О релизе № 1 от 24.10.2025

Вход под привилегированной учетной записью vmware.

Использование утилит ESXi через CLI.

Создание ssh-туннелей на ESXi.

Проверка подлинности отправителя сообщений.

Вредоносная ссылка в письме.

Шифрованное вложение в письме.

Получение спам-письма.

Вредоносное вложение в письме.

Получение массовой рассылки писем.

Повторное заражение хоста одним вирусом.

Успешное исполнение задачи на удаленную установку программы средствами KSC.

Удалено обнаруженное средствами АВЗ ВПО.

Не было удалено обнаруженное средствами АВЗ ВПО.

Множество хостов заражены одним типом ВПО.

Множественное срабатывание вердиктов средств АВЗ на одном хосте.

На сервере KSC созданы пакет установки и удаленная задача на установку пакета.

Устройство перемещено в группу администрирования на сервере KSC.

Изменена критичная политика продукта Kaspersky.

Зафиксировано отключение задачи средств AV-защиты Kaspersky.

Исполнение задачи на установку программы через установочные пакеты.

Разведка под сервисным пользователем.

Загрузка файла с помощью утилит GTFOBins.

Загрузка файла сервисной учетной записью.

Создание туннелей и перенаправление трафика.

Подозрительное изменение директории /etc.

Изменение системных библиотек Linux.

Модификация файлов MOTD в Linux.

Запуск процесса с помощью ld.so.

Модификация правил udev.

Кратковременное существование учетной записи.

Изменение критичных файлов Linux.

Закрепление в системе с использованием записей автозагрузки XDG.

Изменение бинарных файлов Linux.

Добавление расширения в браузер через CLI Linux.

Добавление файла в расширения браузера Linux.

Изменение задач cron.

Создание пользователя или группы.

Удаление файлов логирования в Linux.

Злоупотребление сырыми сокетами.

Загрузка файлов утилитой wget в директорию tmp.

Загрузка файлов с удаленных ресурсов стандартными утилитами.

Туннелирование с использованием ngrok в Linux.

Использование утилиты SSHuttle для создания SSH-туннеля.

Использование утилит для создания снимков экрана Linux.

Размещение архивов в сетевой папке Linux.

Чтение критичных файлов Linux.

Извлечение содержимого буфера в Linux.

Поиск данных в сетевых папках Linux.

Чтение файлов с пользовательскими учетными данными.

Успешный подбор пароля пользователя Linux.

Доступ к критичным файлам SSSD.

Успешный подбор пароля на хосте Linux.

Подбор пароля пользователя Linux.

Подбор пароля на хосте Linux.

Чтение файлов с историей команд.

Отключение или изменение службы SELinux.

Изменение корневых сертификатов Linux.

Изменение привилегий файлов Linux.

Отключение службы firewalld.

Изменение tmp файлов логирования Linux.

Обнаружение стеганографии в Linux.

Отключение или модификация Syslog Linux.

Загрузка кода в процесс Linux.

Изменение настроек для скрытия пользователей.

Загрузка подозрительного ebpf модуля.

Создание/изменение скрытых файлов Linux.

Создание/изменение скрытых shared object файлов.

Отключение мандатного контроля целостности.

Изменение критичных файлов конфигурации интерактивной оболочки.

Отключение службы Auditd.

Изменение конфигурационных файлов службы firewalld.

Изменение конфигурационных файлов служб журналирования.

Компиляции исходного кода на Linux.

Копирование стандартных исполняемых файлов.

Поиск сетевых конфигураций.

Использование утилит для сканирования сети.

Поиск локализации системы Linux.

Получение информации о текущем пользователе.

Разведка локальных УЗ в Linux.

Получена информация о системных службах на узле.

Поиск файлов с suid/sgid битом.

Поиск окружения контейнера через proc VFS.

Обнаружение контейнеров через Inodes Listing.

Разведка доменных УЗ в Linux.

Разведка системной информации Linux.

Разведка установленного ПО в Linux.

Разведка Docker контейнеров через Dockerenv.

Подозрительное чтение домашней директории пользователя.

Разведка запущенных процессов в Linux.

Большое количество подозрительных команд.

Разведка парольной политики в Linux.

Запуск утилиты msldapdump для разведки.

Уничтожение информации на диске в Linux.

Остановка критичных сервисов в Linux.

Обогащение активного списка legitimate_guids_svchost_processes_list.

Использование PowerShell через сторонние инструменты.

Обход UAC через COM-объекты.

Использование библиотеки cygwin1.dll.

Зафиксирована загрузка модуля WMI подозрительным процессом.

Процесс загрузил модуль по UNC-пути.

Исходящее сетевое соединение PowerShell.

Эксплуатация уязвимости в WinRAR - CVE-2023-38831.

Маскировка запуска PowerShell.

Создание запланированной задачи через FileCreation.

Удаленная эксплуатация DCOM объекта IMsiServer.

Добавление в Netsh Helper DLL потенциальной полезной нагрузки.

Закрепление через Microsoft Office Add-ins.

Закрепление через COM Hijacking.

Закрепление в системе через ключ реестра MyComputer.

Изменение ключа реестра Debugger отладчика AeDebug.

Манипулирование запланированными задачами через реестр.

Внедрение стороннего ПО через отладчик IFEO.

Создание WMI подписки.

Включение переменных среды COR Profiler.

Закрепление через изменения ключей автозапуска в реестре.

Смена ассоциации запуска файла.

Закрепление через Office Template Macros.

Добавление в AppCert DLL полезной нагрузки.

Загрузка несуществующей dll для сервисов IKE, IKEEXT, SessionEnv.

Добавление в Appinit DLL полезной нагрузки.

Изменение настроек администратора Winget.

Закрепление через Office Test.

Зафиксирована подмена файлов экрана заставки Windows.

Подмена системных файлов специальных возможностей.

Запросы к API Telegram подозрительным процессом.

Использование DNS туннеля.

Подозрительные DNS-запросы к localtoNet домену.

Подозрительный доступ к памяти процесса LSASS.

Утечка NTLM через library-ms (CVE-2025-24071).

Создание билета TGT при помощи хакерской утилиты.

Использование утилиты RDPStrike.

Дамп LSASS с помощью Диспетчера задач.

Дамп LSASS с помощью Python-утилит.

Порт RDP по умолчанию изменен на нестандартный.

Загрузка модуля в процесс mmc из нестандартного пути.

Выполнение скриптов через regsvr32.

Эксплуатация Mark-of-the-Web bypass.

Изменение чувствительных параметров RDP.

Обнаружение HTML/SVG Smuggling в Windows.

Загрузка процессом rundll32 модулей для выполнения скриптов.

Изменение фона рабочего стола через реестр.

Обход UAC с помощью ключа реестра DelegateExecute.

Включение хранение хэша LM.

Загрузка модуля в процесс odbcconf из нестандартного пути.

Изменение чувствительных значений реестра.

Установка нового значения DNS ServerLevelPluginDll.

Загрузка модуля в процесс regsvr32 из нестандартного пути.

Отключение Административных общих ресурсов при запуске.

Включение в реестре DNS-over-HTTPS.

Загрузка модуля в процесс rundll32 из нестандартного пути.

Создание и удаление файла за короткий промежуток времени.

Подозрительный путь DLL в IME реестре.

Отключение контроля учетных записей пользователей.

Скрытие запланированной задачи через реестр.

Изменение ветки реестра Provisioning_Commands.

Неподписанная DLL загружена утилитой Windows.

Загрузка модуля в процесс cmstp из нестандартного пути.

Отключение в реестре HECI.

Изменена очередь загрузки драйвера Sysmon.

Удаление метки MOTW Windows.

Отключение CrashDump через изменение реестра.

Изменение разрешения доступа к каналу Winevt через реестр.

Сетевое подключение, инициированное процессом Winlogon.

Создание подозрительного потока в mstsc.exe.

Загрузка процессом mshta модулей для выполнения скриптов.

Разрешение удаленного соединения между анонимными компьютерами.

Модификация скрытых ключей Проводника.

Сетевое подключение из подозрительной директории.

Кража токена доступа из системного процесса.

Подмена PID родительского процесса.

Кража токена доступа при помощи именованных каналов.

Использование ssh.exe для кражи NTLM-хэша.

Создание удаленного потока c использованием функции LoadLibrary.

Создание токена и имперсонация учетной записи.

Использование утилиты TikiTorch.

Создание удаленного потока подозрительным процессом.

Загрузка amsi.dll необычным процессом.

Отключение системы восстановления через реестр.

Обогащение активного списка save_logons_cimv2.

Использование Replace.exe.

Загрузка файлов с веб-ресурсов стандартными утилитами.

Сжатие дамп-файлов средствами 7Zip.

Сжатие дамп-файлов средствами WinRAR.

Попытка дампа процесса LSASS с помощью Procdump.

Cнэпшот базы данных AD средствами ADExplorer.

Получение информации о службе RDP через sc.exe.

Захват учетных данных с помощью Rpcping.exe.

Остановка критичных сервисов.

Использование хакерской утилиты DSInternals.

Загрузка файлов с помощью PowerShell.

Использование хакерской утилиты PSMapExec.

Использование хакерской утилиты PowerShell-Suit.

Использование обфускации PowerShell.

Использование WinApi через PowerShell.

Использование хакерской утилиты SharpHound.

Использование хакерской утилиты PowerShellArsenal.

Использование хакерской утилиты nishang.

Использование хакерской утилиты OWA-Toolkit.

Использование хакерской утилиты PowerSploit.

Сжатие файлов средствами PowerShell.

Прямой доступ к диску через PowerShell.

Создание резервных копий MS SQL средствами PowerShell.

Создание удаленного потока в процессе lsass.