Как стать автором
Обновить

Компания R-Vision временно не ведёт блог на Хабре

Сначала показывать

Детектируем горизонтальное перемещение с DCOMExec

Уровень сложности Средний
Время на прочтение 12 мин
Количество просмотров 1.3K

Привет, Хабр!

Меня зовут Валерия Мавлютова, я младший аналитик-исследователь киберугроз в компании R-Vision. Эта статья является продолжением серии материалов об инструментах для горизонтального перемещения и посвящена достаточно объемному с точки зрения используемых методов — инструменту DCOMExec. Ранее мы уже подробно разобрали такие инструменты, как PsExec, SMBExec и AtExec.

Как обычно, сегодня мы посмотрим, на чем строится работа данного инструмента, проанализируем возможные источники полезной информации для построения возможного способа детектирования и предложим свой вариант обнаружения его эксплуатации.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 0

Детектирование атак на контейнеры с помощью eBPF

Уровень сложности Средний
Время на прочтение 14 мин
Количество просмотров 3K

Привет, Хабр!

Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-контейнеров на Linux-системах.

eBPF (extended Berkeley Packet Filter) — это технология, которая предоставляет программный интерфейс в ядре Linux для обработки его событий в режиме реального времени. Он позволяет загружать и выполнять пользовательские программы в ядре без необходимости модификации самого ядра. Программы выполняются в виртуальной машине, что не позволяет ошибке в пользовательской программе повлиять на всю систему.

Используя возможности eBPF, мы можем отслеживать любое (или почти любое) взаимодействие в системе на уровне ядра, "присоединяясь" к вызовам системных функций, и получать информацию о них: контекст, аргументы, выходные значения и другие. Также на уровне пользователя можно добавить дополнительную логику для обработки этих данных.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Детектируем горизонтальное перемещение с WMIExec

Уровень сложности Средний
Время на прочтение 10 мин
Количество просмотров 2.4K

Привет, Хабр!

Ранее мы рассказывали о возможных способах выявления горизонтального перемещения (Lateral Movement) с помощью таких инструментов, как PsExec, SMBExec и AtExec. Сегодня мы продолжим "работать" с данной техникой и рассмотрим еще один инструмент - WMIExec. В статье мы разберем его принципы работы, а также покажем возможный способ детектирования инструмента как в теории, так и на практике.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 4

Тайная жизнь COM: анализ событий и стратегии детектирования

Уровень сложности Средний
Время на прочтение 8 мин
Количество просмотров 1.8K

Привет, Хабр!

Сегодня я продолжу рассказывать про Component Object Model (COM) и атаку COM Hijacking.

В предыдущей части "Тайная жизнь COM: погружение в методы hijacking" я разобрала способы hijacking, а из первой статьи мы также узнали, что вызов этой полезной нагрузки может происходить по расписанию в случае с запланированной задачи или при запуске пользователем какого-либо ПО.

Но у вас может возникнуть вопрос, а что, если я хочу самостоятельно вызывать COM-объект, не дожидаясь каких-либо сторонних событий? Предвосхищая его, в этой статье я как раз и хочу рассказать вам немного об этом, а после мы рассмотрим, как можно детектировать атаку COM Hijacking.

И предлагаю начать со способов запуска COM-объектов штатными средствами Windows.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

SIEM. Маркетинг VS «Поля»: результаты опроса

Уровень сложности Простой
Время на прочтение 9 мин
Количество просмотров 2.7K

Привет, Хабр!

Мое приключение началось с того, что я поймал очередную двухполюсную волну, похожую на всем известное расстройство. С одной стороны, маркетинг вендоров рапортует, что SIEM системы - это сердце SOC, новый век наступил и текущий уровень развития решений этого класса настолько высок и зрел, что его внедрение разом избавит всех от неприятностей. С другой стороны, эксплуатанты и внедренцы SIEM систем, с которыми я пересекаюсь, говорят, что везде боль, тлен и безысходность.

Так кто же на самом деле прав? Чтобы ответить себе на этот вопрос, я решил провести небольшое исследование среди специалистов по своему роду деятельности так или иначе связанных с разработкой, внедрением и эксплуатацией SIEM систем. И в этой статье я хочу поделиться с сообществом его результатами.

Много букв
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 1

Hello, it's me, Zerologon: разбор эксплойтов и поиск улик

Время на прочтение 14 мин
Количество просмотров 2.5K

Привет, Хабр!

В предыдущей статье мы разобрали логику работы протокола Netlogon и выяснили, в чем заключается возможность эксплуатации уязвимости Zerologon, приводящей к смене пароля компьютерной учетной записи контроллера домена.

В этой части мы разберем инструменты для проведения атаки и их кодовую базу, а также посмотрим какие источники логов будут наиболее полезны для построения возможного детекта и затем уже предложим возможные варианты детектирования.

Предлагаю начать с популярного инструмента Mimikatz.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Hello, it's me, Zerologon: разоблачение секрета аутентификации

Уровень сложности Простой
Время на прочтение 9 мин
Количество просмотров 2.9K

Привет! Меня зовут Лера, я младший аналитик-исследователь киберугроз в компании R-Vision.

В этой серии статей я хочу поделиться исследованием уже не новой , но согласно статистике все еще применяемой в атаках критической уязвимости CVE-2020-1472 или Zerologon, которая позволяет атакующему изменить пароль компьютерной учетной записи контроллера домена и получить доступ к содержимому Active Directory. Эксплуатация возможна на следующих не пропатченных версиях Windows Server: 2008 R2, 2012, 2012R2, 2016, 2019. В версии Windows Server 2022 данная уязвимость уже исправлена. Для реализации атаки достаточно наличия сетевой связности с устройства, к которому имеет доступ атакующий, до уязвимого контроллера домена.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 2

Детектируем горизонтальное перемещение с SMBExec и AtExec

Уровень сложности Простой
Время на прочтение 10 мин
Количество просмотров 2.8K

Привет, Хабр!

Сегодня мы бы хотели продолжить наш рассказ о различных инструментах горизонтального перемещения. И на этот раз мы затронем не слишком сложные (говоря об исполнении атаки), но все еще довольно распространенные инструменты: SMBExec и AtExec , разберем их принцип работы и возможный вариант их детектирования как в теории так и на практике.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Тайная жизнь COM: погружение в методы Hijacking

Уровень сложности Средний
Время на прочтение 10 мин
Количество просмотров 2.8K

Привет, хабр!


Сегодня я продолжу рассказывать о Component Object Model (COM). В прошлой статье мы разобрали различные аспекты хранения COM-объектов в реестре, а также изучили стратегии, которыми может пользоваться злоумышленник для выбора объекта с целью последующей атаки COM Hijacking.

COM Hijacking - это атака, позволяющая атакующему перехватить выполнение легитимного COM-объекта и заменить его на свой вредоносный, например на шелл, который будет устанавливать связь с C2 сервером. Атакующий выбирает, как правило, часто выполняющийся COM-объект, таким образом, осуществляется закрепление в системе.

Сегодня мы рассмотрим основной этап атаки - это способы перехвата и подмены COM-объекта на вредоносный.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 4

Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки

Уровень сложности Средний
Время на прочтение 12 мин
Количество просмотров 6.6K

Анализируя отчеты по разбору вредоносного ПО приходишь к выводу, что одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015). Примером такого вредоносного ПО является Fancy Bear или Jumplump. Таким образом, становится очень важно команде Blue Team уметь детектировать данный вид атаки. Поэтому было принято решение выпустить серию статей, посвященных технологии Component Object Model, разбору атаки COM Hijacking и ее детектированию.

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Комментарии 3

Разбор и обнаружение уязвимости OverlayFS (CVE-2023-0386)

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 3.7K

Всем привет!
Совсем недавно в ядре линукс была обнаружена критичная уязвимость, позволяющая повышать привилегии до уровня root. Она получила идентификатор CVE-2023-0386 и затронула версии ядра до 6.2. В интернете уже есть несколько доступных PoC:
https://github.com/CKevens/CVE-2023-0386
https://github.com/xkaneiki/CVE-2023-0386
В этой статье я хотел рассмотреть принцип работы данной уязвимости и возможные варианты ее обнаружения.

Читать далее
Всего голосов 13: ↑12 и ↓1 +11
Комментарии 0

eBPF в руках атакующего: обнаружение вредоносных модулей

Уровень сложности Средний
Время на прочтение 11 мин
Количество просмотров 2.6K

Привет, Хабр!

Технология eBPF становится все более популярной и используются во многих приложениях для Linux. В нашей статье Анализ и обнаружение Dirty Pipe мы коснулись темы eBPF и как он может помочь при обнаружении эксплуатации уязвимостей ядра. Но инструмент с такими возможностями непременно заинтересует и злоумышленников. В этой статье мы рассмотрим, каким образом атакующие могут использовать eBPF и как можно их обнаружить.

Для загрузки eBPF модуля необходимы права root или привилегии CAP_BPF. Поэтому в основном злоумышленники используют данные программы для закрепления или сокрытия вредоносного ПО в системе. Для этого используются различные наборы инструментов, основанных на eBPF. В данной статье мы рассмотрим известные вредоносные eBPF инструменты и возможные способы детектирования.

В открытом доступе есть различное вредоносное ПО, основанное на eBPF, мы выбрали наиболее многофункциональные:


https://github.com/Gui774ume/ebpfkit
https://github.com/pathtofile/bad-bpf
https://github.com/krisnova/boopkit
https://github.com/h3xduck/TripleCross


Данные инструменты имеют множество различных функций, которые вы бы вряд ли хотели увидеть у себя в инфраструктуре. Их возможности могут вас удивить, так как они могут:

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 2

Детектируем горизонтальное перемещение с PsExec

Время на прочтение 9 мин
Количество просмотров 7.5K

Привет, Хабр!

Сегодня мы хотели бы поговорить о Lateral Movement - тактике, активно используемой злоумышленниками для продвижения по сети. Часто во время атак или тестирований на проникновение атакующие перемещаются не вверх по привилегиям, а вбок по машинам, "перескакивая" от одной машины к другой. Это нужно для получения информации, находящейся на специфичной машине, а также для расширения доступов и влияния на сетевую инфраструктуру. Такая тактика называется Lateral Movement, что переводится как "Горизонтальное Перемещение". Часто этот термин употребляется в контексте целевых атак, однако перемещаться по сети может и вредоносное ПО.

Попав во внутренний периметр сети, атакующий может предпринять различные варианты действий для дальнейшего перемещения: внутренний фишинг, нацеленный на компрометацию учеток с более высокими привилегиями, передачу инструментов или вредоносных файлов между системами в скомпрометированной среде, внутреннее сетевое сканирование для обнаружения уязвимого программного обеспечения, открытых портов и многое другое.

Согласно годовому отчету от коллег из DFIR, одной из наиболее распространенных техник бокового перемещения является техника использования протоколов удаленного подключения RDP и SSH. Но здесь мы не будем углубляться в их исследование, так как при использовании этих протоколов поведение злоумышленника обычно не отличается от легитимной деятельности пользователей. Чего нельзя сказать о случаях использования инструментов, при которых атака будет иметь свои чёткие признаки.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 10

Анализ и обнаружение Dirty Pipe

Уровень сложности Средний
Время на прочтение 12 мин
Количество просмотров 2.8K

Привет, Хабр!

Я, Алексей, исследователь‑аналитик киберугроз в компании R‑Vision. Сегодня мы с вами поговорим об уязвимости DirtyPipe CVE-2022-0847 и рассмотрим возможные способы обнаружения эксплуатации данной уязвимости.

Критичные уязвимости Linux ядра выходят не так часто, но при этом несут особую опасность, так как затрагивают сразу множество дистрибутивов, работающие на уязвимой версии ядра. Зачастую данные уязвимости могут быть проэксплуатированы даже из "ограниченных" сред контейнеров, если на хостах не настроены дополнительные политики безопасности (hardening). Для их устранения обычно требуется обновить само ядро, что может быть нести порой большие риски для промышленных систем. Одна из таких - DirtyPipe.

Данная уязвимость публично была раскрыта в марте 2022 и затронула версии Linux ядра начиная с версии 5.8, и была исправлена в версиях 5.16.11, 5.15.25, and 5.10.102. Данные версии ядра популярны во многих известных дистрибутивах, включая тот же Android. И хоть с момента выхода патчей прошло достаточно времени, далеко не во всех компаниях они установлены.

В статье мы рассмотрим основные способы анализа и возможные способы детектирования с использованием auditd и модулей eBPF, которые в целом можно будет также применять и к другим уязвимостям.

Уязвимость позволяет непривилегированному (non-root) пользователю вносить изменения в файл, который доступен только для чтения, то есть файл имеет права read для текущего пользователя. По сути это позволяет получить root'a разными способами. При построении возможно детектирования мы не будем заострять внимание на пост эксплуатационных шагах, а рассмотрим, как можно мониторить обращения к ядру, чтобы распознать попытки эксплуатации.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 2

Незримые Scheduled Tasks

Уровень сложности Средний
Время на прочтение 14 мин
Количество просмотров 7.2K

Привет, Хабр!

Многие передовые компании в области информационной безопасности в конце 2022 подвели итоги года по самым популярным техникам MITRE ATT&CK, используемым атакующими. Один из таких отчетов по обнаруженным угрозам был предоставлен RedCanary, а другой Лабораторией Касперского, согласно которым одной из наиболее популярных техник закрепления в системе является Scheduled Task(T1053.005) или, говоря русским языком, запланированная задача. На сегодняшний день существует много известных способов проведения данной техники: стандартная оснастка Task Scheduler от Microsoft, утилита schtasks, а также Poweshell командлеты, которые в свою очередь опираются на RPC-функции и др.

В данной статье хочу рассказать вам о нестандартном способе проведения техники Scheduled Task с помощью удаленного реестра (Remote Registry). После чего я представлю возможный вариант детектирования данного способа и попытаюсь раскрыть все сложности, с которыми придется столкнуться в процессе.

Предлагаю начать и сперва ознакомиться с тем, что собой представляет Scheduled Task.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 4

RPC и способы его мониторинга

Уровень сложности Средний
Время на прочтение 19 мин
Количество просмотров 27K

Всем привет!

Мы - команда исследователей-аналитиков киберугроз в компании R-Vision. Одной из наших задач является исследование возможных альтернативных и дополнительных источников событий для более точного детектирования атак.

И сегодня мы затронем такую тему мониторинга RPC. В статье мы рассмотрим возможные варианты логирования удаленных вызовов функций и процедур Microsoft Remote Procedure Call (MS-RPC), связанных с актуальными и популярными на сегодняшний день атаками.

Но вначале, разберемся в чем заключается базовая работа RPC и на каких механизмах она основывается. Это поможет нам понять какую информацию нам необходимо собирать и отслеживать при детектировании атак, связанных с удаленным вызовом процедур.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 2

DCSync: особенности выполнения атаки и возможные варианты детектирования, Часть 2

Время на прочтение 7 мин
Количество просмотров 4.5K

Привет, Хабр!

В предущей статье мы разобрали основы и механизмы работы атаки DCSync, а также рассмотрели несколько наиболее популярных утилит для ее реализации: mimikatz, secretsdump, DSInternals и существующие между ними различия. В результате анализа стало понятно, что у всех утилит прослеживается один и тот же принцип проведения атаки и присутствует одинаковый фактор для ее выявления - DRSReplicaSync.

В этой части я сфокусируюсь на потенциальных способах детектирования DCSync.
Для построения возможной логики детектирования для начала нам необходимо изучить какие события в журналах Windows и на уровне мы можем зафиксировать в результате запуска утилит.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 7

DCSync: особенности выполнения атаки и возможные варианты детектирования, Часть 1

Время на прочтение 17 мин
Количество просмотров 12K

DCSync - атака, позволяющая злоумышленнику выдавать себя за контроллер домена (DC, domain controller) с целью получения учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации.
В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC).

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

Разбор вредоносных файлов APT Kimsuky

Время на прочтение 5 мин
Количество просмотров 1.9K

Доброго времени суток, Хабр!

В этой статье я продолжу исследование вредоносного ПО на реальных сэмплах, используемых различными АРТ-группировками, в частности группировки Kimsuky. APT Kimsuky известна своими фишинговыми кампаниями с целью проникновения в организации и кибершпионажа. В этом году злоумышленники активно работали и на территории Российской Федерации.

Я не буду углубляться в описание всех тактик и инструментов данной группировки, которые постоянно развиваются и о которых уже было сделано достаточно исследований, доступных в открытых источниках. Основное внимание будет уделено практической части – расследованию инцидента, связанного с распространением Kimsuky вредоносных документов форматов Power Point и Microsoft Office Word.

Давайте приступим.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

UAC Bypass и вариации на тему детектирования, Часть 2

Время на прочтение 14 мин
Количество просмотров 3.5K

Всем привет!

В этой части мы разберем методы обхода UAC в более прикладном ключе. Для этого мы выделили 7 разных методов, которые считаем наиболее интересными. В первой части статьи мы увидели, что не все способы покрываются классификацией, которая была представлена, в частности методы 38, 55 и 59. Ранее о них уже также было упоминание. Поэтому здесь мы рассмотрим как и те методы, которые попали в нашу классификацию, так и те, которые не попали.

Прежде всего нам нужно детально разобраться в методах, к которым мы попытаемся применить. Поэтому дальше мы рассмотрим шаги выполнения выбранных методов UAC Bypass, после чего предоставим возможные варианты их детектирования.
Для удобства навигации и понимания, где и какой метод что использует, воспользуемся следующей таблицей. Номера методов по обходу UAC мы взяли с ресурса UACMe.

В предыдущей части мы рассмотрели основные способы обхода UAC, которые используют в своей основе DLL Hijacking, Registry, COM, привели небольшой обзор источников событий и возможный вариант по детектированию UAC Bypass, который базируется на базе COM.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 22