📤 Telegram как канал эксфильтрации: sendDocument, sendMessage, sendPhoto 👣 Почему это работает: 1️⃣ Telegram-бот создаётся за минуту 2️⃣ Передача файлов по HTTPS 3️⃣ Не требует авторизации от получателя 4️⃣ API стабилен и почти не отслеживается корпоративными DLP 5️⃣ Используется десятками стиллеров: RedLine, XWorm, Stealerium, Lumma, Aurora, StormKitty, AsyncRAT 📁 Где искать: 🔎 API-артефакты: 1️⃣ Команды: 🔤 https://api.telegram.org/bot<token>/sendDocument 🔤 sendMessage, sendPhoto, getUpdates 2️⃣ В PowerShell или скриптах: Invoke-WebRequest, System.Net.WebClient 3️⃣ URL с api.telegram.org, часто — POST, заголовок Content-Type: multipart/form-data 📂 Поведенческие признаки: 1️⃣ Вызов powershell.exe, curl, python, httpclient 2️⃣ Появление .txt, .log, .zip, .db → затем отправка 3️⃣ Сетевая активность с api.telegram.org без видимой причины 🛠 Инструменты: 🔤 Fiddler, Wireshark, Sysmon 🔤 LogParser (по HTTP), EDR, Suricata/Snort 🔤 Regex-ловушки на Telegram токены (bot[0-9]+:[A-Za-z0-9_-]{35}) 🔍 MITRE ATT&CK: 🔤 T1041 — Exfiltration Over C2 Channel 🔤 T1567.002 — Exfiltration Over Web Service 🔤 T1105 — Ingress Tool Transfer 🔤 T1059.001 — PowerShell 💥 Как бы мы это засекли в SIEM? Ищем: 1️⃣ Обращения к api.telegram.org с внутренних хостов 2️⃣ Сетевые POST-запросы с multipart данными 3️⃣ Повторяющиеся вызовы sendDocument с логами, куками, zip 4️⃣ Логирование powershell.exe с inline-скриптом или Invoke-WebRequest 🧪 Кейс IR: На client-14 был зафиксирован выход на api.telegram.org 1️⃣ До этого — запуск powershell.exe с base64-командой 2️⃣ Команда → выгрузка файлов %AppData%&#092;Local&#092;Google&#092;Chrome&#092;User Data&#092;Default&#092;Login Data 3️⃣ Через sendDocument → на ID, связанный с ботом @xw_stealer_bot 🎯 Ни антивирус, ни прокси не заметили. 🦾 Совет от CRATU: 1️⃣ Блокируй доступ к api.telegram.org с рабочих станций 2️⃣ Ищи Telegram API в PowerShell-логе (Event ID 4104) 3️⃣ Отслеживай создание подозрительных .txt/.zip/.db файлов 4️⃣ Настрой правила DLP на детект bot[ID]:[TOKEN] в передаваемых строках 📅 Далее — Steganography: как стиллер может прятаться в .png или .jpg, выглядя как котик, а быть RAT’ом 🖼 Никогда не доверяй мемам из письма. 📡 Подпишись, чтобы не пропустить: t.me/cratu_team #TelegramC2 #CRATU #ШпаргалкиЦифровогоДетектива #MITRE #SCSIEM #Exfiltration #Stealer