Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять

Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего опасного, это простейшие утилиты по типу TCP-сканера. Значит, нужно построить свою виртуальную и изолированную лабу. В них должно быть минимум 3 машины: Windows 11 в роли жертвы, Ubuntu server lts в роли C2 сервака, и, конечно, классический Metasploitable2 опять же в роли жертвы. Читать, как я мучился последние 3 дня

https://habr.com/ru/articles/973434/

#изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_KVM #libvirt #сетевой_изолятор #сетевые_правила_firewall #изоляция_трафика #информационная_безопасность

Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

https://habr.com/ru/articles/967934/

#анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

Без дизассемблера: как предварительный анализ документа GOFFEE раскрыл всю цепочку заражения

Всем привет! Киберугрозы постоянно эволюционируют, и для эффективного противодействия важно понимать тактики и инструменты злоумышленников. Группировка GOFFEE, также известная как Paper Werewolf, представляет собой яркий пример такой угрозы. В этом материале мы разберем один из вредоносных документов этой группировки без применения глубоких знаний в реверс-инжиниринге и убедимся, что большую часть цепочки заражения можно восстановить, не прибегая к сложным инструментам вроде дизассемблера или отладчика. Перейти к разбору

https://habr.com/ru/articles/965970/

#goffee #powermodul #malware_analysis

Остерегайтесь «песочных террористов»

Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект. больше чернухи

https://habr.com/ru/articles/917702/

#anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware #malware_analysis #атака_на_репутацию #antivirus

«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

https://habr.com/ru/companies/rvision/articles/854364/

#siem #malware #malware_analysis #correlation #correlation_rule

YoungLotus – анализ китайского вредоноса

В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

https://habr.com/ru/articles/827184/

#YoungLotus #FatalRAT #реверсинжиниринг #информационная_безопасность #malware #malware_analysis #malware_reversing

Raspberry Robin Evolves With Stealth Tactics, New Exploits - https://www.redpacketsecurity.com/raspberry-robin-evolves-with-stealth-tactics-new-exploits/

#threatintel #Malware_analysis #Cybersecurity_threats #Raspberry_Robin