Type to search
Advanced channel search

Threat Hunting Father

@ThreatHuntingFather
Channel's geo and language: not specified, not specified
Category: not specified

All about Threat Hunting, detecting malicious activity.
We try to learn, and learn all about APT

Related channels  |  Similar channels
Channel's geo and language
not specified, not specified
Category
not specified
Statistics
Is this your channel? Confirm Канал в реестре блогеров РКН? Confirm Channel history
Posts filter

Threat Hunting Father

8 Jun 2024, 14:30

Open in Telegram Share Report
Впечатления о соревновании «Standoff365»

С 4 по 7 июня с командой Kryptonite🇰🇿 мы заняли второе место среди 16 команд на международных киберучениях в рамках Петербургского международного форума (ПМЭФ).
Соревнования проходили в онлайн-формате и включали участие RED TEAM (атакующие) и BLUE TEAM (защитники) из 10 стран.

Наша команда успешно расследовала 20 из 21 "недопустимых событий" в защищаемом секторе "Электроэнергетика". 21-е событие нашли, но сдать не успели 😂(еще промолчу про количество инцидентов)

Структура полигона впечатляет:
- SCADA👀
- корпоративный сегмент со всеми выходами🫡,
- административные рабочие станции,
- сервисы, DMZ и др.
Легенда была тщательно проработана, включая персонал, работающий в энергетическом секторе и роли каждого, на основе которых и строились дальнейшие недопустимые события🔥.
Сеть была поделена на разные сегменты. Некоторые хосты были специально уязвимы для эксплуатации, что делало задачу атакующих интереснее.
Red Team атаковали, а мы ждали их отчеты и начинали исследовать всю цепочку событий, от того как они получали Initial Access до самого «недопустимого события».

Недопустимые события включали в себя:
- кражу конфиденциальных данных
- захват того или иного сегмента
- модификация содержимого, манипуляции с тачками👽
- шифровальщик🗿
- но вишенка на торте это сегмент SCADA, где нам выключали ГЭС, но мы успешно нашли все действия✊🏻

Затем мы отправляли отчеты на платформу, где CERT команды уже отрабатывали свою роль

Для проведения расследования нам были предоставлены различные продукты:
- NAD(система анализа трафика)
- SIEM
- AF(application firewall)
- Sandbox
- вообщем весь суп набор, для расследования.
Это был невероятный опыт изучать активность злоумышленника и выявлять разнообразные векторы атак на новых для нас продуктах PT и сети, с которой не так давно познакомился😄

Реализация техник, тактик и процедур MitreAttack это отдельная тема🔥
С полным списком можно ознакомиться тут: https://range.standoff365.com/battle/15/mitre/

Это был удивительный опыт, и я благодарен коллегам за профессионализм и организаторам Positive Technologies за успешные киберучения 🛡️⚔️.
Матрица MITRE
Standoff 365 Киберполигон — онлайн-киберучения, где этичные хакеры помогают на практике оценить защищенность инфраструктуры, найти в ней слабые места и подготовиться к отражению кибератак.
141 1 2 5
Threat Hunting Father

8 Jun 2024, 14:30

Open in Telegram Share Report
🇰🇿
38 0 0
Threat Hunting Father

5 Jun 2024, 20:19

Open in Telegram Share Report
Forward from: 2600 ASTANA
👋Хей хей!

⚡️Менее 2 дней осталось до 2️⃣6️⃣0️⃣0️⃣ meetup

Поспешите зарегистрироваться!

А для самых любознательных👀

Доклады:

🗣️Тема: Инструмент Frida и его возможности

⭐️Автор: @Thatskriptkid

🗣️Тема: DLL hijacking

Нам расскажут о том как подмена DLL поможет запустить вредоносное ПО и как находить такие уязвимости.
⭐️Автор: @rockyou

🗣️Тема: Сертификат PNPT и его получение

В своем выступлении расскажет про американский хакерский сертификат PNPT, и о его особенностях.
⭐️Автор: Ramazan Abdirassilov

📍Meetup будет проводится в данной локации в 20:00:
https://go.2gis.com/q5bm0
Chilli Grill
Улица Желтоксан, 2т

Напоминаем, заявку на доклады необходимо подавать через эту форму.
33 0 0 3
Threat Hunting Father

30 May 2024, 09:44

Open in Telegram Share Report
Static signature-based detection is not even relevant for this attack!🫣

That is because there is no ransomware executable running on the victim endpoint. All that an attacker has to run on the endpoint is one very legitimate and simple executable or just a few command lines that create junctions, read logs, and send an API request to the victim’s OneDrive account.


See how a SafeBreach Labs researcher leveraged Microsoft OneDrive to develop a new undetectable-by-design ransomware variant.
https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides
One Drive, Double Agent - OneDrive Ransomware | SafeBreach
See how a SafeBreach Labs researcher leveraged Microsoft OneDrive to develop a new undetectable-by-design ransomware variant.
95 0 0 2
Threat Hunting Father

23 May 2024, 20:02

Open in Telegram Share Report
ScarletStealer

Among the binaries it downloads are metaver_.exe (used to steal content from Chrome extensions), meta.exe (modifies the Chrome shortcut, so the browser is launched with a malicious extension), and others. Most of the ScarletStealer executables are digitally signed.

Full report:
https://securelist.com/crimeware-report-stealers/112633/

Indicators of compromise
Acrid
abceb35cf20f22fd8a6569a876e702cb
2b71c81c48625099b18922ff7bebbf51
b9b83de1998ebadc101ed90a6c312da8

ScarletStealer
1d3c3869d682fbd0ae3151b419984771
c0cf3d6d40a3038966f2a4f5bfe2b7a7
f8b2b941cffb9709ce8f422f193696a0

Sys01
0x6e2b16cc41de627eb7ddcd468a037761
0x21df3a69540c6618cfbdaf84fc71031c
0x23ae473bc44fa49b1b221150e0166199
107 0 0 1
Threat Hunting Father

21 May 2024, 20:11

Open in Telegram Share Report
Threat Landscape from Kaspersky for Russia and CIS 2024

Let’s read🤓

And the first thing we see is an attacker's TTPs☺️
The report describes in some detail how attackers like to attack🔥
113 0 2 3
Threat Hunting Father

20 May 2024, 12:24

Open in Telegram Share Report
A cool example of analyzing and answering questions when investigating an incident👽


12 questions in this challenge:
1. When did user cyberjunkie successfully log into his computer? (UTC)
2. The user tampered with firewall settings on the system. Analyze the firewall event logs to find out the Name of the firewall rule added?
3. What’s the direction of the firewall rule?
4. The user changed audit policy of the computer. What’s the Subcategory of this changed policy?
5. The user “cyberjunkie” created a scheduled task. What’s the name of this task?
6. What’s the full path of the file which was scheduled for the task?
7. What are the arguments of the command?
8. The antivirus running on the system identified a threat and performed actions on it. Which tool was identified as malware by antivirus?
9. What’s the full path of the malware which raised the alert?
10. What action was taken by the antivirus?
11. The user used Powershell to execute commands. What command was executed by the user?
12. We suspect the user deleted some event logs. Which Event log file was cleared?

https://0xdf.gitlab.io/2024/05/16/htb-sherlock-logjammer.html#
HTB Sherlock: Logjammer
Logjammer is a neat look at some Windows event log analysis. I’ll start with five event logs, security, system, Defender, firewall, and PowerShell, and use EvtxECmd.exe to convert them to JSON. Then I’ll slice them using JQ and some Bash to answer 12 questions about a malicious user on the box, show...
116 0 1 2
Threat Hunting Father

15 May 2024, 17:45

Open in Telegram Share Report
Incident Response Analyst report from Kaspersky 🗃️

Report contents
• IR statistics: what events prompted organizations to request IR services, at what stages attacks were detected, how long it took on average to respond to them;
• Common tactics, techniques and procedures employed by threat actors at different stages of attack development;
• Legitimate tools used in attacks, with examples of their use in real-world incidents;
• Vulnerabilities most often exploited by threat actors.


https://securelist.com/kaspersky-incident-response-report-2023/112504/
2023 Kaspersky Incident Response report
The report shares statistics and observations from incident response practice in 2023, analyzes trends and gives cybersecurity recommendations.
118 0 5 3
Threat Hunting Father

12 May 2024, 19:02

Open in Telegram Share Report
Forward from: Сертификат безопасности
Начинаю серию видео, которые посвящены защитным механизмам, реализованным в протекторе Themida. В этом первом видео мы рассмотрим лишь базовую "защиту" Themida. Почему "защиту"? Потому что мы отключим все защитные функции для того, чтобы посмотреть какие базовые изменения вносятся в файл формата PE32. В конце видео - основная методика снятия протектора. В следующих видео постепенно разберём защитные механизмы в отдельности.

Содержимое:
00:00 - Что такое протектор Themida и зачем это вирусному аналитику?
01:31 - Загружаем HelloWorld.exe в Themida и защищаем его
03:50 - Сравниваем заголовки PE32 оригинального и защищенного файла в PE viewer'е
06:07 - Запускаем защищенный HelloWorld_protected.exe
08:27 - Снимаем защиту Themida с HelloWorld_protected.exe
11:35 - Поясняю что сделали в процессе снятия защиты и удаляем код протектора
13:23 - Что будет в следующих видео

Ссылка на YouTube: https://www.youtube.com/watch?v=YiP-hw4bRTA
101 0 1 1
Threat Hunting Father

6 May 2024, 07:42

Open in Telegram Share Report
148 0 3 5
Threat Hunting Father

4 May 2024, 09:58

Open in Telegram Share Report
Hunting For PowerShell_Abuse.pdf
34.2Mb
Hunting for PowerShell Abuse
135 0 0 3
Threat Hunting Father

2 May 2024, 07:58

Open in Telegram Share Report
Why do adversaries use Mshta?🤔

Mshta.exe is a Windows-native binary designed to execute Microsoft HTML Application (HTA) files. As its full name implies, Mshta can execute Windows Script Host code (VBScript and JScript) embedded within HTML in a network proxy-aware fashion. These capabilities make Mshta an appealing vehicle for adversaries to proxy execution of arbitrary script code through a trusted, signed utility, making it a reliable technique during both initial and later stages of an infection.

How do adversaries use Mshta?

There are four primary methods by which adversaries leverage Mshta to execute arbitrary VBScript and JScript:
- inline via an argument passed in the command line to Mshta
- file-based execution via an HTML Application (HTA) file
- COM-based execution for lateral movement
- by calling the RunHTMLApplication export function of mshtml.dll with rundll32.exe as an alternative to mshta.exe

We have many use cases for mshta.exe and the detection is based on the attacker's tactics.
Let’s detect 🥵:

1. Monitor Process Execution: Use system monitoring tools or antivirus software to monitor the execution of MSHTA.exe. Any unusual or unexpected instances of MSHTA.exe running might indicate malicious activity.
2. Analyze Command-Line Arguments: MSHTA.exe typically runs with specific command-line arguments when executing legitimate tasks. Look for instances where MSHTA.exe is called with unusual or suspicious argumen
ts, such as executing scripts
from suspicious locations or downloading content from unknown sources.
3. Check File Locations: Legitimate instances of MSHTA.exe are usually located in the "C:\Windows\System32" directory. If MSHTA.exe is running from a different location, especially from temporary or user profile directories, it could be a sig
n of malicious activity.
4. Analyze Network Activity:
Monitor network traffic for connections initiated by MSHTA.exe. Suspicious network connections, especially to known malicious domains or IP addresses, could indicate malicious activity.
5. Behavioral Analysis:
Analyze the behavior of MSHTA.exe during its execution. Look for actions such as creating or modifying files, accessing sensitive system areas, or injecting code into other processes, which could be indicative of malicious behavior.
6. Check Digital Signatures:
Legitimate instances of MSHTA.exe are typically signed by Microsoft. Check the digital signature of the MSHTA.exe file to verify its authenticity. If the file is not signed or the signature is invalid, it could be a sign of tampering or malicious activity.
7. Use Endpoint Detection and Response (EDR) Tools:
EDR tools can provide real-time monitoring and analysis of endpoint activities, including processes like MSHTA.exe. These tools can help identify and respond to suspicious behavior associated with MSHTA.exe.
142 0 1 3
Threat Hunting Father

27 Apr 2024, 16:53

Open in Telegram Share Report
135 0 1
Threat Hunting Father

26 Apr 2024, 09:21

Open in Telegram Share Report
Active Directory hardening series.

В этот раз предлагаю вам написать в комментариях возможные способы атак, реализуемых злоумышленниками👇🏻🌚

Removing SMBv1
🔗

Enforcing LDAP Signing
🔗

Enforcing AES for Kerberos
🔗
Active Directory Hardening Series - Part 2 – Removing SMBv1
In this series my goal is to help you understand how to move forward with confidence by better understanding the changes along with how to perform proper due..
131 0 3 1
Threat Hunting Father

22 Apr 2024, 16:29

Open in Telegram Share Report
148 0 2
Threat Hunting Father

22 Apr 2024, 08:59

Open in Telegram Share Report
Хардеринг Active Directory и почему он важен?

Простое объяснение заключается в том, что злоумышленники продолжают успешно получать доступ к привилегированным учетным данным, атакуя Active Directory. В результате они могут получить контроль над критически важными данными и системами. После этого они часто обращаются к облачным ресурсам в качестве второстепенной цели. 

Атаки реализуемые через NTLMv1:

Sniffing - перехват аутентификационных данных
Password Cracking
Relay Attacks
Man-in-the-Middle
Pass the hash


https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-1-disabling-ntlmv1/ba-p/3934787
Active Directory Hardening Series - Part 1 – Disabling NTLMv1
In this series my goal is to help you understand how to move forward with confidence by better understanding the changes along with how to perform proper due..
141 0 3 1
Threat Hunting Father

21 Apr 2024, 10:04

Open in Telegram Share Report
Атака Kerberoasting без пароля пользователя — миф, или новая реальность?

Как говорят, синие команды уже должны настраивать детекты на странный sname в AS-REQ?

https://habr.com/ru/articles/809013/
696 0 7
Threat Hunting Father

17 Apr 2024, 16:00

Open in Telegram Share Report
https://www.trendmicro.com/en_us/research/24/d/earth-hundun-waterbear-deuterbear.html


IOC:
Cyberespionage Group Earth Hundun's Continuous Refinement of Waterbear and Deuterbear
==========================
[Files SHA-256] [Detection Name]
e669aaf63552430c6b7c6bd158bcd1e7a11091c164eb034319e1188d43b5490c Trojan.Win64.WATERBEAR.ZTLC
0da9661ed1e73a58bd1005187ad9251bcdea317ca59565753d86ccf1e56927b8 Trojan.Win64.WATERBEAR.ZTLC.enc
ca0423851ee2aa3013fe74666a965c2312e42d040dbfff86595eb530be3e963f Trojan.Win64.WATERBEAR.ZTLA
6dcc3af7c67403eaae3d5af2f057f0bb553d56ec746ff4cb7c03311e34343ebd Trojan.Win64.WATERBEAR.ZTLC.enc
ab8d60e121d6f121c250208987beb6b53d4000bc861e60b093cf5c389e8e7162 Trojan.Win64.WATERBEAR.ZTLB
a569df3c46f3816d006a40046dae0eb1bc3f9f1d4d3799703070390e195f6dd4 Trojan.Win64.WATERBEAR.ZTLC.enc
e483cae34eb1e246c3dd4552b2e71614d4df53dc0bac06076442ffc7ac2e06b2 Trojan.Win64.WATERBEAR.ZTLB
c97e8075466cf91623b1caa1747a6c5ee38c2d0341e0a3a2fa8fcf5a2e6ad3a6 Trojan.Win64.WATERBEAR.ZTLB
6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 Trojan.Win64.WATERBEAR.ZTLB.enc
d665aea7899ad317baf1b6e662f40a10d42045865f9eea1ab18993b50dd8942d Trojan.Win64.DEUTERBEAR.ZTLC
dc60d8b1eff66bfb91573c8f825695e27b0813a9891bd0541d9ff6a3ae7e8cf2 Trojan.Win64.DEUTERBEAR.ZTLC.enc
4540132def6dfa6d181cabf1e1689bede5ecfef6450b033fecb0aeb1fe1b3fe9 Trojan.Win64.DEUTERBEAR.ZTLC
8f26069b6b49391f245b8551aa42ca4814c52e7f52d0343916f5262557bf5c52 Trojan.Win64.DEUTERBEAR.ZTLC.enc
74efa0ce94f4285404108d3d19bf2ff64c7c3a1c85e9b59cf511b56f9d71dc05 Trojan.Win64.DEUTERBEAR.ZTLC
d6ac4f364b25365eb4a5636beffc836243743ecf7ef4ec391252119aed924cab Trojan.Win64.DEUTERBEAR.ZTLC.enc

[Network]
freeprous.bakhell[.]com:443
cloudflaread.quadrantbd[.]com:443
showgyella.quadrantbd[.]com:443
rscvmogt.taishanlaw[.]com:443
smartclouds.gelatosg[.]com:443
suitsvm003.rchitecture[.]org:443
cloudsrm.gelatosg[.]com:443
Cyberespionage Group Earth Hundun's Continuous Refinement of Waterbear and Deuterbear
Our blog entry provides an in-depth analysis of Earth Hundun's Waterbear and Deuterbear malware.
149 0 0
Threat Hunting Father

12 Apr 2024, 15:31

Open in Telegram Share Report
Forward from: FR13NDS AITU CTF
Қайырлы күн, сообществу ИБ Казахстана!🇰🇿

😏FR13NDS TEAM приглашает вас на соревнование по кибербезопасности — FR13NDS AITU CTF, организованное при поддержке Департамента Интеллектуальных Систем и Кибербезопасности и Военной Кафедры Astana IT University. CTF пройдет в два этапа для всех желающих граждан Казахстана. Это отличная возможность проверить и улучшить свои навыки в области информационной безопасности.

😒 Первый этап Онлайн : Jeopardy CTF пройдет с 26 по 27 апреля. Этот этап представляет собой классический формат CTF, где участникам предстоит решать задачи на Web, Cryptography, Reverse Engineering, Binary Exploitation, Digital Forensics и многое другое. Независимо от вашего опыта, вы найдете задачи, которые будут интересны и подходящи именно вам.

😡 Второй этап Оффлайн: Cyberpolygon состоится 17 мая в стенах Astana IT University и станет испытанием для топ 10 команд по итогам первого этапа. Здесь участники сразятся в более сложных и масштабных заданиях в формате Киберполигона, которые потребуют максимальной отдачи и командной работы.

🎁 Мы предусмотрели ценные призы и сувениры от Astana IT University и команды FR13NDS TEAM для победителей и активных участников.

🏅 Призовой фонд данного соревнования:
1 - место: 350.000 тенге
2 - место: 250.000 тенге
3 - место: 150.000 тенге

🫥Мы приглашаем каждого, кто желает испытать себя и погрузиться в мир кибербезопасности, узнать что-то новое и, возможно, обнаружить в себе талант специалиста по информационной безопасности.

🖥 Подробная информация о соревновании будут опубликованы в телеграм канале FR13NDS AITU CTF. Следите за обновлениями и не упустите свой шанс принять участие в этом захватывающем событии!

Мы ждем вас, чтобы вместе открыть новую страницу в истории кибербезопасности Казахстана! 🇰🇿

Подробнее на сайте
Регистрация на платформе
Telegram канал
Telegram чат
108 0 0 1
Threat Hunting Father

11 Apr 2024, 19:56

Open in Telegram Share Report
Анализ гипервизора VMware ESXi с помощью Velociraptor или VMWARE ESXI FORENSIC WITH VELOCIRAPTOR.

VMware ESXi is a bare-metal hypervisor. It is widely used to virtualize part or all of the information system. It often hosts application servers or even the Active Directory.

Итого новая версия 0.7.1 дает следующие возможности:

• The SSH_ACCESSOR lets us interact with a VMware ESXi hypervisor without an agent through an SSH connection.
• The SSH_ACCESSOR can be used directly with a Notebook.
• The SSH_ACCESSOR can be used indirectly with VQL artifacts through a Linux proxy machine on which an agent is deployed.
• Existing Linux artifacts can be reused with the hypervisor, with some modifications in some cases.
• Artifacts can be chained into one global query.

👉Подробнее прочитать
VMware ESXi Forensic with Velociraptor
132 0 0
20 last posts shown.

129

subscribers
Channel statistics