10-12-2022, 07:31 AM
Jos jedan od mozda zanimljivih alata koji je radjen sa Florian Rothom (@cyb3rops na Twiteru) i par ljudi iz Microsoft Threat Inteligence tima. Moj contribution je bio dodatak powershella i parsovanje svih komandi koje idu preko njega radi detekcije i kasnije inkorporacija toga u Yara rulove.
Poenta ovog alata je da spreci bilo kakvu aktivnost ransomware-a, koji je dospeo u sistem korisnika recimo putem makroa u MS Word-u, tako sto interceptuje requestove u pozadini ka necemu sto ransomware uvek radi, a to je brisanje shadow copy-ja sa diska, i ubija parent proces. Vrlo je generic i lightweight. Tada je Emotet ransomware bio jako aktivan, gde se alat pokazao vrlo efikasan.
Zanimljivo je sto je sam alat nastao iz CVE-a https://attack.mitre.org/techniques/T1546/012/ i mogucnosti da se debugger na Windowsu zakaci na recimo vssadmin i wmic. Takodje, integrisan je i sa Windows Event Viewerom.
Alat je open-source i gradjen je javno pred svima i svako je mogao da ucestvuje. Power of the community
Link do projekta:
https://github.com/Neo23x0/Raccine
Poenta ovog alata je da spreci bilo kakvu aktivnost ransomware-a, koji je dospeo u sistem korisnika recimo putem makroa u MS Word-u, tako sto interceptuje requestove u pozadini ka necemu sto ransomware uvek radi, a to je brisanje shadow copy-ja sa diska, i ubija parent proces. Vrlo je generic i lightweight. Tada je Emotet ransomware bio jako aktivan, gde se alat pokazao vrlo efikasan.
Zanimljivo je sto je sam alat nastao iz CVE-a https://attack.mitre.org/techniques/T1546/012/ i mogucnosti da se debugger na Windowsu zakaci na recimo vssadmin i wmic. Takodje, integrisan je i sa Windows Event Viewerom.
Alat je open-source i gradjen je javno pred svima i svako je mogao da ucestvuje. Power of the community
Link do projekta:
https://github.com/Neo23x0/Raccine
“One of the symptoms of approaching nervous breakdown is the belief that one's work is terribly important"