Ralf Hacker Channel
26.7K subscribers
407 photos
16 videos
503 files
487 links
Download Telegram
Я запоздал с отчетами... чем дальше, тем меньше времени, и тем дольше изучение. Но все же:

1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister

#apt #malware #research #redteam #blueteam #pentest
A Detailed Analysis of The Last Version of REvil Ransomware.pdf
36.1 MB
A Detailed Analysis of The Last Version of REvil Ransomware - очень большой и подробный анализ инструмента REvil

#malware #report
Доклад EDR & AV Defense

#redteam #malware
GROUP-IB CONTI.pdf
11.9 MB
Отчет Group-IB посвященный группе Conti

#report #apt #malware
Common-TTPs-of-the-modern-ransomware_low-res.pdf
4.6 MB
Техники, тактики и процедуры (TTPs) группировок шифровальщиков

"Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA."

Группы:
* Conti/Ryuk
* Pysa
* Clop (TA505)
* Hive
* Lockbit2.0
* RagnarLocker
* BlackByte
* BlackCat

Спасибо @vlad_burc!

#apt #malware #report
Babuk report.pdf
1.4 MB
Анализ Babuk

#malware #report
Snip3 report.pdf
1.3 MB
Анализ Snip3

#malware #report
Machete Lokibot.pdf
2.2 MB
Анализ Lokibot

#malware #report
Qakbot report.pdf
2.3 MB
Реверс DLL'ки Qakbot

#malware #report
Наконец могу кинуть большую порцию интересных (на мой взгляд) отчетов. Хоть и времени много прошло, но:

1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);

9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;

10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hive v.rust от Microsoft

#report #apt #malware #redteam #blueteam
RedLine Stealer.pdf
2.7 MB
Анализ стилера RedLine, в котором рассмотрены методы сбора информации из браузеров, криптокошельков, различного ПО (включая Телеграм и ВПНы), ну и другую информацию с хоста.

#pentest #redteam #report #malware #blueteam
Наконец набралось некоторое количество крутых отчетов, поэтому держите:

1. Symantec описала одну из атак Syrphid с использованием шифровальщика LockBit;
2. DFIR же описал полный путь компрометации сети, начиная с лоадера BumbleBee;
3. Positive Technologies рассказали как китайская APT31 атакует российские компании;
4. Paloalto показала как APT29 доставляет свое ПО на скомпрометированные хосты, а также рассказала об атаках Tropical Scorpius с использованием шифровальщика Cuba;
5. Morphisec Labs описала новое ПО группы APT-C-35;
6. Очередной анализ шифровальщика Hive;
7. Подробный анализ линукс малвари Symbiote;
8. Описание работы банковского трояна Ousaban;
9. MalwareBytes рассказала о новом трояне Woody RAT;
10. Kaspersky Lab опубликовала разбор атаки с использованием python импланта VileRAT

#report #apt #malware #redteam #blueteam
JSSLoader shellcode edition (2022).pdf
3.4 MB
Анализ новой версии JSSLoader группы FIN7. Описаны дополнительные возможности новой версии, а также приведено сравнение со старыми версиями

#apt #malware #report
A Deep Dive Into Black Basta Ransomware (2022).pdf
14 MB
Анализ шифровальщика BlackBasta

#malware #report
A Detailed Analysis of the Quantum Ransomware.pdf
3.3 MB
Очень хороший разбор - A Detailed Analysis of the Quantum Ransomware

#report #malware
Dissecting PlugX to Extract Its Crown Jewels.pdf
550 KB
In-depth analysis and free tools: Dissecting PlugX to Extract Its Crown Jewels

#report #malware
Наконец набралось некоторое количество крутых отчетов, поэтому держите:

1. Group-IB про китайскую APT41;
2. Cisco Talos в двух статьях разобрали разобрали софт группы APT38 (Lasarus);
3. Check Point описали атаки за последние два года на финансовые организации Африки;
4. Eset описали инструменты новой группы Worok;
5. Подробный разбор трояна URSA;
6. Целых три статьи (раз, два, три) с анализом стилера Raccoon (видимо так популярен:));
7. Мы любим отчеты DFIR, и в этот раз они описали путь атакующего от зараженного Emotet документа Excel до компрометации всего домена;
8. Cybereason по аналогии также описали путь компрометации домена, но начиная с загрузчика Bumblebee;
9. Описание уже популярного AsyncRAT C2 Framework;
10. Ну и анализ нового шифровальщика Agenda на golang.

#report #apt #malware #redteam #blueteam
Один из подписчиков поделился новым курсом от Sektor7, и был не против отдать его в массы. Это уже третья часть про разработку малвари: Malware Development Advanced Vol.1

Остальные курсы Sector7 тоже есть на канале:
1. RTO: Malware Development Essentials
2. RTO: Windows Persistence
3. RTO: Privilege Escalation in Windows
4. RTO: Malware Development Intermediate
5. RTO: Evasion Windows

#course #malware #redteam #pentest
Я наконец закончил просмотр докладов с прошедшего PHD12 и, как обычно, делюсь тем, что мне понравилось:

* Внедрение кода в процессы из контекста ядра Linux [video]

* Антология способов программного мониторинга и защиты Linux в пользовательском пространстве [video]

* 0-day-эксплойты рансомварщиков для Windows [video]

* Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт [video]

* Red teaming: методики фишинговых атак [video]

* Port security bypass: подключаемся к сети через любую розетку [video]

* Геопространственная разведка на вашем рабочем столе [video]

P.S. если у кого есть презентации данных докладов, прошу в личку @hackerralf8

#redteam #pentest #initial #osint #exploit #malware #video
Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.

https://redops.at/en/blog/syscalls-via-vectored-exception-handling

#malware #evasion #redteam