اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
README.hta
رفتن به کانال در Telegram
Что-то из области информационной безопасности. Чаще реагирование, форензика и чаще на русском, но тут как пойдет Рекламу не размещаю Hope you enjoy! All opinions are my own @ant19ova
نمایش بیشتر3 168
مشترکین
اطلاعاتی وجود ندارد24 ساعت
+67 روز
+830 روز
در حال بارگیری داده...
کانالهای مشابه
ابر برچسبها
هیچ دادهای
مشکلی وجود دارد؟ لطفاً صفحه را تازه کنید یا با مدیر پشتیبانی ما تماس بگیرید.
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئن '26
ژوئن '26
+13
در 0 کانالها
مه '26
+31
در 0 کانالها
Get PRO
آوریل '26
+59
در 0 کانالها
Get PRO
مارس '26
+51
در 0 کانالها
Get PRO
فوریه '26
+59
در 0 کانالها
Get PRO
ژانویه '26
+58
در 0 کانالها
Get PRO
دسامبر '25
+55
در 1 کانالها
Get PRO
نوامبر '25
+58
در 1 کانالها
Get PRO
اکتبر '25
+152
در 3 کانالها
Get PRO
سپتامبر '25
+64
در 0 کانالها
Get PRO
اوت '25
+97
در 1 کانالها
Get PRO
ژوئیه '25
+144
در 8 کانالها
Get PRO
ژوئن '25
+134
در 2 کانالها
Get PRO
مه '25
+270
در 2 کانالها
Get PRO
آوریل '25
+135
در 0 کانالها
Get PRO
مارس '25
+390
در 18 کانالها
Get PRO
فوریه '25
+111
در 3 کانالها
Get PRO
ژانویه '25
+109
در 2 کانالها
Get PRO
دسامبر '24
+114
در 2 کانالها
Get PRO
نوامبر '24
+197
در 2 کانالها
Get PRO
اکتبر '24
+610
در 6 کانالها
Get PRO
سپتامبر '24
+145
در 8 کانالها
Get PRO
اوت '24
+69
در 0 کانالها
Get PRO
ژوئیه '24
+40
در 0 کانالها
Get PRO
ژوئن '24
+73
در 1 کانالها
Get PRO
مه '24
+103
در 1 کانالها
Get PRO
آوریل '24
+61
در 1 کانالها
Get PRO
مارس '24
+64
در 1 کانالها
Get PRO
فوریه '24
+228
در 1 کانالها
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 14 ژوئن | 0 | |||
| 13 ژوئن | 0 | |||
| 12 ژوئن | +1 | |||
| 11 ژوئن | +2 | |||
| 10 ژوئن | +2 | |||
| 09 ژوئن | 0 | |||
| 08 ژوئن | +3 | |||
| 07 ژوئن | 0 | |||
| 06 ژوئن | +2 | |||
| 05 ژوئن | 0 | |||
| 04 ژوئن | +2 | |||
| 03 ژوئن | 0 | |||
| 02 ژوئن | 0 | |||
| 01 ژوئن | +1 |
پستهای کانال
(если кратко, продолжать использовать ::%16777216 как индикатор атаки разрешается, но ресерч конечно мощный)
| 2 | yoprst_Грищенко_16777216.pdf | 1 516 |
| 3 | Частично пересмотрела записи с прошедшей ёпрст-конфы, из интересного: | 1 372 |
| 4 |  +7Добавила побольше информации на слайды, чтобы не терялась суть. Текста и так не по канонам много, поэтому подробности примеров из жизни останутся между нами с участниками митапа 🤫
Рабочие ссылки и исходный файл оставлю в описании | 1 422 |
| 5 | Что делаем? | 2 159 |
| 6 | Вчера был первый и последний ивент в этом году по некоторым приятным для меня причинам, на котором мне удалось поделиться чем-то важным (помимо вебинаров инсеки, есессна)
И да-да, зарекалась не выступать больше, но формат живого кулуарного общения соблазнил меня. Не буду скрывать, что чаще всего хожу на такие мероприятия с конкретной целью – познакомиться с новыми классными людьми. А иногда даже заранее прикидываю «список жертв» 😈
Ну так вот, слайды смотрим? Или все же посты? | 1 939 |
| 7 |  پیام ویدیو | 1 775 |
| 8 | ➖ Методы обнаружения:
• Нестандартные пути в InprocServer32 для системных CLSID (указывают не на System32).
• Наличие ключа TreatAs у системных COM-объектов DLL почти всегда являются признаком компрометации, так как легитимные установки Windows его не используют для системных компонентов.
• DLL, загруженные в svchost.exe или explorer.exe, расположенные вне System32 или Program Files — даже если DLL физически лежит в System32, но при этом не имеет подписи Microsoft или была создана недавно — это повод для углублённой проверки.
• Неподписанные DLL, загружаемые в контексте системных процессов или указанные в COM-объекте. Вредоносная DLL может находиться прямо в System32, но при этом у неё будет отсутствовать цифровая подпись Microsoft .
• Sysmon Event ID 13, 14 - отслеживать изменения в разделах HKLM(HKCU)\Software\Classes\CLSID\*\InprocServer32/ThreatAs
• Sysmon Event UD 7 (Image Load) - поиск загружаемых модулей по нестандартным путям.
COM Hijacking - скрытная техника, позволяющая злоумышленникам закрепляться в системе с высокими привилегиями, оставаясь незамеченными для многих средств защиты. Успешная реализация атаки требует глубокого понимания внутреннего устройства COM в Windows, тщательного выбора целевого объекта и корректной реализации DLL-прокси.
#forensics #comhijacking | 2 319 |
| 9 | 💡 COM Hijacking
Среди множества техник, используемых злоумышленниками для закрепления в скомпрометированных Windows-системах, особое место занимает COM Hijacking (перехват COM-объектов). Этот метод используется редко, т.к требует усилий при разработке DLL и привлекателен тем, что позволяет вредоносному коду выполняться в контексте доверенных системных процессов. В классификации MITRE ATT&CK данная техника имеет идентификатор T1546.015 и относится к тактикам закрепления (Persistence) и повышения привилегий (Privilege Escalation).
➖ Как работает COM Hijacking
COM (Component Object Model) — это фундаментальный механизм Windows, позволяющий приложениям создавать и использовать программные объекты, реализованные в отдельных DLL или EXE-файлах. Каждый COM-объект идентифицируется уникальным 128-битным идентификатором — CLSID (Class Identifier). Когда приложение вызывает CoCreateInstance с определённым CLSID, система обращается к реестру по пути: HKLM\Software\Classes\CLSID\{CLSID}\InprocServer32. В значении по умолчанию этого ключа указан путь к DLL, которая реализует запрошенный COM-объект. Windows загружает эту DLL и вызывает её экспортируемую функцию DllGetClassObject для создания экземпляра объекта.
➖ Суть перехвата
Злоумышленник заменяет или перенаправляет эту запись в реестре, указывая путь к своей вредоносной DLL. Когда легитимное приложение (или системный компонент) запрашивает COM-объект, система загружает DLL злоумышленника, предоставляя ему возможность выполнить свой код.
Существует два основных метода перехвата:
• Прямая подмена — изменение пути DLL в ключе HKLM\Software\Classes\CLSID\{CLSID}\InprocServer32
• TreatAs — cоздание ключа TreatAs в оригинальной записи COM, перенаправляющего вызов на другой CLSID, содержащий путь к вредоносной DLL
Успех атаки напрямую зависит от правильного выбора цели. Не каждый COM-объект подходит для перехвата.
Известные COM-объекты:
• {DCB00C01-570F-4A9B-8D69-199FDBA5723B} Network List Manager (netprofm) — активируется при смене сетевого подключения, загрузки системы.
• {9BA05972-F6A8-11CF-A442-00A0C90A8F39} Shell Windows (оболочка) — открытие папок в проводнике.
• {00024500-0000-0000-C000-000000000046} Microsoft Office — контекстное меню в Explorer.
* {C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6} Immersive Shell — вход пользователя в систему.
Как искать COM-объекты для перехвата можно прочитать в блоге SpecterOps.
➖ Архитектура вредоносной DLL для COM Hijacking
Создание корректно работающей DLL-прокси — ключевой этап атаки. Библиотека должна не только выполнить вредоносный код, но и сохранить работоспособность оригинального COM-объекта, чтобы система продолжала функционировать штатно.
Вредоносная DLL должна удовлетворять следующим требованиям:
• Экспортировать стандартные COM-функции: DllGetClassObject — обязательная (вызывается системой для получения фабрики классов), DllCanUnloadNow — опционально (определяет, можно ли выгрузить DLL), DllRegisterServer / DllUnregisterServer — опционально (для саморегистрации).
• Загружать оригинальную DLL (ту, которую она подменяет).
• Проксировать вызовы — передавать управление оригинальным функциям после выполнения своего кода
• Быть устойчивой к повторной загрузке — корректно обрабатывать ситуацию, когда DllGetClassObject вызывается несколько раз.
Чтобы не привлекать внимание, вредоносная DLL часто получает имя, похожее на оригинальную библиотеку. Например, при подмене netprofm.dll злоумышленник может назвать свою DLL netprofm64.dll или разместить ее в другом каталоге.
#forensics #comhijacking | 1 756 |
| 10 | Я редко делаю репосты, но если да, то значит это прям оно.
Мы в один момент тоже не хило поломали голову, обдумывая способы, как детектить и находить такое в ретроспективе, не говоря уж о том что сейчас техника прям пользуется особой популярностью itw | 1 561 |
