂
В этом варианте злоумышленники для проксирования трафика использовали функциональность Windows под названием Port Proxy.
В самом простом варианте этот инструмент позволяет создать простой маппинг «откуда пришел пакет — куда его отправить». Проще всего показать это на примере:
netsh interface portproxy add v4tov4 listenport=7000 connectaddress=example.com connectport=443 protocol=tcp
После выполнения этой команды хост начинает слушать порт
7000, а входящие TCP-соединения перенаправляет на example.com:443. Более подробно про эти функции можно почитать в документации Microsoft. Этот метод хорош тем, что не нужно использовать стороннее ПО. Основное ограничение метода заключается в том, что маппинг статичен, то есть позволяет организовать только жестко заданное перенаправление пакетов.
🕵️♀️ Как обнаружить использование такого способа
1️⃣ Детектировать запуск команды netsh interface portproxy add (например, в событиях
Sysmon 1 или Security 4688).Детект в MaxPatrol SIEM:
Execute_Malicious_Command2️⃣ По наличию в реестре ключей в ветке [
HKLM\SYSTEM\CurrentControlSet\Services\PortProxy\].Детект в MaxPatrol SIEM:
Port_Forwarding_or_Tunneling3️⃣ По появлению подозрительных слушающих портов или сетевых подключений у службы
IpHelper (процесс C:\Windows\System32\svchost.exe -k NetSvcs -p -s iphlpsvc).👉 Кстати, в том кейсе злоумышленники умудрились с помощью portproxy построить цепочку длиной в четыре хопа, причем на каждом этапе в проксируемый порт также перенаправлялся трафик от «закладок» на хостах внутри сегмента. Получилось целое «дерево», «корни» которого уходили на сервер C2 в интернете.
Happy hunting!
#Hunt #C2 #Detect #DFIR #SIEM
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM