Poster_Coolest-Careers_v0423_WEB.pdf
608.8 KB
Экзамены GIAC и соответствующие курсы SANS в разрезе разных специальностей. Использовать вдогонку к этому роадмапу по различным сертификатам в ИБ
SANS_DFPS_FOR508_v4.10_02-23.pdf
1.9 MB
Find Evil (from 02/2023)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
SANS_DFPS_Windows-Apps-v1.4_02-.23.pdf
1.9 MB
Windows Third-Party Apps Forensics (from 02/2023)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
SANS_DFPS-FOR572_v1.13_09-23.pdf
6.1 MB
Network Forensics (from 09/2023)
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важнознать понимать модели OSI и TCP/IP и хотя бы на базовом уровне разбираться во всех этих "сетевых штуках"
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важно
Наиболее интересные ресерчи, прочитанные на этой неделе:
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
Кто меня хорошо знает, знает и то, что к ЛК я питаю особую любовь. Под вечер нахлынула ностальгия и решила поделиться, почему так, или одним из примеров, как можно развивать лояльность к компании задолго до :)
Чтобы немного ввести в контекст: на момент окончания ВУЗа я работала штатным специалистом по ИБ при госструктуре. Даже когда мы еще учились, нам преподаватели прямым текстом говорили, что если хотите расти в ИБ - вам у нас (в моем родном городе) делать нечего, поэтому я всегда знала, что рано или поздно перееду. Я защитилась, диплом у меня был на тему построения mesh-сетей на микроконтроллерах ESP8266.
Где-то спустя полгода мой научрук скидывает мне какой-то анонс от касперов с призовым фондом и финалом где-то там, и говорит, а может закинешь им работу, кто знает. Ну, я, собственно, закинула какое-то саммари и благополучно забыла
А спустя время мне приходит письмо, что мы прошли (:
Теперь представьте меня: я совсем зеленая, мне 21 год, и меня с моего небольшого городка в Сибири приглашают на финал в Будапешт! Сказать, что у меня был шок - не сказать ничего. К тому же, организаторы оплачивали все: перелет в два самолета до места назначения, три дня проживания и так далее. За мной было только получение визы, тогда я заплатила за это может тысяч 10, и то, скорее, больше за срочность. К слову, моя зарплата тогда в принципе была тысяч 15-20. И тут я приезжаю в сказку: тогда мероприятия такого уровня мне казались чем-то не от мира сего, общаюсь со всеми, в том числе с ребятами из Москвы, расспрашиваю что да как
В общем, в итоге я конечно же ничего не выиграла. Забавно вспоминать, но мой английский был настолько неуверенный тогда, что свою речь я начала со слов "Sorry, my English is not so good as yours, but I’ll try" 😁 Но дело было не в этом и все вполне достойно прошло, поэтому для меня это была уже ох какая победа. Это был международный студенческий конкурс Secure’IT Cup, а 3 место, кстати, заняли ребята из МИФИ
Короче! Вернулась я под впечатлением и была так воодушевлена, что чуть меньше через 2 месяца переехала в Москву. Кажется, моя жизнь сложилась бы по-другому, если бы не это событие. Как после этого я могу их не любить?)
#own
Чтобы немного ввести в контекст: на момент окончания ВУЗа я работала штатным специалистом по ИБ при госструктуре. Даже когда мы еще учились, нам преподаватели прямым текстом говорили, что если хотите расти в ИБ - вам у нас (в моем родном городе) делать нечего, поэтому я всегда знала, что рано или поздно перееду. Я защитилась, диплом у меня был на тему построения mesh-сетей на микроконтроллерах ESP8266.
Где-то спустя полгода мой научрук скидывает мне какой-то анонс от касперов с призовым фондом и финалом где-то там, и говорит, а может закинешь им работу, кто знает. Ну, я, собственно, закинула какое-то саммари и благополучно забыла
А спустя время мне приходит письмо, что мы прошли (:
Теперь представьте меня: я совсем зеленая, мне 21 год, и меня с моего небольшого городка в Сибири приглашают на финал в Будапешт! Сказать, что у меня был шок - не сказать ничего. К тому же, организаторы оплачивали все: перелет в два самолета до места назначения, три дня проживания и так далее. За мной было только получение визы, тогда я заплатила за это может тысяч 10, и то, скорее, больше за срочность. К слову, моя зарплата тогда в принципе была тысяч 15-20. И тут я приезжаю в сказку: тогда мероприятия такого уровня мне казались чем-то не от мира сего, общаюсь со всеми, в том числе с ребятами из Москвы, расспрашиваю что да как
В общем, в итоге я конечно же ничего не выиграла. Забавно вспоминать, но мой английский был настолько неуверенный тогда, что свою речь я начала со слов "Sorry, my English is not so good as yours, but I’ll try" 😁 Но дело было не в этом и все вполне достойно прошло, поэтому для меня это была уже ох какая победа. Это был международный студенческий конкурс Secure’IT Cup, а 3 место, кстати, заняли ребята из МИФИ
Короче! Вернулась я под впечатлением и была так воодушевлена, что чуть меньше через 2 месяца переехала в Москву. Кажется, моя жизнь сложилась бы по-другому, если бы не это событие. Как после этого я могу их не любить?)
#own
Список рекомендаций к изучению, составленный исключительно из моего опыта, в том числе когда я сама с нуля погружалась в форензику. Приведу оригинал и перевод книги, если он есть, но имейте ввиду, что порой читать в оригинале лучше, как минимум чтобы не встречать диковинные переводы в стиле "атака типа водопой"
Базовый уровень для вхождения в специальность (= must read):
1. Applied Incident Response, Steve Anson / Реагирование на компьютерные инциденты. Прикладной курс, Cтив Энсон
2. Incident Response Techniques for Ransomware Attacks, Oleg Skulkin / Шифровальщики, Олег Скулкин
3. Cybersecurity Ops with bash, Paul Troncone, Carl Albing / Bash и кибербезопасность, Олбинг Карл, Тронкон Пол
Средний уровень:
4. Practical Memory Forensics, Svetlana Ostrovskaya / Криминалистика компьютерной памяти на практике, Светлана Островская
5. Intelligence-Driven Incident Response, Scott J. Roberts, Rebekah Brown
6. Active Directory глазами хакера, Ralf Hacker
Уровень максимум:
Вообще большинство книг уровнем повыше можно использовать больше как справочник или по случаю. Не стоит мучаться и читать от корки до корки просто потому что надо (но можете и почитать, если интересно)
7. File System Forensic Analysis, Brian Carrier
8. Practical Linux Forensics: A Guide for Digital Investigators, Bruce Nikkel
9. Восстановление данных. Практическое руководство, Крис Касперски, В.Е. Холмогоров
Extremely high level:
10. https://www.google.com/
Все указанные файлы приложены в комментариях
#books
Базовый уровень для вхождения в специальность (= must read):
1. Applied Incident Response, Steve Anson / Реагирование на компьютерные инциденты. Прикладной курс, Cтив Энсон
2. Incident Response Techniques for Ransomware Attacks, Oleg Skulkin / Шифровальщики, Олег Скулкин
3. Cybersecurity Ops with bash, Paul Troncone, Carl Albing / Bash и кибербезопасность, Олбинг Карл, Тронкон Пол
Средний уровень:
4. Practical Memory Forensics, Svetlana Ostrovskaya / Криминалистика компьютерной памяти на практике, Светлана Островская
5. Intelligence-Driven Incident Response, Scott J. Roberts, Rebekah Brown
6. Active Directory глазами хакера, Ralf Hacker
Уровень максимум:
Вообще большинство книг уровнем повыше можно использовать больше как справочник или по случаю. Не стоит мучаться и читать от корки до корки просто потому что надо (но можете и почитать, если интересно)
7. File System Forensic Analysis, Brian Carrier
8. Practical Linux Forensics: A Guide for Digital Investigators, Bruce Nikkel
9. Восстановление данных. Практическое руководство, Крис Касперски, В.Е. Холмогоров
Extremely high level:
10. https://www.google.com/
#books
Дополнительно:
https://www.youtube.com/@13Cubed/videos
https://www.youtube.com/@SANSForensics/videos
https://www.youtube.com/watch?v=oMAvSpq9fYY
https://www.youtube.com/watch?v=8xAuvl0Cp90 (Райан вообще хорош, я пересмотрела все видосы с ним, он всегда весело и доступно рассказывает)
Если у вас сложно с Linux: https://www.youtube.com/playlist?list=PLmxB7JSpraiep6kr802UDqiAIU-76nGfc
Если у вас сложно с компьютерными сетями: https://www.youtube.com/watch?v=OLFA0soYGhw&list=PLtPJ9lKvJ4oiNMvYbOzCmWy6cRzYAh9B1&pp=iAQB
#video
https://www.youtube.com/@13Cubed/videos
https://www.youtube.com/@SANSForensics/videos
https://www.youtube.com/watch?v=oMAvSpq9fYY
https://www.youtube.com/watch?v=8xAuvl0Cp90 (Райан вообще хорош, я пересмотрела все видосы с ним, он всегда весело и доступно рассказывает)
Если у вас сложно с Linux: https://www.youtube.com/playlist?list=PLmxB7JSpraiep6kr802UDqiAIU-76nGfc
Если у вас сложно с компьютерными сетями: https://www.youtube.com/watch?v=OLFA0soYGhw&list=PLtPJ9lKvJ4oiNMvYbOzCmWy6cRzYAh9B1&pp=iAQB
#video
Под утреннюю чашку кофе поделюсь еще своим мнением касательно собеседований. Все же считаю, что ходить на них можно и иногда нужно, даже будучи трудоустроенным
Так вы не только нарабатываете скилл общения, узнаете свои слабые стороны, но и понимаете, что сейчас нужно рынку из первых уст, потому что на собеседовании вас будут спрашивать в первую очередь то, со знанием чего вы столкнетесь сразу или будете встречать в работе наиболее часто
Результат может быть разный, особенно на первых порах: вам будут отказывать (а это неприятно, даже если вы в принципе не собирались менять работу или выбирать эту компанию) или наоборот, отказывать нужно будет вам.
Год назад я как раз активно собесилась, при чем, приняв решение и уже устроившись, поняла, что выбранный функционал мне не совсем близок сейчас - и это нормально! Испытательный срок - это не только когда проверяют вас, но и вы присматриваетесь к компании, а главное, команде. Тем не менее, снова менять работу было крайне непростым для меня решением, поэтому я себе ножом высекла такие правила:
1. Первое впечатление редко обманчиво
Если вам кажется, что что-то не так, скорее всего, вам не кажется
2. Больше говорите со своим прямым руководителем
Если этапов собеседований несколько (например, с HR, техническое и личное с руководством), больше разговаривайте со своим будущим непосредственным руководителем, так как работать вам в основном именно с ним. Важно, что бы вы готовы были идти за этим человеком. Я люблю говорить, что ваш руководитель - это вы через N лет. Хотите быть похожим на него? Нет? Тогда это еще один повод на подумать
3. Сразу четко проясните для себя все неудобные моменты
Зарплата, чаще всего, не единственный критерий: не позволяйте себе пренебрегать другими. Например, вам вообще неудобно добираться до работы, но вы начинаете рассуждать, что ладно, за деньги - потерплю. Нет, не потерпите
4. Узнавайте про задачи, которые вам поставят на испытательный срок или которые будут ставить перед вами. Идеально, если это сразу прописывают в оффере без витиеватых формулировок
5. Лучше сразу иметь понимание, что именно не устраивает на старом месте и что наоборот менять бы не хотелось
6. В любом случае не бояться пробовать
Можно даже попробовать пройти собеседование на смежное или кардинально другое направление, почему бы и нет? Само собой тут больше шансов завалиться, но вдруг что-то зацепит и тут вы уже с тузом в рукаве, зная, куда копать дальше
Подводя итог очередного лонгрида, скажу, что мои лучшие и любимые собеседования - те, которые я откровенно завалила 😂 до сих пор помню каждое из них! Более того, именно так я и оказалась в респонсе, но это уже совсем другая история :)
#own
Так вы не только нарабатываете скилл общения, узнаете свои слабые стороны, но и понимаете, что сейчас нужно рынку из первых уст, потому что на собеседовании вас будут спрашивать в первую очередь то, со знанием чего вы столкнетесь сразу или будете встречать в работе наиболее часто
Результат может быть разный, особенно на первых порах: вам будут отказывать (а это неприятно, даже если вы в принципе не собирались менять работу или выбирать эту компанию) или наоборот, отказывать нужно будет вам.
Год назад я как раз активно собесилась, при чем, приняв решение и уже устроившись, поняла, что выбранный функционал мне не совсем близок сейчас - и это нормально! Испытательный срок - это не только когда проверяют вас, но и вы присматриваетесь к компании, а главное, команде. Тем не менее, снова менять работу было крайне непростым для меня решением, поэтому я себе ножом высекла такие правила:
1. Первое впечатление редко обманчиво
Если вам кажется, что что-то не так, скорее всего, вам не кажется
2. Больше говорите со своим прямым руководителем
Если этапов собеседований несколько (например, с HR, техническое и личное с руководством), больше разговаривайте со своим будущим непосредственным руководителем, так как работать вам в основном именно с ним. Важно, что бы вы готовы были идти за этим человеком. Я люблю говорить, что ваш руководитель - это вы через N лет. Хотите быть похожим на него? Нет? Тогда это еще один повод на подумать
3. Сразу четко проясните для себя все неудобные моменты
Зарплата, чаще всего, не единственный критерий: не позволяйте себе пренебрегать другими. Например, вам вообще неудобно добираться до работы, но вы начинаете рассуждать, что ладно, за деньги - потерплю. Нет, не потерпите
4. Узнавайте про задачи, которые вам поставят на испытательный срок или которые будут ставить перед вами. Идеально, если это сразу прописывают в оффере без витиеватых формулировок
5. Лучше сразу иметь понимание, что именно не устраивает на старом месте и что наоборот менять бы не хотелось
6. В любом случае не бояться пробовать
Можно даже попробовать пройти собеседование на смежное или кардинально другое направление, почему бы и нет? Само собой тут больше шансов завалиться, но вдруг что-то зацепит и тут вы уже с тузом в рукаве, зная, куда копать дальше
Подводя итог очередного лонгрида, скажу, что мои лучшие и любимые собеседования - те, которые я откровенно завалила 😂 до сих пор помню каждое из них! Более того, именно так я и оказалась в респонсе, но это уже совсем другая история :)
#own
Все форензики любят утилиты Эрика Циммермана,
просто потому что это база и они охватывают буквально все основные криминалистические источники артефактов. Более того, Эрик их саппортит и постоянно допиливает
Из забавного: на одном из потоков сансовских курсов студенты проходили общую структуру таблицы MFT, которая содержит информацию о содержимом тома с файловой системой NTFS (простыми словами, информацию обо всех файлах, хранящихся на диске). В момент, когда начали рассматривать соответствующую консольную утилиту MFTECmd и порядок работы с ней, также затронули понятие резидентных и нерезидентных файлов.Резидентные файлы - это те, размер которых меньше 600-900 байт, поэтому хранятся они прямо в файле $ MFT. Кто-то из учеников курса сказал, что классно было бы, если бы MFTECmd умел работать с такими файлами сразу. Эрик услышал этот комментарий и буквально в течение часа зарелизил апдейт с такой фичей (: Поэтому теперь небольшие файлы можно достать при помощи параметра
В результате все резидентные файлы будут лежать у вас в одноименной папке рядом с распаршенным $ MFT.
Что может быть в таких ничтожно малых файлах, спросите вы?
По факту, без необходимости снятия образа и дозапроса данных, у вас появляется возможность сразу же получить все легковесные текстовые файлы, батники, ps1-файлы, что невероятно полезно и порой более чем достаточно при выяснении каких-то деталей в процессе расследования инцидента
#forensics #windows
просто потому что это база и они охватывают буквально все основные криминалистические источники артефактов. Более того, Эрик их саппортит и постоянно допиливает
Из забавного: на одном из потоков сансовских курсов студенты проходили общую структуру таблицы MFT, которая содержит информацию о содержимом тома с файловой системой NTFS (простыми словами, информацию обо всех файлах, хранящихся на диске). В момент, когда начали рассматривать соответствующую консольную утилиту MFTECmd и порядок работы с ней, также затронули понятие резидентных и нерезидентных файлов.
--dr. Пример команды:MFTECmd.exe -f C:\Cases\Case1\mailserver-triage\mft\$MFT --csv . --dr
В результате все резидентные файлы будут лежать у вас в одноименной папке рядом с распаршенным $ MFT.
Что может быть в таких ничтожно малых файлах, спросите вы?
По факту, без необходимости снятия образа и дозапроса данных, у вас появляется возможность сразу же получить все легковесные текстовые файлы, батники, ps1-файлы, что невероятно полезно и порой более чем достаточно при выяснении каких-то деталей в процессе расследования инцидента
#forensics #windows
Еще один мой фаворит - EvtxECmd
При помощи него вы не только можете конвертнуть журналы из нативного evtx-формата в более удобный для вас (CSV, XML или JSON), но и работать с ними напрямую, например, сразу посмотреть статистику по журналу (и увидеть большое количество 4625, но чаще всего это и так видно невооруженным глазом) или отфильтровать по необходимому промежутку времени:
Или сразу же выбрать из журналов только полезные ивенты по их eventID. Например, на одном из скомпрометированных хостов вы нашли факты использования актором PowerShell-сценариев. В качестве одного из вариантов, вы можете собрать события 400,600 по всему домену, что может помочь расширить скоуп скомпрометированных хостов, временные рамки инцидента, а также список используемых процедур:
Кстати, большинство инструментов Эрика также поддерживают работу с теневыми копиями: для этого при запуске на живой системе нужно добавить параметр
#forensics #windows
При помощи него вы не только можете конвертнуть журналы из нативного evtx-формата в более удобный для вас (CSV, XML или JSON), но и работать с ними напрямую, например, сразу посмотреть статистику по журналу (и увидеть большое количество 4625, но чаще всего это и так видно невооруженным глазом) или отфильтровать по необходимому промежутку времени:
EvtxECmd.exe -d C:\Cases\Case2\mailserver-triage\eventlogs\Logs --sd "2023-08-16 12:00:00" --ed "2023-09-16 12:00:00" --csv C:\Cases\Case2\mailserver-triage\eventlogs --csvf filtered-events.csv
Или сразу же выбрать из журналов только полезные ивенты по их eventID. Например, на одном из скомпрометированных хостов вы нашли факты использования актором PowerShell-сценариев. В качестве одного из вариантов, вы можете собрать события 400,600 по всему домену, что может помочь расширить скоуп скомпрометированных хостов, временные рамки инцидента, а также список используемых процедур:
EvtxECmd.exe -d C:\Windows\System32\winevt\Logs --csv <путь к сетевой папке> --csvf %computername%_evtx.csv --inc 400,600
Кстати, большинство инструментов Эрика также поддерживают работу с теневыми копиями: для этого при запуске на живой системе нужно добавить параметр
-vss, что иногда может позволить достать более старые события. Теневые копии вообще предмет интересный, позже поговорим и об этом тоже :)#forensics #windows