А вот какие интересные ресерчи были на этой неделе:
1. Описание инструментов, включая PowerLess Backdoor, которое использует иранская APT35;
2. Анализ стилера Mars (модернизированный Oski);
3. Описание тактики группы Gamaredon (или Armageddon) при атаках на Украину.
4. Разбор нового трояна группы Lasarus (она же APT38);
И два крутейших отчета от Cisco Talos:
5. Описание тактики иранской группы MuddyWater при атаках на Турцию;
6. Описание тактики, а также импланта Micropsia, группы AridViper (APT-C-23) в этот раз атаковавшей пакистанских политиков.
#apt #malware #research #redteam #blueteam #pentest
1. Описание инструментов, включая PowerLess Backdoor, которое использует иранская APT35;
2. Анализ стилера Mars (модернизированный Oski);
3. Описание тактики группы Gamaredon (или Armageddon) при атаках на Украину.
4. Разбор нового трояна группы Lasarus (она же APT38);
И два крутейших отчета от Cisco Talos:
5. Описание тактики иранской группы MuddyWater при атаках на Турцию;
6. Описание тактики, а также импланта Micropsia, группы AridViper (APT-C-23) в этот раз атаковавшей пакистанских политиков.
#apt #malware #research #redteam #blueteam #pentest
Вот на что я обратил внимание в этот раз)
1. Cybereason проанализировали шифровальщик Lorenz;
2. Они же проанализировали работу трех лоадеров IcedID, QBot и Emotet загружающих нагрузку Cobalt Strike;
3. Так же описание QBot было приведено The DFIR Report;
4. Подробный анализ малвари N-W0rm;
5. Крутая работа Cisco Talos. В данной работе они описали связь между VBA загрузчиками и группой Transparent Tribe (пакистанская APT36);
6. Очень глубокий и крутой анализ стилера Vidar;
ну и бонусом: доклад про новые методы обхода песочниц (указаны Cuckoo и CAPE)
#apt #malware #research #redteam #blueteam #pentest
1. Cybereason проанализировали шифровальщик Lorenz;
2. Они же проанализировали работу трех лоадеров IcedID, QBot и Emotet загружающих нагрузку Cobalt Strike;
3. Так же описание QBot было приведено The DFIR Report;
4. Подробный анализ малвари N-W0rm;
5. Крутая работа Cisco Talos. В данной работе они описали связь между VBA загрузчиками и группой Transparent Tribe (пакистанская APT36);
6. Очень глубокий и крутой анализ стилера Vidar;
ну и бонусом: доклад про новые методы обхода песочниц (указаны Cuckoo и CAPE)
#apt #malware #research #redteam #blueteam #pentest
Что по ресерчам? а вот и они:
1. Разбор тактики и инструментов, использованных при атаке на медиа корпорации Ирана;
2. Описание инструментов и тактики группы TA2541;
3. Анализ лоадера MATANBUCHUS;
4. Анализ лоадера Bazarloader;
5. Анализ лоадера Hancitor;
6. Описание работы бесфайлового лоадера Netwalker;
7. Подробное описание AsyncRAT;
8. Отчет, в котором рассмотрен новый способ доставки малвари Emotet;
9. Глубокий анализ малвари Kovter
#apt #malware #research #redteam #blueteam #pentest
1. Разбор тактики и инструментов, использованных при атаке на медиа корпорации Ирана;
2. Описание инструментов и тактики группы TA2541;
3. Анализ лоадера MATANBUCHUS;
4. Анализ лоадера Bazarloader;
5. Анализ лоадера Hancitor;
6. Описание работы бесфайлового лоадера Netwalker;
7. Подробное описание AsyncRAT;
8. Отчет, в котором рассмотрен новый способ доставки малвари Emotet;
9. Глубокий анализ малвари Kovter
#apt #malware #research #redteam #blueteam #pentest
Давно не выкладывал интересные отчеты. Их очень много в последнее время, отобрал самые интересные:
1. Разбор шифровальщика AvosLocker, но теперь уже под Linux;
2. Отчет по материалам нашумевшего в конце февраля "ContiLeaks";
3. Глубокий анализ Redline Stealer;
4. Обожаю отчеты от The DFIR Report (всегда объемные и подробные). В этот раз опубликовано описание всех стадий работы Qbot.
5. В последнее время про HermeticWiper писали все, кому не лень, поэтому отобрал два достойных анализа: от MalwareBytes и от eln0ty.
Еще попалось описание метода анализа вредоносных документов. А для закрепления, пример анализа документа, доставляющего троян Emotet.
#apt #malware #research #redteam #blueteam #pentest
1. Разбор шифровальщика AvosLocker, но теперь уже под Linux;
2. Отчет по материалам нашумевшего в конце февраля "ContiLeaks";
3. Глубокий анализ Redline Stealer;
4. Обожаю отчеты от The DFIR Report (всегда объемные и подробные). В этот раз опубликовано описание всех стадий работы Qbot.
5. В последнее время про HermeticWiper писали все, кому не лень, поэтому отобрал два достойных анализа: от MalwareBytes и от eln0ty.
Еще попалось описание метода анализа вредоносных документов. А для закрепления, пример анализа документа, доставляющего троян Emotet.
#apt #malware #research #redteam #blueteam #pentest
А вот и очередная порция разных отчетов:
1. Новые разборы малвари семейства Wiper (IsaacWiper и CaddyWiper, HermeticWiper и PartyTicket, );
2. Анализ шифровальщика LokiLocker и очень подробный разбор LockBit 2;
3. А тут разбор шифровальщика Rook;
4. Крутой разбор тактики и способа автоматизации получения доступа через ProxyShell от APT35;
5. Куда же без анализа офисных документов. Тут и тут разбор загрузчиков Dridex и IcedID;
6. Разбор новой малвари Arid Gopher, используемой APT-C-23;
7. Хороший разбор работы червя DirtyMoe;
#apt #malware #research #redteam #blueteam #pentest
1. Новые разборы малвари семейства Wiper (IsaacWiper и CaddyWiper, HermeticWiper и PartyTicket, );
2. Анализ шифровальщика LokiLocker и очень подробный разбор LockBit 2;
3. А тут разбор шифровальщика Rook;
4. Крутой разбор тактики и способа автоматизации получения доступа через ProxyShell от APT35;
5. Куда же без анализа офисных документов. Тут и тут разбор загрузчиков Dridex и IcedID;
6. Разбор новой малвари Arid Gopher, используемой APT-C-23;
7. Хороший разбор работы червя DirtyMoe;
#apt #malware #research #redteam #blueteam #pentest
И вот новые наиболее интересные отчеты:
1. The DFIR Report представил анализ шифровальщика Quantum;
2. Symantec опубликовал наиболее часто используемые инструменты, тактики и процедуры (TTP) операторами шифровальщиков для заражения сетей;
3. Два отчета с описанием нового лоадера Bumblebee;
4. Описание тактики и инструментов группы TA410 от исследователей ESET;
5. Анализ Zloader, а также описание компании с его применением;
6. Полный разбор стиллера RedLine;
7. Описание фишинговой компании группы APT29;
8. Zscaler представил вариант доставки AsyncRAT, а также анализ GO варианта шифровальщика BlackByte.
#apt #malware #research #redteam #blueteam #pentest
1. The DFIR Report представил анализ шифровальщика Quantum;
2. Symantec опубликовал наиболее часто используемые инструменты, тактики и процедуры (TTP) операторами шифровальщиков для заражения сетей;
3. Два отчета с описанием нового лоадера Bumblebee;
4. Описание тактики и инструментов группы TA410 от исследователей ESET;
5. Анализ Zloader, а также описание компании с его применением;
6. Полный разбор стиллера RedLine;
7. Описание фишинговой компании группы APT29;
8. Zscaler представил вариант доставки AsyncRAT, а также анализ GO варианта шифровальщика BlackByte.
#apt #malware #research #redteam #blueteam #pentest
Я запоздал с отчетами... чем дальше, тем меньше времени, и тем дольше изучение. Но все же:
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
Довольно интересный анализ на примере Аваста
Hooking System Calls in Windows 11 22H2 like Avast Antivirus. Research, analysis and bypass
https://the-deniss.github.io/posts/2022/12/08/hooking-system-calls-in-windows-11-22h2-like-avast-antivirus.html
#research #redteam
Hooking System Calls in Windows 11 22H2 like Avast Antivirus. Research, analysis and bypass
https://the-deniss.github.io/posts/2022/12/08/hooking-system-calls-in-windows-11-22h2-like-avast-antivirus.html
#research #redteam
Это круто! В ресерче рассмотрены новые методы восстановления хешей NTLM из зашифрованных учётных данных, защищённый CredGuard в Windows.
https://research.ifcr.dk/pass-the-challenge-defeating-windows-defender-credential-guard-31a892eee22
#creds #pentest #redteam #ad #research
https://research.ifcr.dk/pass-the-challenge-defeating-windows-defender-credential-guard-31a892eee22
#creds #pentest #redteam #ad #research
Medium
Pass-the-Challenge: Defeating Windows Defender Credential Guard
In this blog post, we present new techniques for recovering the NTLM hash from an encrypted credential protected by Windows Defender…
В марте Microsoft исправила CVE-2023-23397 (это когда мы благодаря Outlook могли NTLMv2 дергать без взаимодействия с пользователем).
Так вот наткнулся на интересный ресерч (опубликован сегодня), который не просто показывает как обойти этот патч, но и утверждает, что уязвимо любое приложение, использующее API
https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api
#creds #research #exploit
Так вот наткнулся на интересный ресерч (опубликован сегодня), который не просто показывает как обойти этот патч, но и утверждает, что уязвимо любое приложение, использующее API
MapUrlToZone
.https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api
#creds #research #exploit
Akamai
From One Vulnerability to Another: Outlook Patch Analysis Reveals Important Flaw in Windows API | Akamai
Akamai researchers explore a new critical vulnerability in Windows that could lead to a bypass of CVE-2023-23397’s mitigation.