📤 FTP-эксфильтрация — когда зловред уходит по-старинке 👣 Почему это работает: 1️⃣ Стиллеру не нужен ни Telegram, ни Discord — только IP и логин/пароль 2️⃣ FTP легко поднимается злоумышленником, почти не отслеживается 3️⃣ Часто эксфильтруются: куки, пароли, скриншоты, текстовые дампы 4️⃣ Используется стиллерами: RedLine, StormKitty, Stealerium, Vidar, XWorm 📁 Где искать: 🔗 Поведение: 1️⃣ После заражения → появляется .zip, .txt, .db, .jpg 2️⃣ Далее: подключение к внешнему FTP-серверу 3️⃣ Логин вида ftpuser, admin, ftp123 4️⃣ Файл передаётся в корень сервера, часто с именем Logs_<User>.zip 🕵️ Сетевые признаки: 1️⃣ Подключение к портам 21, 2121, 8021 2️⃣ FTP-команды: USER, PASS, STOR, PORT, RETR, PUT 3️⃣ Отправка файла .zip/.rar через STOR 🛠 Инструменты: 1️⃣ Wireshark, Suricata, tcpdump, Zeek 2️⃣ Sysmon (ID 3 — network connect) 3️⃣ Process Monitor — создание логов перед передачей 4️⃣ log2timeline, NetWitness, KAPE 🔍 MITRE ATT&CK: 🔤 T1048.003 — Exfiltration Over Unencrypted Non-C2 Protocol 🔤 T1567.001 — Exfiltration to Cloud Storage 🔤 T1059.003 — Command and Scripting Interpreter: Windows Command Shell 🔤 T1105 — Ingress Tool Transfer 💥 Как бы мы это засекли в SIEM? Ищем: 1️⃣ Подключения к внешнему FTP (21/tcp) без очевидной причины 2️⃣ Процессы powershell, cmd, python, ftp.exe, wininet.dll, curl с FTP 3️⃣ Загружаемые файлы .zip, .rar, .txt — сразу после создания 4️⃣ Повторяющиеся подключения с одной машины на один IP 🧪 Кейс IR: На accounting-pc появился файл logs2025.zip 🔤 В логах: FTP-сессия к 91.122.24.73 → порт 21 🔤 Использовалась ftp.exe через cmd.exe /c ftp -n -s:script.txt 🔤 script.txt создавался малварью и удалялся после сессии 🎯 Утечка: Chrome cookies + Telegram Desktop session + Keepass DB 🦾 Совет от CRATU: 1️⃣ Блокируй FTP-подключения с рабочих станций, если это не 1998 2️⃣ Логи FTP должны браться на контроль, как только ты увидел STOR 3️⃣ Следи за ftp.exe, python.exe, curl.exe с передачей файлов 4️⃣ Подключи Suricata/Zeek для отслеживания FTP-команд 📅 Далее — schtasks + отложенный запуск PowerShell: как малварь ждёт 2 минуты и стартует уже "в тени" ⏳ Идеально, чтобы обойти первые секунды внимания EDR. 📡 Подписка для контроля: t.me/cratu_team #FTP #Exfiltration #CRATU #ШпаргалкиЦифровогоДетектива #MITRE #SCSIEM #OldSchoolLeak