现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Detection is easy
前往频道在 Telegram
chat: https://t.me/+BF4T6DOGv_UwYTBi contact: @siemmanager email: manager@detectioneasy.ru
显示更多1 235
订阅者
-124 小时
+27 天
+530 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+9
在0个频道中
五月 '26
+21
在0个频道中
Get PRO
四月 '26
+74
在0个频道中
Get PRO
三月 '26
+62
在0个频道中
Get PRO
二月 '26
+25
在0个频道中
Get PRO
一月 '26
+47
在0个频道中
Get PRO
十二月 '25
+47
在1个频道中
Get PRO
十一月 '25
+60
在2个频道中
Get PRO
十月 '25
+58
在1个频道中
Get PRO
九月 '25
+50
在1个频道中
Get PRO
八月 '25
+35
在1个频道中
Get PRO
七月 '25
+82
在0个频道中
Get PRO
六月 '25
+62
在2个频道中
Get PRO
五月 '25
+160
在1个频道中
Get PRO
四月 '25
+108
在3个频道中
Get PRO
三月 '25
+417
在3个频道中
Get PRO
二月 '250
在0个频道中
Get PRO
一月 '25
+39
在1个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 13 六月 | +4 | |||
| 12 六月 | 0 | |||
| 11 六月 | 0 | |||
| 10 六月 | 0 | |||
| 09 六月 | 0 | |||
| 08 六月 | +1 | |||
| 07 六月 | +1 | |||
| 06 六月 | +2 | |||
| 05 六月 | 0 | |||
| 04 六月 | 0 | |||
| 03 六月 | 0 | |||
| 02 六月 | +1 | |||
| 01 六月 | 0 |
频道帖子
Всем привет 💻✌️
Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации
👨💻 Как это работает?
🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл
🔤В одной из цепочек внутри архива находился
*.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя
🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe
🔭 Обнаружение:
🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности
🔤 хантим бинарь с подписью QILING Tech
🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file)
process where host.os.type == "windows" and event.type == "start" and
process.parent.name : "hh.exe" and
process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")
#detection@detectioneasy
#ttp@detectioneasy| 2 |  В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает улучшенный мониторинг безопасности и идентификацию устаревших зависимостей проверки подлинности NTLM.
Ранее в новых ОС Windows при установке с нуля стали по умолчанию включать различные методы защиты от релей-атак, такие как EPA, SMB signing и LDAP-Channel Binding. Тем не менее, при апгрейде со старых версий ОС настройки будут оставаться прежние, и атаки будут работать.
Поэтому обращаем внимание на новые события:
— 4020 (Informational)
— 4021 (Warning) "This machine attempted to authenticate to a remote resource via NTLM”
— 4022 (Informational)
— 4023 (Warning) “A remote client is using NTLM to authenticate to this workstation”
Эти события можно использовать для детектирования coercing-атак либо для анализа нетипичных настроек NTLM-аутентификации.
На скриншоте выше — как раз пример coercing-атаки: цепочка событий 4023 и 4021 с одного IP-адреса атакующего. | 0 |
| 3 | Всем привет 💻✌️
Автор статьи показал интересный способ доставки вредоносного ПО в обход предупреждений SmartScreen
👨💻 Как это работает?
🔤Цепочка довольно простая: zip -> vhdx -> trust.exe + malicious.dll
🔤 Пользователю доставляется архив, внутри которого находится образ диска VHDX
🔤 После открытия и монтирования образа, жертва видит легитимный ApplicationFrameHost.exe и вредоносную библиотеку UMPDC.dll
Автор использует исполняемый файл с доверенной репутацией, чтобы обойти MotW
🔭 Обнаружение:
🔤 отслеживаем монтирование образов дисков VHD/VHDX/ISO/IMG
🔤 отслеживаем запуск исполняемых файлов с примонтированных образов и съемных носителей
🔤 отслеживаем загрузку неподписанных DLL рядом с системными файлами, расположенными в нетипичном пути
🔤 отслеживаем запуск системных файлов из пользовательских директорий, архивов, Temp и примонтированных образов
#detection@detectioneasy
#ttp@detectioneasy | 0 |
