{"id":337596,"date":"2022-08-27T09:00:07","date_gmt":"2022-08-27T09:00:07","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=337596"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=337596","title":{"rendered":"<span>\u0420\u0430\u0437\u0431\u043e\u0440 \u0442\u0430\u0441\u043a\u0430 Let&#8217;s Defend. DogWalk 0-Day Activity<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<h3>\u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0412 \u0434\u0430\u043b\u0435\u043a\u043e\u043c 2020 \u0433\u043e\u0434\u0443 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0439 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c <a href=\"https:\/\/irsl.medium.com\/\" rel=\"noopener noreferrer nofollow\">Imre Rad<\/a> \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b <a href=\"https:\/\/irsl.medium.com\/the-trouble-with-microsofts-troubleshooters-6e32fc80b8bd\" rel=\"noopener noreferrer nofollow\">\u0441\u0442\u0430\u0442\u044c\u044e<\/a> \u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c\u044e \u0432 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b Windows &#8212; <strong>msdt.exe<\/strong> (\u0442\u043e\u0442 \u0441\u0430\u043c\u044b\u0439 =) ). Microsoft \u043f\u043e\u0441\u0447\u0438\u0442\u0430\u043b\u0430 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u0443\u044e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0439, \u0447\u0442\u043e\u0431\u044b \u043d\u0430 \u043d\u0435\u0435 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c. \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e\u0441\u043b\u0435 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u0441 <em>Follina<\/em> \u0432\u0435\u043d\u0434\u043e\u0440 \u0440\u0435\u0448\u0438\u043b \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043f\u0430\u0442\u0447, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c <strong>DogWalk<\/strong>.<\/p>\n<h4>\u041a\u043e\u0440\u043e\u0442\u043a\u043e \u043e msdt.exe \u0438 \u043f\u0430\u043a\u0435\u0442\u0430\u0445 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/h4>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/msdt\" rel=\"noopener noreferrer nofollow\"><strong>MSDT<\/strong><\/a> (Microsoft&#8217;s Diagnostic Troubleshooting Wizard) &#8212; \u043c\u0430\u0441\u0442\u0435\u0440 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0438 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c Windows, \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u0440\u0430\u0431\u043e\u0442\u0435 <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/about-wtp\" rel=\"noopener noreferrer nofollow\"><strong>msdt.exe<\/strong><\/a>. \u0415\u0441\u043b\u0438 \u0432\u044b \u0436\u0435\u043b\u0430\u0435\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c msdt.exe \u043f\u043e \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044e, \u0442\u043e <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2012-r2-and-2012\/ee424379(v=ws.11)#available-troubleshooting-packs\" rel=\"noopener noreferrer nofollow\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0441\u043f\u0438\u0441\u043e\u043a \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0434\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0432 Windows.<\/p>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/b3b\/2d3\/b9c\/b3b2d3b9ca6f03d538f89530ae4030fe.jpeg\" width=\"500\" height=\"375\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/b3b\/2d3\/b9c\/b3b2d3b9ca6f03d538f89530ae4030fe.jpeg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0430\u043a\u0435\u0442 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u0438\u0441\u043f\u0440\u0430\u0432\u043d\u043e\u0441\u0442\u0435\u0439 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432: <\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/writing-the-troubleshooting-manifest\" rel=\"noopener noreferrer nofollow\"><strong>\u041c\u0430\u043d\u0438\u0444\u0435\u0441\u0442 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a<\/strong><\/a>&#8212; \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u043f\u0430\u043a\u0435\u0442, \u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0438\u0445 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.diagpkg<\/strong>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/writing-the-scripts\" rel=\"noopener noreferrer nofollow\"><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a<\/strong><\/a> &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u043d\u0430\u043b\u0438\u0447\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0440\u0438\u0447\u0438\u043d\u044b. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f<\/strong> &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0440\u0438\u0447\u0438\u043d\u044b, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438<\/strong>  &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0442\u043e\u0433\u043e, \u0441\u043c\u043e\u0433\u043b\u0438 \u043b\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438 \u0440\u0435\u0448\u0438\u0442\u044c \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/localizing-the-troubleshooting-package\" rel=\"noopener noreferrer nofollow\"><strong>\u041b\u043e\u043a\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432<\/strong><\/a> &#8212; \u0441\u0442\u0440\u043e\u043a\u0438 \u043b\u043e\u043a\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a \u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u043c\u0438. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.psd1, .dll.mui<\/strong>.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f \u0443\u0434\u043e\u0431\u0441\u0442\u0432\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0435\u0441\u0442\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 &#8212; <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/bb417343(v=msdn.10)\" rel=\"noopener noreferrer nofollow\"><strong>DIAGCAB<\/strong><\/a>. DIAGCAB-\u0444\u0430\u0439\u043b\u044b \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u0440\u0442\u0430\u0442\u0438\u0432\u043d\u044b\u0439 \u0430\u0440\u0445\u0438\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u043a\u0430\u043a\u043e\u043c-\u043b\u0438\u0431\u043e \u0440\u0435\u0441\u0443\u0440\u0441\u0435 \u0438\u043b\u0438 \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0449\u0438\u0439 \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0432 \u0441\u0435\u0431\u044f.<\/p>\n<p>\u041f\u0430\u043a\u0435\u0442\u044b \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u044b, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 <strong>msdt<\/strong> \u043c\u043e\u0433\u043b\u0438 \u0443\u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u0438\u0442\u044c\u0441\u044f \u0432 \u0438\u0445 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438. \u041f\u0430\u043a\u0435\u0442\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043f\u043e \u043f\u0443\u0442\u0438 <em>%WINDIR%\\diagnostics\\system<\/em> \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c\u0438 \u0438 \u043d\u0435 \u043f\u043e\u0434\u043b\u0435\u0436\u0430\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430.<\/p>\n<h3>\u041e\u0431 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438<\/h3>\n<p>\u0414\u043b\u044f \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0441\u0442\u0430\u0442\u044c\u044f \u0441 <a href=\"https:\/\/irsl.medium.com\/the-trouble-with-microsofts-troubleshooters-6e32fc80b8bd\" rel=\"noopener noreferrer nofollow\">Medium<\/a>. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u043e\u0440\u044f\u0434\u043e\u043a \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u043d\u0430 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0435:<\/p>\n<ol>\n<li>\n<p>\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u0432\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e, \u043f\u0443\u0442\u044c \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d \u0437\u0430\u0440\u0430\u043d\u0435\u0435 <em>C:\\Users\\John Doe\\AppData\\Local\\Temp\\SDIAG_0636db01-fabd-49ed-bd1d-b3fbbe5fd0ca<\/em><\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0446\u0438\u0444\u0440\u043e\u0432\u043e\u0439 \u043f\u043e\u0434\u043f\u0438\u0441\u0438 \u043f\u0430\u043a\u0435\u0442\u0430<\/p>\n<\/li>\n<li>\n<p>\u0415\u0441\u043b\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u043f\u043e\u0434\u043f\u0438\u0441\u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u0430, \u0442\u043e \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/p>\n<\/li>\n<\/ol>\n<p>\u0414\u043b\u044f \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u043a\u0435\u0442\u0430 \u0432\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f <strong>SdpCopyDirectory<\/strong> \u0438\u0437 <strong>sdiageng.dll<\/strong>, \u043a\u043e\u0434 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u043d\u0438\u0436\u0435. \u0424\u0443\u043d\u043a\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u0430 \u043a <em>Path Traversal.<\/em><\/p>\n<pre><code>TCHAR attackerControlledSourcePath[MAXPATH]; \/\/ this is the \"user input\"    TCHAR tempDirectory[MAXPATH];  GetTempPathW(MAXPATH, tempDirectory);    TCHAR allFilesFromAttackerControlledSourcePath[MAXPATH];  StringCchPrintfW(allFilesFromAttackerControlledSourcePath, MAXPATH,  L\"%s\\\\*.*\", AttackerControlledSourcePath);  hFind = FindFirstFile(allFilesFromAttackerControlledSourcePath, &amp;FindFileData);    do {     TCHAR srcFile[MAXPATH];     TCHAR dstFile[MAXPATH];     StringCchPrintfW(srcFile, MAXPATH, L\"%s\\\\%s\",  attackerControlledSourcePath, FindFileData.cFileName);     StringCchPrintfW(dstFile, MAXPATH, L\"%s\\\\%s\", tempDirectory,  FindFileData.cFileName);       CopyFileW(srcFile, dstFile, TRUE);    while (FindNextFile(hFind, &amp;FindFileData) != 0);FindClose(hFind);<\/code><\/pre>\n<p>\u041c\u044b \u043c\u043e\u0436\u0435\u043c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430, \u0432 \u043f\u0430\u043a\u0435\u0442\u0435 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c: <strong>..\\..\\..\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\evil.exe<\/strong>, \u0438 \u0437\u0430\u043a\u0440\u0435\u043f\u0438\u0442\u044c\u0441\u044f \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438.<\/p>\n<h3>\u0420\u0430\u0437\u0431\u043e\u0440 \u0442\u0430\u0441\u043a\u0430 LetsDefend: SOC174 &#8212; DogWalk 0-Day Activity<\/h3>\n<p>\u0412 LetsDefend \u0435\u0441\u0442\u044c \u0434\u0432\u0430 \u0443\u0440\u043e\u0432\u043d\u044f \u0442\u0430\u0441\u043a\u043e\u0432:<\/p>\n<ul>\n<li>\n<p>Security Analyst (\u043a\u0435\u0439\u0441\u044b \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u043e\u0432 1-\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f, \u043f\u043e \u043b\u043e\u0433\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0430\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439)<\/p>\n<\/li>\n<li>\n<p>Incident responder (\u043a\u0435\u0439\u0441\u044b \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c\u0441\u044f \u043a \u043c\u0430\u0448\u0438\u043d\u0430\u043c \u043f\u043e VNC \u0438 \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u044c \u0430\u043d\u0430\u043b\u0438\u0437 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432)<\/p>\n<\/li>\n<\/ul>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439:<\/p>\n<ul>\n<li>\n<p>\u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f<\/p>\n<\/li>\n<li>\n<p>\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f \u043f\u043e\u0447\u0442\u0430<\/p>\n<\/li>\n<li>\n<p>\u0441\u043f\u0438\u0441\u043e\u043a \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432<\/p>\n<\/li>\n<li>\n<p>\u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b\u0435<\/p>\n<\/li>\n<li>\n<p>\u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043d\u0430 \u0445\u043e\u0441\u0442\u0435<\/p>\n<\/li>\n<li>\n<p>\u0438\u0441\u0442\u043e\u0440\u0438\u044f \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c\u0441\u044f \u043a \u0445\u043e\u0441\u0442\u0443 \u0447\u0435\u0440\u0435\u0437 VNC<\/p>\n<\/li>\n<\/ul>\n<h4>\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435<\/h4>\n<p>\u041d\u0430\u043c \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<ul>\n<li>\n<p>\u0438\u043c\u044f \u043c\u0430\u0448\u0438\u043d\u044b\/ip: Jack-dev-server \/ 172.16.17.81<\/p>\n<\/li>\n<li>\n<p>\u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e: SOC174 &#8212; DogWalk 0-Day Activity<\/p>\n<\/li>\n<li>\n<p>ID CVE: CVE-2022-34713<\/p>\n<\/li>\n<li>\n<p>\u0437\u0430\u043f\u0438\u0441\u043a\u0430 \u043e\u0442 L1 SOC: I saw that the diagcab file was run with msdt.exe at 11.08.2022 07:58. But I did not understand how this happened and what happened next.<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0438\u0447\u0438\u043d\u0430 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f: Running a diagcab file with msdt.exe<\/p>\n<\/li>\n<\/ul>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/6ca\/e2d\/58f\/6cae2d58ffd9b6dc4da65c440335b2c4.png\" alt=\"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u0430 Let's Defend\" title=\"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u0430 Let's Defend\" width=\"2256\" height=\"630\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/6ca\/e2d\/58f\/6cae2d58ffd9b6dc4da65c440335b2c4.png\"\/><figcaption>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u0430 Let&#8217;s Defend<\/figcaption><\/figure>\n<h4>\u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b<\/h4>\n<p>\u042f \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u043b, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c \u0432 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u043c \u043f\u0438\u0441\u044c\u043c\u0435.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0f6\/935\/e9b\/0f6935e9b231007a00dd7bfe2a617e24.png\" alt=\"\u0422\u0435\u043b\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c Jack Hanma\" title=\"\u0422\u0435\u043b\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c Jack Hanma\" width=\"1618\" height=\"520\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/0f6\/935\/e9b\/0f6935e9b231007a00dd7bfe2a617e24.png\"\/><figcaption>\u0422\u0435\u043b\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c Jack Hanma<\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u043b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0441\u0441\u044b\u043b\u043a\u0443 <em>hxxps:\/\/52e9-3-17-146-251[.]<\/em><strong><em>ngrok<\/em><\/strong><em>[.]io\/config\/<\/em><strong><em>hotfix895214.diagcab<\/em><\/strong>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u043c \u0438\u043c\u0435\u043d\u0438 <strong>ngrok<\/strong>, \u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0444\u0430\u0439\u043b <strong>hotfix895214.diagcab<\/strong>. \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0448\u0430\u0433\u043e\u043c \u043d\u0443\u0436\u043d\u043e \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f, \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u043b\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c.<\/p>\n<h4>\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f<\/h4>\n<p>\u0412 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u0445, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u043d\u0430\u0448\u0438\u043c \u0445\u043e\u0441\u0442\u043e\u043c \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0447\u0435\u0442\u044b\u0440\u0435 \u0441\u0435\u0441\u0441\u0438\u0438:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/117\/e75\/df9\/117e75df97feefc8e1e25f1211efbffb.png\" alt=\"\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 IP: 172.16.17.81\" title=\"\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 IP: 172.16.17.81\" width=\"1880\" height=\"484\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/117\/e75\/df9\/117e75df97feefc8e1e25f1211efbffb.png\"\/><figcaption>\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 IP: 172.16.17.81<\/figcaption><\/figure>\n<p>1-2 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b A-\u0437\u0430\u043f\u0438\u0441\u044c \u0434\u043b\u044f \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0433\u043e \u0438\u043c\u0435\u043d\u0438 <em>52e9-3-17-146-251.ngrok.io<\/em> \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043e\u0442\u0432\u0435\u0442 \u043e\u0442 DNS-\u0441\u0435\u0440\u0432\u0435\u0440\u0430:<em>8.8.8.8 &#8212; A: 3.134.39.220<\/em><\/p>\n<p>3 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \/package<\/p>\n<p>4 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b \u0444\u0430\u0439\u043b \/AppData\/Roaming\/Microsoft\/Windows\/Start Menu\/Programs\/Startup\/calc.exe<\/p>\n<p>\u0418\u0437 \u0432\u044b\u0448\u0435\u0441\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u0435\u043b\u0430\u0435\u043c \u0432\u044b\u0432\u043e\u0434, \u0447\u0442\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u0435\u0440\u0435\u0448\u0435\u043b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e <strong>\/package <\/strong>\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043b \u0444\u0430\u0439\u043b <strong>\/AppData\/Roaming\/Microsoft\/Windows\/Start Menu\/Programs\/Startup\/calc.exe<\/strong><\/p>\n<h4>\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043d\u0430 \u0445\u043e\u0441\u0442\u0435<\/h4>\n<p>\u041f\u0435\u0440\u0432\u044b\u043c \u0434\u0435\u043b\u043e\u043c \u044f \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043b \u0436\u0443\u0440\u043d\u0430\u043b <em>Microsoft-Windows-Sysmon\/Operational<\/em>. \u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image = <strong>msdt.exe<\/strong>:  <\/p>\n<pre><code>&lt;QueryList>   &lt;Query Id=\"0\" Path=\"Microsoft-Windows-Sysmon\/Operational\">     &lt;Select Path=\"Microsoft-Windows-Sysmon\/Operational\">*[EventData[Data[@Name='Image'] and Data='C:\\Windows\\System32\\msdt.exe']]&lt;\/Select>   &lt;\/Query> &lt;\/QueryList><\/code><\/pre>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0447\u0435\u0442\u044b\u0440\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b8f\/5bc\/563\/b8f5bc563db0dd31b577887e3a8e6032.png\" alt=\"\u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image=msdt.exe\" title=\"\u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image=msdt.exe\" width=\"1322\" height=\"244\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/b8f\/5bc\/563\/b8f5bc563db0dd31b577887e3a8e6032.png\"\/><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image=msdt.exe<\/figcaption><\/figure>\n<p>\u0412 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u043d\u0438\u0436\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e <em>chrome<\/em> \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b \u043f\u0440\u043e\u0446\u0435\u0441\u0441 <strong>msdt.exe<\/strong> \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438 <em>\/cab &#171;C:\\Users\\LetsDefend\\Downloads\\hotfix895214.diagcab. <\/em>\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u0444\u0430\u0439\u043b \u0441 \u043f\u0430\u043a\u0435\u0442\u043e\u043c \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0441\u044f \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 <em>Downloads<\/em> \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f <em>LetsDefend<\/em>.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/39a\/ed6\/4df\/39aed64df0a7f1ccf15742ae5ea85549.png\" alt=\"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe\" title=\"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe\" width=\"1090\" height=\"554\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/39a\/ed6\/4df\/39aed64df0a7f1ccf15742ae5ea85549.png\"\/><figcaption>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe<\/figcaption><\/figure>\n<p>\u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0434\u0432\u0443\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441 msdt.exe \u0441\u043e\u0437\u0434\u0430\u043b \u0434\u0432\u0430 \u0444\u0430\u0439\u043b\u0430 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/767\/293\/b98\/767293b983548110e790c1b0c8c126ec.png\" alt=\"\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430\" title=\"\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430\" width=\"1152\" height=\"342\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/767\/293\/b98\/767293b983548110e790c1b0c8c126ec.png\"\/><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430<\/figcaption><\/figure>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/00c\/4e8\/5ea\/00c4e85eacd13ace874a46ab3fb8fb0b.png\" alt=\"\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430\" title=\"\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430\" width=\"1158\" height=\"334\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/00c\/4e8\/5ea\/00c4e85eacd13ace874a46ab3fb8fb0b.png\"\/><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430<\/figcaption><\/figure>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f chrome.exe:<\/p>\n<pre><code>&lt;QueryList>   &lt;Query Id=\"0\" Path=\"Microsoft-Windows-Sysmon\/Operational\">     &lt;Select Path=\"Microsoft-Windows-Sysmon\/Operational\">*[EventData[Data[@Name='Image'] and Data='C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe']]&lt;\/Select>   &lt;\/Query> &lt;\/QueryList><\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/f2b\/d54\/b01\/f2bd54b014645563f28c84b6fb321323.png\" alt=\"\u0423\u0431\u0435\u0434\u0438\u043b\u0438\u0441\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 chrome.exe\" title=\"\u0423\u0431\u0435\u0434\u0438\u043b\u0438\u0441\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 chrome.exe\" width=\"854\" height=\"350\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/f2b\/d54\/b01\/f2bd54b014645563f28c84b6fb321323.png\"\/><figcaption>\u0423\u0431\u0435\u0434\u0438\u043b\u0438\u0441\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 chrome.exe<\/figcaption><\/figure>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0443\u0431\u0435\u0434\u0438\u043c\u0441\u044f \u0432 \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/97c\/449\/a19\/97c449a19aeebc6bd37a7716e5dab124.png\" alt=\"\u0424\u0430\u0439\u043b\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438\" title=\"\u0424\u0430\u0439\u043b\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438\" width=\"1022\" height=\"120\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/97c\/449\/a19\/97c449a19aeebc6bd37a7716e5dab124.png\"\/><figcaption>\u0424\u0430\u0439\u043b\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438<\/figcaption><\/figure>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 <em>certutil.exe -hashfile .\\&lt;\u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430> MD5 <\/em>\u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0445\u0435\u0448-\u0441\u0443\u043c\u043c\u044b \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0438\u0445 \u0440\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044e \u043d\u0430  <a href=\"https:\/\/www.virustotal.com\/gui\/home\/upload\" rel=\"noopener noreferrer nofollow\">virustotal<\/a>.<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/file\/4c568fa2c2a8248a076931984705447735441847be064e9d6a4ee205164c6982\" rel=\"noopener noreferrer nofollow\">cmd.exe<\/a><\/p>\n<\/li>\n<\/ul>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/671\/41e\/dcb\/67141edcbf72732d0d84677f9571908a.png\" alt=\"\u0420\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u0430 cmd.exe\" title=\"\u0420\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u0430 cmd.exe\" width=\"1342\" height=\"402\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/671\/41e\/dcb\/67141edcbf72732d0d84677f9571908a.png\"\/><figcaption>\u0420\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u0430 cmd.exe<\/figcaption><\/figure>\n<ul>\n<li>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/file\/a103a57d50b32469c5811e2808f021adf9d9220093b540b8a9c83b5c821d370e\" rel=\"noopener noreferrer nofollow\">cmd.exe2<\/a> <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/824\/e29\/23b\/824e2923b17bc650fa438b8bdb7ad71f.png\" width=\"1348\" height=\"390\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/824\/e29\/23b\/824e2923b17bc650fa438b8bdb7ad71f.png\"\/><figcaption><\/figcaption><\/figure>\n<\/li>\n<\/ul>\n<h4>\u0410\u043d\u0430\u043b\u0438\u0437 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/h4>\n<p>\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e 7zip \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 <em> hotfix895214.diagcab<\/em>.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/277\/930\/411\/2779304114573b9cbeb8aefc6e7fc204.png\" alt=\"\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438\" title=\"\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438\" width=\"904\" height=\"216\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/277\/930\/411\/2779304114573b9cbeb8aefc6e7fc204.png\"\/><figcaption>\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/figcaption><\/figure>\n<p>\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 <em>custom.diagcfg<\/em><\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/13d\/272\/061\/13d2720617697393f79845775ad01d88.png\" alt=\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 custom.diagcfg\" title=\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 custom.diagcfg\" width=\"1538\" height=\"740\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/13d\/272\/061\/13d2720617697393f79845775ad01d88.png\"\/><figcaption>\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 custom.diagcfg<\/figcaption><\/figure>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u043c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043a\u043b\u044e\u0447 <strong>Package<\/strong>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438:<\/p>\n<pre><code>\\\\52e9-3-17-146-251.ngrok.is@ssl\\DavWWWRoot\\Package<\/code><\/pre>\n<p>\u0412 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0432\u044b\u0448\u0435 \u0434\u043e\u043b\u0436\u0435\u043d \u0440\u0430\u0441\u043f\u043e\u043b\u0430\u0433\u0430\u0442\u044c\u0441\u044f \u0444\u0430\u0439\u043b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <strong>..\\..\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\calc.exe2. <\/strong>\u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0442\u0443\u043d\u043d\u0435\u043b\u044c ngrok \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d.<\/p>\n<h3>Sigma Rules<\/h3>\n<p>\u0412 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 Sigma \u0431\u044b\u043b\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe \u0438\u043b\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043c\u043e\u0434\u0443\u043b\u044f sdiageng.dll.<br \/>\u0414\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 <a href=\"https:\/\/github.com\/SigmaHQ\/sigma\/pull\/3430\" rel=\"noopener noreferrer nofollow\">\u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438<\/a><\/p>\n<p>\u041f\u0440\u0430\u0432\u0438\u043b\u0430 Sigma \u0434\u043b\u044f \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u0439 msdt.exe:<\/p>\n<pre><code>sigma\/rules\/windows\/file_event\/file_event_win_msdt_autorun.yml sigma\/rules\/windows\/image_load\/image_load_msdt_sdiageng.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_lolbins_by_office_applications.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_susp_cab_options.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_diagcab.yml:description sigma\/rules\/windows\/process_creation\/proc_creation_win_possible_applocker_bypass.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_lolbin_msdt_answer_file.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt.yml:description sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_susp_parent.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_renamed_msdt.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_outlook_shell.yml<\/code><\/pre>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/post\/684940\/\"> https:\/\/habr.com\/ru\/post\/684940\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<h3>\u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0412 \u0434\u0430\u043b\u0435\u043a\u043e\u043c 2020 \u0433\u043e\u0434\u0443 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0439 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c <a href=\"https:\/\/irsl.medium.com\/\" rel=\"noopener noreferrer nofollow\">Imre Rad<\/a> \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b <a href=\"https:\/\/irsl.medium.com\/the-trouble-with-microsofts-troubleshooters-6e32fc80b8bd\" rel=\"noopener noreferrer nofollow\">\u0441\u0442\u0430\u0442\u044c\u044e<\/a> \u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c\u044e \u0432 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b Windows &#8212; <strong>msdt.exe<\/strong> (\u0442\u043e\u0442 \u0441\u0430\u043c\u044b\u0439 =) ). Microsoft \u043f\u043e\u0441\u0447\u0438\u0442\u0430\u043b\u0430 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u0443\u044e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0439, \u0447\u0442\u043e\u0431\u044b \u043d\u0430 \u043d\u0435\u0435 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c. \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e\u0441\u043b\u0435 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u0441 <em>Follina<\/em> \u0432\u0435\u043d\u0434\u043e\u0440 \u0440\u0435\u0448\u0438\u043b \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043f\u0430\u0442\u0447, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c <strong>DogWalk<\/strong>.<\/p>\n<h4>\u041a\u043e\u0440\u043e\u0442\u043a\u043e \u043e msdt.exe \u0438 \u043f\u0430\u043a\u0435\u0442\u0430\u0445 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/h4>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/msdt\" rel=\"noopener noreferrer nofollow\"><strong>MSDT<\/strong><\/a> (Microsoft&#8217;s Diagnostic Troubleshooting Wizard) &#8212; \u043c\u0430\u0441\u0442\u0435\u0440 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0438 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c Windows, \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u0440\u0430\u0431\u043e\u0442\u0435 <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/about-wtp\" rel=\"noopener noreferrer nofollow\"><strong>msdt.exe<\/strong><\/a>. \u0415\u0441\u043b\u0438 \u0432\u044b \u0436\u0435\u043b\u0430\u0435\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c msdt.exe \u043f\u043e \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044e, \u0442\u043e <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2012-r2-and-2012\/ee424379(v=ws.11)#available-troubleshooting-packs\" rel=\"noopener noreferrer nofollow\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0441\u043f\u0438\u0441\u043e\u043a \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0434\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0432 Windows.<\/p>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0430\u043a\u0435\u0442 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u0438\u0441\u043f\u0440\u0430\u0432\u043d\u043e\u0441\u0442\u0435\u0439 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432: <\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/writing-the-troubleshooting-manifest\" rel=\"noopener noreferrer nofollow\"><strong>\u041c\u0430\u043d\u0438\u0444\u0435\u0441\u0442 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a<\/strong><\/a>&#8212; \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u043f\u0430\u043a\u0435\u0442, \u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0438\u0445 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.diagpkg<\/strong>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/writing-the-scripts\" rel=\"noopener noreferrer nofollow\"><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a<\/strong><\/a> &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u043d\u0430\u043b\u0438\u0447\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0440\u0438\u0447\u0438\u043d\u044b. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f<\/strong> &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0440\u0438\u0447\u0438\u043d\u044b, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><strong>\u0421\u043a\u0440\u0438\u043f\u0442\u044b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438<\/strong>  &#8212; \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0442\u043e\u0433\u043e, \u0441\u043c\u043e\u0433\u043b\u0438 \u043b\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438 \u0440\u0435\u0448\u0438\u0442\u044c \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.ps1<\/strong>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/wintt\/localizing-the-troubleshooting-package\" rel=\"noopener noreferrer nofollow\"><strong>\u041b\u043e\u043a\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432<\/strong><\/a> &#8212; \u0441\u0442\u0440\u043e\u043a\u0438 \u043b\u043e\u043a\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a \u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u043c\u0438. \u0420\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430: <strong>.psd1, .dll.mui<\/strong>.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f \u0443\u0434\u043e\u0431\u0441\u0442\u0432\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0435\u0441\u0442\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 &#8212; <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/bb417343(v=msdn.10)\" rel=\"noopener noreferrer nofollow\"><strong>DIAGCAB<\/strong><\/a>. DIAGCAB-\u0444\u0430\u0439\u043b\u044b \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u0440\u0442\u0430\u0442\u0438\u0432\u043d\u044b\u0439 \u0430\u0440\u0445\u0438\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u043a\u0430\u043a\u043e\u043c-\u043b\u0438\u0431\u043e \u0440\u0435\u0441\u0443\u0440\u0441\u0435 \u0438\u043b\u0438 \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0449\u0438\u0439 \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0432 \u0441\u0435\u0431\u044f.<\/p>\n<p>\u041f\u0430\u043a\u0435\u0442\u044b \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u044b, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 <strong>msdt<\/strong> \u043c\u043e\u0433\u043b\u0438 \u0443\u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u0438\u0442\u044c\u0441\u044f \u0432 \u0438\u0445 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438. \u041f\u0430\u043a\u0435\u0442\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043f\u043e \u043f\u0443\u0442\u0438 <em>%WINDIR%\\diagnostics\\system<\/em> \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c\u0438 \u0438 \u043d\u0435 \u043f\u043e\u0434\u043b\u0435\u0436\u0430\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430.<\/p>\n<h3>\u041e\u0431 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438<\/h3>\n<p>\u0414\u043b\u044f \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0441\u0442\u0430\u0442\u044c\u044f \u0441 <a href=\"https:\/\/irsl.medium.com\/the-trouble-with-microsofts-troubleshooters-6e32fc80b8bd\" rel=\"noopener noreferrer nofollow\">Medium<\/a>. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u043e\u0440\u044f\u0434\u043e\u043a \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u043d\u0430 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0435:<\/p>\n<ol>\n<li>\n<p>\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u0432\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e, \u043f\u0443\u0442\u044c \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d \u0437\u0430\u0440\u0430\u043d\u0435\u0435 <em>C:\\Users\\John Doe\\AppData\\Local\\Temp\\SDIAG_0636db01-fabd-49ed-bd1d-b3fbbe5fd0ca<\/em><\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0446\u0438\u0444\u0440\u043e\u0432\u043e\u0439 \u043f\u043e\u0434\u043f\u0438\u0441\u0438 \u043f\u0430\u043a\u0435\u0442\u0430<\/p>\n<\/li>\n<li>\n<p>\u0415\u0441\u043b\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u043f\u043e\u0434\u043f\u0438\u0441\u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u0430, \u0442\u043e \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/p>\n<\/li>\n<\/ol>\n<p>\u0414\u043b\u044f \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u043a\u0435\u0442\u0430 \u0432\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f <strong>SdpCopyDirectory<\/strong> \u0438\u0437 <strong>sdiageng.dll<\/strong>, \u043a\u043e\u0434 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u043d\u0438\u0436\u0435. \u0424\u0443\u043d\u043a\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u0430 \u043a <em>Path Traversal.<\/em><\/p>\n<pre><code>TCHAR attackerControlledSourcePath[MAXPATH]; \/\/ this is the \"user input\"    TCHAR tempDirectory[MAXPATH];  GetTempPathW(MAXPATH, tempDirectory);    TCHAR allFilesFromAttackerControlledSourcePath[MAXPATH];  StringCchPrintfW(allFilesFromAttackerControlledSourcePath, MAXPATH,  L\"%s\\\\*.*\", AttackerControlledSourcePath);  hFind = FindFirstFile(allFilesFromAttackerControlledSourcePath, &amp;FindFileData);    do {     TCHAR srcFile[MAXPATH];     TCHAR dstFile[MAXPATH];     StringCchPrintfW(srcFile, MAXPATH, L\"%s\\\\%s\",  attackerControlledSourcePath, FindFileData.cFileName);     StringCchPrintfW(dstFile, MAXPATH, L\"%s\\\\%s\", tempDirectory,  FindFileData.cFileName);       CopyFileW(srcFile, dstFile, TRUE);    while (FindNextFile(hFind, &amp;FindFileData) != 0);FindClose(hFind);<\/code><\/pre>\n<p>\u041c\u044b \u043c\u043e\u0436\u0435\u043c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430, \u0432 \u043f\u0430\u043a\u0435\u0442\u0435 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c: <strong>..\\..\\..\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\evil.exe<\/strong>, \u0438 \u0437\u0430\u043a\u0440\u0435\u043f\u0438\u0442\u044c\u0441\u044f \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438.<\/p>\n<h3>\u0420\u0430\u0437\u0431\u043e\u0440 \u0442\u0430\u0441\u043a\u0430 LetsDefend: SOC174 &#8212; DogWalk 0-Day Activity<\/h3>\n<p>\u0412 LetsDefend \u0435\u0441\u0442\u044c \u0434\u0432\u0430 \u0443\u0440\u043e\u0432\u043d\u044f \u0442\u0430\u0441\u043a\u043e\u0432:<\/p>\n<ul>\n<li>\n<p>Security Analyst (\u043a\u0435\u0439\u0441\u044b \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u043e\u0432 1-\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f, \u043f\u043e \u043b\u043e\u0433\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0430\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439)<\/p>\n<\/li>\n<li>\n<p>Incident responder (\u043a\u0435\u0439\u0441\u044b \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c\u0441\u044f \u043a \u043c\u0430\u0448\u0438\u043d\u0430\u043c \u043f\u043e VNC \u0438 \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u044c \u0430\u043d\u0430\u043b\u0438\u0437 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432)<\/p>\n<\/li>\n<\/ul>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439:<\/p>\n<ul>\n<li>\n<p>\u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f<\/p>\n<\/li>\n<li>\n<p>\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f \u043f\u043e\u0447\u0442\u0430<\/p>\n<\/li>\n<li>\n<p>\u0441\u043f\u0438\u0441\u043e\u043a \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432<\/p>\n<\/li>\n<li>\n<p>\u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b\u0435<\/p>\n<\/li>\n<li>\n<p>\u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043d\u0430 \u0445\u043e\u0441\u0442\u0435<\/p>\n<\/li>\n<li>\n<p>\u0438\u0441\u0442\u043e\u0440\u0438\u044f \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c\u0441\u044f \u043a \u0445\u043e\u0441\u0442\u0443 \u0447\u0435\u0440\u0435\u0437 VNC<\/p>\n<\/li>\n<\/ul>\n<h4>\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435<\/h4>\n<p>\u041d\u0430\u043c \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<ul>\n<li>\n<p>\u0438\u043c\u044f \u043c\u0430\u0448\u0438\u043d\u044b\/ip: Jack-dev-server \/ 172.16.17.81<\/p>\n<\/li>\n<li>\n<p>\u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e: SOC174 &#8212; DogWalk 0-Day Activity<\/p>\n<\/li>\n<li>\n<p>ID CVE: CVE-2022-34713<\/p>\n<\/li>\n<li>\n<p>\u0437\u0430\u043f\u0438\u0441\u043a\u0430 \u043e\u0442 L1 SOC: I saw that the diagcab file was run with msdt.exe at 11.08.2022 07:58. But I did not understand how this happened and what happened next.<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0438\u0447\u0438\u043d\u0430 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f: Running a diagcab file with msdt.exe<\/p>\n<\/li>\n<\/ul>\n<figure class=\"full-width\"><figcaption>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u0430 Let&#8217;s Defend<\/figcaption><\/figure>\n<h4>\u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b<\/h4>\n<p>\u042f \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u043b, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c \u0432 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u043c \u043f\u0438\u0441\u044c\u043c\u0435.<\/p>\n<figure class=\"full-width\"><figcaption>\u0422\u0435\u043b\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c Jack Hanma<\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u043b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0441\u0441\u044b\u043b\u043a\u0443 <em>hxxps:\/\/52e9-3-17-146-251[.]<\/em><strong><em>ngrok<\/em><\/strong><em>[.]io\/config\/<\/em><strong><em>hotfix895214.diagcab<\/em><\/strong>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u043c \u0438\u043c\u0435\u043d\u0438 <strong>ngrok<\/strong>, \u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0444\u0430\u0439\u043b <strong>hotfix895214.diagcab<\/strong>. \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0448\u0430\u0433\u043e\u043c \u043d\u0443\u0436\u043d\u043e \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f, \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u043b\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c.<\/p>\n<h4>\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f<\/h4>\n<p>\u0412 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u0445, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u043d\u0430\u0448\u0438\u043c \u0445\u043e\u0441\u0442\u043e\u043c \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0447\u0435\u0442\u044b\u0440\u0435 \u0441\u0435\u0441\u0441\u0438\u0438:<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 IP: 172.16.17.81<\/figcaption><\/figure>\n<p>1-2 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b A-\u0437\u0430\u043f\u0438\u0441\u044c \u0434\u043b\u044f \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0433\u043e \u0438\u043c\u0435\u043d\u0438 <em>52e9-3-17-146-251.ngrok.io<\/em> \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u043e\u0442\u0432\u0435\u0442 \u043e\u0442 DNS-\u0441\u0435\u0440\u0432\u0435\u0440\u0430:<em>8.8.8.8 &#8212; A: 3.134.39.220<\/em><\/p>\n<p>3 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \/package<\/p>\n<p>4 &#8212; \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u043b \u0444\u0430\u0439\u043b \/AppData\/Roaming\/Microsoft\/Windows\/Start Menu\/Programs\/Startup\/calc.exe<\/p>\n<p>\u0418\u0437 \u0432\u044b\u0448\u0435\u0441\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u0435\u043b\u0430\u0435\u043c \u0432\u044b\u0432\u043e\u0434, \u0447\u0442\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u0435\u0440\u0435\u0448\u0435\u043b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e <strong>\/package <\/strong>\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043b \u0444\u0430\u0439\u043b <strong>\/AppData\/Roaming\/Microsoft\/Windows\/Start Menu\/Programs\/Startup\/calc.exe<\/strong><\/p>\n<h4>\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043d\u0430 \u0445\u043e\u0441\u0442\u0435<\/h4>\n<p>\u041f\u0435\u0440\u0432\u044b\u043c \u0434\u0435\u043b\u043e\u043c \u044f \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043b \u0436\u0443\u0440\u043d\u0430\u043b <em>Microsoft-Windows-Sysmon\/Operational<\/em>. \u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image = <strong>msdt.exe<\/strong>:  <\/p>\n<pre><code>&lt;QueryList>   &lt;Query Id=\"0\" Path=\"Microsoft-Windows-Sysmon\/Operational\">     &lt;Select Path=\"Microsoft-Windows-Sysmon\/Operational\">*[EventData[Data[@Name='Image'] and Data='C:\\Windows\\System32\\msdt.exe']]&lt;\/Select>   &lt;\/Query> &lt;\/QueryList><\/code><\/pre>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0447\u0435\u0442\u044b\u0440\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f:<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Image=msdt.exe<\/figcaption><\/figure>\n<p>\u0412 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u043d\u0438\u0436\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e <em>chrome<\/em> \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b \u043f\u0440\u043e\u0446\u0435\u0441\u0441 <strong>msdt.exe<\/strong> \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438 <em>\/cab &#171;C:\\Users\\LetsDefend\\Downloads\\hotfix895214.diagcab. <\/em>\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u0444\u0430\u0439\u043b \u0441 \u043f\u0430\u043a\u0435\u0442\u043e\u043c \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0441\u044f \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 <em>Downloads<\/em> \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f <em>LetsDefend<\/em>.<\/p>\n<figure class=\"full-width\"><figcaption>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe<\/figcaption><\/figure>\n<p>\u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0434\u0432\u0443\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441 msdt.exe \u0441\u043e\u0437\u0434\u0430\u043b \u0434\u0432\u0430 \u0444\u0430\u0439\u043b\u0430 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438:<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430<\/figcaption><\/figure>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430<\/figcaption><\/figure>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f chrome.exe:<\/p>\n<pre><code>&lt;QueryList>   &lt;Query Id=\"0\" Path=\"Microsoft-Windows-Sysmon\/Operational\">     &lt;Select Path=\"Microsoft-Windows-Sysmon\/Operational\">*[EventData[Data[@Name='Image'] and Data='C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe']]&lt;\/Select>   &lt;\/Query> &lt;\/QueryList><\/code><\/pre>\n<figure class=\"full-width\"><figcaption>\u0423\u0431\u0435\u0434\u0438\u043b\u0438\u0441\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 chrome.exe<\/figcaption><\/figure>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0443\u0431\u0435\u0434\u0438\u043c\u0441\u044f \u0432 \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438:<\/p>\n<figure class=\"full-width\"><figcaption>\u0424\u0430\u0439\u043b\u044b, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438<\/figcaption><\/figure>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 <em>certutil.exe -hashfile .\\&lt;\u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430> MD5 <\/em>\u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0445\u0435\u0448-\u0441\u0443\u043c\u043c\u044b \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0438\u0445 \u0440\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044e \u043d\u0430  <a href=\"https:\/\/www.virustotal.com\/gui\/home\/upload\" rel=\"noopener noreferrer nofollow\">virustotal<\/a>.<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/file\/4c568fa2c2a8248a076931984705447735441847be064e9d6a4ee205164c6982\" rel=\"noopener noreferrer nofollow\">cmd.exe<\/a><\/p>\n<\/li>\n<\/ul>\n<figure class=\"full-width\"><figcaption>\u0420\u0435\u043f\u0443\u0442\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u0430 cmd.exe<\/figcaption><\/figure>\n<ul>\n<li>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/file\/a103a57d50b32469c5811e2808f021adf9d9220093b540b8a9c83b5c821d370e\" rel=\"noopener noreferrer nofollow\">cmd.exe2<\/a> <\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<\/li>\n<\/ul>\n<h4>\u0410\u043d\u0430\u043b\u0438\u0437 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/h4>\n<p>\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e 7zip \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u043f\u0430\u043a\u0435\u0442 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438 <em> hotfix895214.diagcab<\/em>.<\/p>\n<figure class=\"full-width\"><figcaption>\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438<\/figcaption><\/figure>\n<p>\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 <em>custom.diagcfg<\/em><\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 custom.diagcfg<\/figcaption><\/figure>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u043c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043a\u043b\u044e\u0447 <strong>Package<\/strong>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u043f\u0430\u043a\u0435\u0442\u0430 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438:<\/p>\n<pre><code>\\\\52e9-3-17-146-251.ngrok.is@ssl\\DavWWWRoot\\Package<\/code><\/pre>\n<p>\u0412 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0432\u044b\u0448\u0435 \u0434\u043e\u043b\u0436\u0435\u043d \u0440\u0430\u0441\u043f\u043e\u043b\u0430\u0433\u0430\u0442\u044c\u0441\u044f \u0444\u0430\u0439\u043b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <strong>..\\..\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\calc.exe2. <\/strong>\u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0442\u0443\u043d\u043d\u0435\u043b\u044c ngrok \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d.<\/p>\n<h3>Sigma Rules<\/h3>\n<p>\u0412 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 Sigma \u0431\u044b\u043b\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 msdt.exe \u0438\u043b\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043c\u043e\u0434\u0443\u043b\u044f sdiageng.dll.<br \/>\u0414\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 <a href=\"https:\/\/github.com\/SigmaHQ\/sigma\/pull\/3430\" rel=\"noopener noreferrer nofollow\">\u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438<\/a><\/p>\n<p>\u041f\u0440\u0430\u0432\u0438\u043b\u0430 Sigma \u0434\u043b\u044f \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u0439 msdt.exe:<\/p>\n<pre><code>sigma\/rules\/windows\/file_event\/file_event_win_msdt_autorun.yml sigma\/rules\/windows\/image_load\/image_load_msdt_sdiageng.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_lolbins_by_office_applications.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_susp_cab_options.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_diagcab.yml:description sigma\/rules\/windows\/process_creation\/proc_creation_win_possible_applocker_bypass.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_lolbin_msdt_answer_file.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt.yml:description sigma\/rules\/windows\/process_creation\/proc_creation_win_msdt_susp_parent.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_renamed_msdt.yml sigma\/rules\/windows\/process_creation\/proc_creation_win_outlook_shell.yml<\/code><\/pre>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/post\/684940\/\"> https:\/\/habr.com\/ru\/post\/684940\/<\/a><br \/><\/br><\/br><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-337596","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/337596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=337596"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/337596\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=337596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=337596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=337596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}