es
Feedback
Detection is easy

Detection is easy

Ir al canal en Telegram

chat: https://t.me/+BF4T6DOGv_UwYTBi contact: @siemmanager email: manager@detectioneasy.ru

Mostrar más
Rusia289 137Tecnologías y Aplicaciones38 562
1 261
Suscriptores
+124 horas
+297 días
+3530 días

Carga de datos en curso...

Canales Similares
Sin datos
¿Algún problema? Por favor, actualice la página o contacte a nuestro gerente de soporte.
Nube de Etiquetas
detection83
обнаружение81
реестр47
dll41
директория39
sysmon37
providername="microsoft36
endswith35
targetfilename27
скрипт23
загрузка22
eventid20
расширение18
строка18
хакер17
systemd16
write14
инцидент14
netsupport13
цепочка12
Menciones Entrantes y Salientes
---
---
---
---
---
---
Atraer Suscriptores
junio '26
junio '26
+35
en 0 canales
mayo '26
+21
en 0 canales
Get PRO
abril '26
+74
en 0 canales
Get PRO
marzo '26
+62
en 0 canales
Get PRO
febrero '26
+25
en 0 canales
Get PRO
enero '26
+47
en 0 canales
Get PRO
diciembre '25
+47
en 1 canales
Get PRO
noviembre '25
+60
en 2 canales
Get PRO
octubre '25
+58
en 1 canales
Get PRO
septiembre '25
+50
en 1 canales
Get PRO
agosto '25
+35
en 1 canales
Get PRO
julio '25
+82
en 0 canales
Get PRO
junio '25
+62
en 2 canales
Get PRO
mayo '25
+160
en 1 canales
Get PRO
abril '25
+108
en 3 canales
Get PRO
marzo '25
+417
en 3 canales
Get PRO
febrero '250
en 0 canales
Get PRO
enero '25
+39
en 1 canales
Fecha
Crecimiento de Suscriptores
Menciones
Canales
17 junio0
16 junio+1
15 junio+3
14 junio+22
13 junio+4
12 junio0
11 junio0
10 junio0
09 junio0
08 junio+1
07 junio+1
06 junio+2
05 junio0
04 junio0
03 junio0
02 junio+1
01 junio0
Publicaciones del Canal
Detection is easy
Всем привет 💻✌️ Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации 👨‍💻 Как это работает? 🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл ‍🔤В одной из цепочек внутри архива находился *.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя 🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe 🔭 Обнаружение: 🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности 🔤 хантим бинарь с подписью QILING Tech 🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file) 
process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "hh.exe" and
 process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")
#detection@detectioneasy #ttp@detectioneasy

2
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает улучшенный мониторинг безопасности и идентификацию устаревших зависимостей проверки подлинности NTLM. Ранее в новых ОС Windows при установке с нуля стали по умолчанию включать различные методы защиты от релей-атак, такие как EPA, SMB signing и LDAP-Channel Binding. Тем не менее, при апгрейде со старых версий ОС настройки будут оставаться прежние, и атаки будут работать. Поэтому обращаем внимание на новые события: — 4020 (Informational) — 4021 (Warning) "This machine attempted to authenticate to a remote resource via NTLM” — 4022 (Informational) — 4023 (Warning) “A remote client is using NTLM to authenticate to this workstation” Эти события можно использовать для детектирования coercing-атак либо для анализа  нетипичных  настроек NTLM-аутентификации. На скриншоте выше — как раз пример coercing-атаки: цепочка событий 4023 и 4021 с одного IP-адреса атакующего.
0
3
Всем привет 💻✌️ Автор статьи показал интересный способ доставки вредоносного ПО в обход предупреждений SmartScreen 👨‍💻 Как это работает? 🔤Цепочка довольно простая: zip -> vhdx -> trust.exe + malicious.dll 🔤 Пользователю доставляется архив, внутри которого находится образ диска VHDX 🔤 После открытия и монтирования образа, жертва видит легитимный ApplicationFrameHost.exe и вредоносную библиотеку UMPDC.dll Автор использует исполняемый файл с доверенной репутацией, чтобы обойти MotW 🔭 Обнаружение: 🔤 отслеживаем монтирование образов дисков VHD/VHDX/ISO/IMG 🔤 отслеживаем запуск исполняемых файлов с примонтированных образов и съемных носителей 🔤 отслеживаем загрузку неподписанных DLL рядом с системными файлами, расположенными в нетипичном пути 🔤 отслеживаем запуск системных файлов из пользовательских директорий, архивов, Temp и примонтированных образов #detection@detectioneasy #ttp@detectioneasy
0
Ver todas las publicaciones