Я запоздал с отчетами... чем дальше, тем меньше времени, и тем дольше изучение. Но все же:
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
A Detailed Analysis of The Last Version of REvil Ransomware.pdf
36.1 MB
Common-TTPs-of-the-modern-ransomware_low-res.pdf
4.6 MB
Техники, тактики и процедуры (TTPs) группировок шифровальщиков
"Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA."
Группы:
* Conti/Ryuk
* Pysa
* Clop (TA505)
* Hive
* Lockbit2.0
* RagnarLocker
* BlackByte
* BlackCat
Спасибо @vlad_burc!
#apt #malware #report
"Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA."
Группы:
* Conti/Ryuk
* Pysa
* Clop (TA505)
* Hive
* Lockbit2.0
* RagnarLocker
* BlackByte
* BlackCat
Спасибо @vlad_burc!
#apt #malware #report
Наконец могу кинуть большую порцию интересных (на мой взгляд) отчетов. Хоть и времени много прошло, но:
1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);
9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;
10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hivev.rust от Microsoft
#report #apt #malware #redteam #blueteam
1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);
9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;
10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hive
#report #apt #malware #redteam #blueteam
Наконец набралось некоторое количество крутых отчетов, поэтому держите:
1. Symantec описала одну из атак Syrphid с использованием шифровальщика LockBit;
2. DFIR же описал полный путь компрометации сети, начиная с лоадера BumbleBee;
3. Positive Technologies рассказали как китайская APT31 атакует российские компании;
4. Paloalto показала как APT29 доставляет свое ПО на скомпрометированные хосты, а также рассказала об атаках Tropical Scorpius с использованием шифровальщика Cuba;
5. Morphisec Labs описала новое ПО группы APT-C-35;
6. Очередной анализ шифровальщика Hive;
7. Подробный анализ линукс малвари Symbiote;
8. Описание работы банковского трояна Ousaban;
9. MalwareBytes рассказала о новом трояне Woody RAT;
10. Kaspersky Lab опубликовала разбор атаки с использованием python импланта VileRAT
#report #apt #malware #redteam #blueteam
1. Symantec описала одну из атак Syrphid с использованием шифровальщика LockBit;
2. DFIR же описал полный путь компрометации сети, начиная с лоадера BumbleBee;
3. Positive Technologies рассказали как китайская APT31 атакует российские компании;
4. Paloalto показала как APT29 доставляет свое ПО на скомпрометированные хосты, а также рассказала об атаках Tropical Scorpius с использованием шифровальщика Cuba;
5. Morphisec Labs описала новое ПО группы APT-C-35;
6. Очередной анализ шифровальщика Hive;
7. Подробный анализ линукс малвари Symbiote;
8. Описание работы банковского трояна Ousaban;
9. MalwareBytes рассказала о новом трояне Woody RAT;
10. Kaspersky Lab опубликовала разбор атаки с использованием python импланта VileRAT
#report #apt #malware #redteam #blueteam
JSSLoader shellcode edition (2022).pdf
3.4 MB
Наконец набралось некоторое количество крутых отчетов, поэтому держите:
1. Group-IB про китайскую APT41;
2. Cisco Talos в двух статьях разобрали разобрали софт группы APT38 (Lasarus);
3. Check Point описали атаки за последние два года на финансовые организации Африки;
4. Eset описали инструменты новой группы Worok;
5. Подробный разбор трояна URSA;
6. Целых три статьи (раз, два, три) с анализом стилера Raccoon (видимо так популярен:));
7. Мы любим отчеты DFIR, и в этот раз они описали путь атакующего от зараженного Emotet документа Excel до компрометации всего домена;
8. Cybereason по аналогии также описали путь компрометации домена, но начиная с загрузчика Bumblebee;
9. Описание уже популярного AsyncRAT C2 Framework;
10. Ну и анализ нового шифровальщика Agenda на golang.
#report #apt #malware #redteam #blueteam
1. Group-IB про китайскую APT41;
2. Cisco Talos в двух статьях разобрали разобрали софт группы APT38 (Lasarus);
3. Check Point описали атаки за последние два года на финансовые организации Африки;
4. Eset описали инструменты новой группы Worok;
5. Подробный разбор трояна URSA;
6. Целых три статьи (раз, два, три) с анализом стилера Raccoon (видимо так популярен:));
7. Мы любим отчеты DFIR, и в этот раз они описали путь атакующего от зараженного Emotet документа Excel до компрометации всего домена;
8. Cybereason по аналогии также описали путь компрометации домена, но начиная с загрузчика Bumblebee;
9. Описание уже популярного AsyncRAT C2 Framework;
10. Ну и анализ нового шифровальщика Agenda на golang.
#report #apt #malware #redteam #blueteam
Один из подписчиков поделился новым курсом от Sektor7, и был не против отдать его в массы. Это уже третья часть про разработку малвари: Malware Development Advanced Vol.1
Остальные курсы Sector7 тоже есть на канале:
1. RTO: Malware Development Essentials
2. RTO: Windows Persistence
3. RTO: Privilege Escalation in Windows
4. RTO: Malware Development Intermediate
5. RTO: Evasion Windows
#course #malware #redteam #pentest
Остальные курсы Sector7 тоже есть на канале:
1. RTO: Malware Development Essentials
2. RTO: Windows Persistence
3. RTO: Privilege Escalation in Windows
4. RTO: Malware Development Intermediate
5. RTO: Evasion Windows
#course #malware #redteam #pentest
Я наконец закончил просмотр докладов с прошедшего PHD12 и, как обычно, делюсь тем, что мне понравилось:
* Внедрение кода в процессы из контекста ядра Linux [video]
* Антология способов программного мониторинга и защиты Linux в пользовательском пространстве [video]
* 0-day-эксплойты рансомварщиков для Windows [video]
* Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт [video]
* Red teaming: методики фишинговых атак [video]
* Port security bypass: подключаемся к сети через любую розетку [video]
* Геопространственная разведка на вашем рабочем столе [video]
P.S. если у кого есть презентации данных докладов, прошу в личку @hackerralf8
#redteam #pentest #initial #osint #exploit #malware #video
* Внедрение кода в процессы из контекста ядра Linux [video]
* Антология способов программного мониторинга и защиты Linux в пользовательском пространстве [video]
* 0-day-эксплойты рансомварщиков для Windows [video]
* Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт [video]
* Red teaming: методики фишинговых атак [video]
* Port security bypass: подключаемся к сети через любую розетку [video]
* Геопространственная разведка на вашем рабочем столе [video]
P.S. если у кого есть презентации данных докладов, прошу в личку @hackerralf8
#redteam #pentest #initial #osint #exploit #malware #video
Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
#malware #evasion #redteam
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
#malware #evasion #redteam