home.social

#correlation_rule — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #correlation_rule, aggregated by home.social.

  1. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  2. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  3. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  4. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #correlation_rule #correlation #malware_analysis #malware #siem
  5. Habr @[email protected] ·

    VSCode — идеальный инструмент для хакера

    Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

    habr.com/ru/companies/rvision/

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика
  6. Habr @[email protected] ·

    VSCode — идеальный инструмент для хакера

    Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

    habr.com/ru/companies/rvision/

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика
  7. Habr @[email protected] ·

    VSCode — идеальный инструмент для хакера

    Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

    habr.com/ru/companies/rvision/

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика
  8. Habr @[email protected] ·

    VSCode — идеальный инструмент для хакера

    Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

    habr.com/ru/companies/rvision/

    #vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

    #правила_корреляции #детектирование #correlation_rule #c #туннелирование_трафика #туннелирование
  9. Habr @[email protected] ·

    Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

    #windbg #winapi #correlation_rule #siem #уязвимости #cve202338831
  10. Habr @[email protected] ·

    Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

    #windbg #winapi #correlation_rule #siem #уязвимости #cve202338831
  11. Habr @[email protected] ·

    Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi