ch
Feedback
Detection is easy

Detection is easy

前往频道在 Telegram
1 267
订阅者
+124 小时
+47
+3530
吸引订阅者
七月 '26
七月 '26
+4
在0个频道中
六月 '26
+45
在0个频道中
Get PRO
五月 '26
+21
在0个频道中
Get PRO
四月 '26
+74
在0个频道中
Get PRO
三月 '26
+62
在0个频道中
Get PRO
二月 '26
+25
在0个频道中
Get PRO
一月 '26
+47
在0个频道中
Get PRO
十二月 '25
+47
在1个频道中
Get PRO
十一月 '25
+60
在2个频道中
Get PRO
十月 '25
+58
在1个频道中
Get PRO
九月 '25
+50
在1个频道中
Get PRO
八月 '25
+35
在1个频道中
Get PRO
七月 '25
+82
在0个频道中
Get PRO
六月 '25
+62
在2个频道中
Get PRO
五月 '25
+160
在1个频道中
Get PRO
四月 '25
+108
在3个频道中
Get PRO
三月 '25
+417
在3个频道中
Get PRO
二月 '250
在0个频道中
Get PRO
一月 '25
+39
在1个频道中
日期
订阅者增长
提及
频道
07 七月+1
06 七月+2
05 七月+1
04 七月0
03 七月0
02 七月0
01 七月0
频道帖子
Всем привет 💻✌️ Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации 👨‍💻 Как это работает? 🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл ‍🔤В одной из цепочек внутри архива находился *.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя 🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe 🔭 Обнаружение: 🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности 🔤 хантим бинарь с подписью QILING Tech 🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file)
process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "hh.exe" and
 process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")
#detection@detectioneasy #ttp@detectioneasy

2
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает улучшенный мониторинг безопасности и идентификацию устаревших зависимостей проверки подлинности NTLM. Ранее в новых ОС Windows при установке с нуля стали по умолчанию включать различные методы защиты от релей-атак, такие как EPA, SMB signing и LDAP-Channel Binding. Тем не менее, при апгрейде со старых версий ОС настройки будут оставаться прежние, и атаки будут работать. Поэтому обращаем внимание на новые события: — 4020 (Informational) — 4021 (Warning) "This machine attempted to authenticate to a remote resource via NTLM” — 4022 (Informational) — 4023 (Warning) “A remote client is using NTLM to authenticate to this workstation” Эти события можно использовать для детектирования coercing-атак либо для анализа  нетипичных  настроек NTLM-аутентификации. На скриншоте выше — как раз пример coercing-атаки: цепочка событий 4023 и 4021 с одного IP-адреса атакующего.
0