Как стать автором
Обновить
20
0
Антон @AntonyN0p

Cybersecurity specialist, enthusiast, researcher

Отправить сообщение

Анализ фишинга с Venom RAT

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров1.6K

В начале апреля в организации Российской Федерации (и не только) пришли письма от неизвестного отправителя. В содержимом письма, кроме пожелания хорошего дня и просьбой ответить «скорее», находился RAR архив, а внутри архива *.bat файл.

После проверки содержимого в песочнице были предоставлены некоторые артефакты, указывая, что в письме явно содержится что-то подозрительное, но определить наверняка, вредонос это или нет СЗИ не удалось.

Зато были указаны некоторые составляющие bat файла: обфусцированные строки PowerShell.

Этого было достаточно чтобы начать анализ содержимого, найти IoC’и, и посмотреть на наличие таковых в трафике от организации.

К анализу.
Всего голосов 7: ↑7 и ↓0+8
Комментарии3

Приглашение с «сюрпризом»

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров4K

Закончился ежегодный CTF от HackTheBox Cyber Apocalypse 2024: Hacker Royale - After Party и конечно, там снова были интересные задания по форензике, которые удалось решить за отведённое на CTF время. В этом райтапе хочу поделиться решением задания "Game Invitation" по форензике уровня Hard. Заодно попрактиковаться в разборе фишинговых вложений и исследовании VBA-кода. 

К расследованию
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

Cyber Apocalypse 2023 (Relic Maps medium-level Forensics)

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.1K

В среду завершился CTF Cyber Apocalypse 2023 от Hack The Box, который проходил с 18.03 по 23.03. В рамках CTF участникам предлагали решить 74 задания в разных областях от PWN до Crypto и с разными уровнями сложности от very easy до insane.

С 23.03 по 26.03 началось After Party, а это значит, что самое время делиться Write-Up’ами =) 

Читать Write-Up
Всего голосов 1: ↑1 и ↓0+1
Комментарии2

Расследуем инциденты в дампе оперативной памяти Windows (GrrCon2016)

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров5.9K

В этой статье нам вновь предстоит провести расследование двух инцидентов в файлах виртуальных машин. Расследовать будем фишинговую атаку и заражение трояном, доберёмся до чужих переписок в дампах памяти, почитаем письма, изучим фишинговые вложения и другие артефакты в памяти.
Работать будем с известной многим утилитой volatility и её плагинами, а также с утилитами: readpst, mactime из TheSleuthKit и olevba из oletools.

К расследованию
Всего голосов 14: ↑14 и ↓0+14
Комментарии1

Разбор malware document by APT Twisted Panda

Время на прочтение7 мин
Количество просмотров2.1K

В этой статье мы попробуем подробно разобрать относительно свежий, но интересный вредоносный сэмпл APT группировки TwistedPanda.

Сэмпл от 2022-05-23, файл *.docm формата с Hash: 496b0b7f93a017b3e7931feac5c9ac1741d5081cfabafe19c14593093fd58c19, довольно подробный разбор бэкдора и вредоносных файлов описан в отчёте CheckPoint, но там не разобрано само вредоносное вложение *.docm ,которое использовалось в фишинговой кампании. Давайте это исправим.

Читать далее
Всего голосов 4: ↑3 и ↓1+3
Комментарии4

Привет Emotet! Заключительная 3-я часть.Продолжаем исследовать дамп оперативной памяти заражённый Emotet

Время на прочтение6 мин
Количество просмотров3.3K

Эта статья - продолжение серии статей "Привет Emotet!", заключительная её часть
Первую и вторую статьи вы можете найти здесь и здесь.

В данной статье, мы решили убрать в сторону плагины volalatility, автоматизирующие нашу работу и прогуляться по узким коридорам памяти, в поисках артефактов. Давайте начнём.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии4

Привет Emotet! Исследуем дамп оперативной памяти заражённый Emotet

Время на прочтение7 мин
Количество просмотров3.7K

Всем привет, как обещал в первой части статьи «Привет Emotet!», в данной статье мы приступим к расследованию инцидента в дампе оперативной памяти и заодно пройдём задание от cyberdefenders.org ответив на 10 несложных вопросов, а также узнаем как вредонос скрывает свою активность в скрытых процессах и как ему удаётся обходить средства защиты информации. Разберём распространённую атаку Direct Kernel Object Manipulation (DKOM), которая часто используется Rootkit’ами для скрытия своей активности.

Читать далее
Всего голосов 4: ↑3 и ↓1+2
Комментарии0

Привет Emotet! Исследуем вредоносный документ Excel

Время на прочтение4 мин
Количество просмотров8K

Исследуем вредоносный документ с вновь набирающим популярность трояном Emotet.

Основная цель моих статей: предоставить практически полезные способы обнаружения вредоносной активности в файлах, дампах и.т.д, а также поделиться знаниями, на поиск которых, у меня ушло достаточно много времени.

Статья выходит довольно обширная, в связи с этим будет состоять из двух частей, т.к. здесь я постараюсь доступно изложить исследование вредоносного документа формата Excel (такие документы сегодня используются в фишинговых кампаниях по всему миру для заражения трояном Emotet), а после исследования вредоносного документа решим задание от cyberdefenders.org, в котором нам предложат поковырять дамп оперативной памяти, с уже зараженного хоста, давайте приступать.

Читать далее
Всего голосов 19: ↑18 и ↓1+18
Комментарии15

Ресерч свежего Excel документа с Loki malware внутри

Время на прочтение3 мин
Количество просмотров8.6K

Вечер добрый, Хабр!

Решил немного изучить свежий сэмпл малваря LokiBot (31.08), который содержится в Excel документе и используется для фишинговой рассылки. В этой небольшой статье основное внимание уделено практической части поиска, извлечения и небольшого разбора поведения вредоноса. Надеюсь, что данная статья будет полезной с теоретической и практической точек зрения.

Читать далее
Всего голосов 16: ↑14 и ↓2+16
Комментарии14

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность

Специализация

Security Engineer
Lead
PostgreSQL
Python
Linux
SQL
OOP
C++
C
Assembler
Visual Studio