#blue_team #docker #nfs_relay

Для защиты вам надо полностью убрать возможность маскироваться под системные процессы и усилить аутентификацию.

Запрет root в контейнерах — это must have. Запускайте процессы от непривилегированного пользователя (User ID > 0). У обычного пользователя нет capability CAP_NET_BIND_SERVICE, поэтому он физически не сможет открыть порт < 1024.

Запретите контейнерам доступ к порту 2049 на уровне сети, если приложению не нужно монтировать NFS. Принцип минимальных привилегий на уровне L3/L4.

Аутентификация Kerberos (KRB5) — единственный способ проверять личность, а не место. Даже если атакующий подделает IP и порт, без валидного криптографического тикета сервер отклонит запрос. Это золотой стандарт защиты NFS.

Убедитесь, что на сервере включен root_squash (обычно активен по умолчанию). Это превращает любые операции от uid=0 (root) в операции от бесправного пользователя nfsnobody. Атакующий смонтирует шару, но упрётся в права доступа к файлам.

#blue_team #macOS #AppleScript

Как защититься

- Изменить приложение по умолчанию для .scpt файлов на TextEdit.
- Включить в Finder отображение расширений.​
- Настроить EDR для мониторинга запусков Script Editor с последующей сетевой активностью.
- Использовать Sigma-правила для детектирования подозрительных executions из Script Editor​.
- Отслеживать файлы с двойными расширениями типа .docx.scpt, .pdf.scpt через file event monitoring.
- Блокировать домены из IOC-списка: endesway[.]life, foldgalaxy[.]com, aubr[.]io, dosmac[.]top и другие из исследования​.

Подробности: (https://pberba.github.io/security/2025/11/11/macos-infection-vector-applescript-bypass-gatekeeper/).

#blue_team #macOS #AppleScript

Пример атаки

- Доставка: Жертве приходит email с ZIP-архивом, внутри которого лежит файл с иконкой Word.​
- Маскировка: При распаковке в Finder пользователь видит файл с иконкой Word, расширение .scpt скрыто.​
- Открытие: Двойной клик запускает Script Editor вместо Word/Preview, отображая комментарии с инструкцией «нажмите Run для просмотра документа».​
- Выполнение: Нажатие Run (⌘+R) запускает `do shell script`, который Gatekeeper не блокирует, так как код выполняется через легитимное системное приложение Script Editor.​
- Заражение: Загруженная malware работает в фоне, выполняя вредоносные действия.

#blue_team #macOS #AppleScript

Технические особенности

- Вредоносный код скрывается за сотнями пустых строк, в начале скрипта видны только комментарии типа Click to install update.​
- Использует do shell script для bash-команд: загрузка malware через curl, распаковка в /tmp, запуск, эксфильтрация данных на C2.​
- Resource fork (legacy-технология Mac OS 9) хранит кастомные иконки .docx/.pptx, которые корректно распаковываются из ZIP/DMG и отображаются в Finder, создавая убедительно выглядящие фейковые документы.​
- Extended attributes манипулируют флагом com.apple.FinderInfo для per-file скрытия расширения .scpt, обходя глобальную настройку Finder Show all filename extensions.

#security #blue_team #buhtrap

Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер, который создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.

Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe. Закрепление stage3-лоадера осуществляется через реестр.

Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp% по регулярному выражению [a-z]{6,16}\.log.

Предположительно, сделано для борьбы с песочницами. 

Затем stage3-лоадер распаковывает и запускает в памяти пейлоад - Buhtrap RAT.

Далее RAT создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера, а также файл %AppData%\ntлseШ.dat, куда вводит информацию о подключенных смарткартах

С2 URL: hxxps://hakeowner[.]org/images/ui.png и hxxps://bucketadd[.]org/images/logo.png.

Отчёт: https://habr.com/ru/companies/F6/news/975730/

#security #blue_team #buhtrap

Пользователь переходит на сайт-приманку через поисковую выдачу.

Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах.

После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса - auditok[.]org.

Пример такой ссылки - hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip.

Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.

За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js.

Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe.

Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений, и включает следующие элементы: EXE-лоадер первой стадии - stage2-дроппер - stage3-лоадер - Buhtrap RAT.