Detection is easy
رفتن به کانال در Telegram
chat: https://t.me/+BF4T6DOGv_UwYTBi contact: @siemmanager email: manager@detectioneasy.ru
نمایش بیشتر1 267
مشترکین
+124 ساعت
+47 روز
+3530 روز
در حال بارگیری داده...
کانالهای مشابه
هیچ دادهای
مشکلی وجود دارد؟ لطفاً صفحه را تازه کنید یا با مدیر پشتیبانی ما تماس بگیرید.
ابر برچسبها
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئیه '26
ژوئیه '26
+4
در 0 کانالها
ژوئن '26
+45
در 0 کانالها
Get PRO
مه '26
+21
در 0 کانالها
Get PRO
آوریل '26
+74
در 0 کانالها
Get PRO
مارس '26
+62
در 0 کانالها
Get PRO
فوریه '26
+25
در 0 کانالها
Get PRO
ژانویه '26
+47
در 0 کانالها
Get PRO
دسامبر '25
+47
در 1 کانالها
Get PRO
نوامبر '25
+60
در 2 کانالها
Get PRO
اکتبر '25
+58
در 1 کانالها
Get PRO
سپتامبر '25
+50
در 1 کانالها
Get PRO
اوت '25
+35
در 1 کانالها
Get PRO
ژوئیه '25
+82
در 0 کانالها
Get PRO
ژوئن '25
+62
در 2 کانالها
Get PRO
مه '25
+160
در 1 کانالها
Get PRO
آوریل '25
+108
در 3 کانالها
Get PRO
مارس '25
+417
در 3 کانالها
Get PRO
فوریه '250
در 0 کانالها
Get PRO
ژانویه '25
+39
در 1 کانالها
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 07 ژوئیه | +1 | |||
| 06 ژوئیه | +2 | |||
| 05 ژوئیه | +1 | |||
| 04 ژوئیه | 0 | |||
| 03 ژوئیه | 0 | |||
| 02 ژوئیه | 0 | |||
| 01 ژوئیه | 0 |
پستهای کانال
Всем привет 💻✌️
Коллеги из PT ESC разобрали кампанию CapFix, нацеленную на российские организации
👨💻 Как это работает?
🔤Основный вектор получения доступа фишинг с PDF/HTML-приманками, которые побуждают скачать файл
🔤В одной из цепочек внутри архива находился
*.chm, который скачивал файл a.gif с скомпрометированного легитимного домена, переименовывал его в dmitry_medvedev.msi и открывал легитимный PDF-документ для отвлечения пользователя
🔤*.msi был подписан QILING Tech и создавал директорию C:\Users\admin\AppData\Local\Disk Master с множеством dll-файлов, и уязвимым к DLL sideloading MetadataConvert.exe
🔭 Обнаружение:
🔤 ищем переименованные файлы (с неисполняемого расширения в исполняемое) в $mft и $UsnJrnl:$J, кластеризируем по критичности
🔤 хантим бинарь с подписью QILING Tech
🔤 отслеживаем цепочку процессов (пример правила из eql - execution_via_compiled_html_file)
process where host.os.type == "windows" and event.type == "start" and
process.parent.name : "hh.exe" and
process.name : ("mshta.exe", "cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe", "cscript.exe", "wscript.exe")
#detection@detectioneasy
#ttp@detectioneasy| 2 | В Windows 11 версии 24H2 и Windows Server 2025 добавлены новая политика и события аудита NTLM. Расширенный аудит поддерживает улучшенный мониторинг безопасности и идентификацию устаревших зависимостей проверки подлинности NTLM.
Ранее в новых ОС Windows при установке с нуля стали по умолчанию включать различные методы защиты от релей-атак, такие как EPA, SMB signing и LDAP-Channel Binding. Тем не менее, при апгрейде со старых версий ОС настройки будут оставаться прежние, и атаки будут работать.
Поэтому обращаем внимание на новые события:
— 4020 (Informational)
— 4021 (Warning) "This machine attempted to authenticate to a remote resource via NTLM”
— 4022 (Informational)
— 4023 (Warning) “A remote client is using NTLM to authenticate to this workstation”
Эти события можно использовать для детектирования coercing-атак либо для анализа нетипичных настроек NTLM-аутентификации.
На скриншоте выше — как раз пример coercing-атаки: цепочка событий 4023 и 4021 с одного IP-адреса атакующего. | 0 |
اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
