Наиболее интересные ресерчи, прочитанные на этой неделе:
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
Что по материалам за прошедшую неделю:
1. Если вы еще читаете The DFIR Report, то я прямо даже не знаю. Неделя началась с их публикации
2. Huntress описал кейс с майнером, поставленным через давно установленный в системе TeamViewer. RMM (Remote Monitoring and Management) злоумышленники очень любят, как видите, даже майнеры таким образом не стесняются ставить
3. Blind CSS Exfiltration нашел ресерчер из PortSwigger на этой неделе. Выглядит впечатляюще
4. Подробный и качественный разбор одного из тасков на HTB в части облачной форензики. Но если тот же AWS у нас можно встретить не так уж часто, то по теме еще добавлю хороший материал, опубликованный весной, про облачные SaaS-решения с точки зрения пентестера
5. Легкое чтиво про то, какими методами могут пользоваться злоумышленники, играя на ваших зависимостях в коде. Если тайпсквоттингом уже никого не удивишь (да ведь?), то вот про Starjacking и Dependency Confusion интересно
6. Ну и напоследок, не совсем про ИБ, но точно о наболевшем. Я часто получаю вопросы в стиле "как войти в айти" и на какие курсы лучше податься. И мне ж не жалко дать совет, но самая большая беда в том, что не менее часто мотивация у таких запросов строится исключительно на легких деньгах, которые мы еще и буквально гребем лопатой. В общем, вся боль таких курсов - здесь
#weekly
1. Если вы еще читаете The DFIR Report, то я прямо даже не знаю. Неделя началась с их публикации
2. Huntress описал кейс с майнером, поставленным через давно установленный в системе TeamViewer. RMM (Remote Monitoring and Management) злоумышленники очень любят, как видите, даже майнеры таким образом не стесняются ставить
3. Blind CSS Exfiltration нашел ресерчер из PortSwigger на этой неделе. Выглядит впечатляюще
4. Подробный и качественный разбор одного из тасков на HTB в части облачной форензики. Но если тот же AWS у нас можно встретить не так уж часто, то по теме еще добавлю хороший материал, опубликованный весной, про облачные SaaS-решения с точки зрения пентестера
5. Легкое чтиво про то, какими методами могут пользоваться злоумышленники, играя на ваших зависимостях в коде. Если тайпсквоттингом уже никого не удивишь (да ведь?), то вот про Starjacking и Dependency Confusion интересно
6. Ну и напоследок, не совсем про ИБ, но точно о наболевшем. Я часто получаю вопросы в стиле "как войти в айти" и на какие курсы лучше податься. И мне ж не жалко дать совет, но самая большая беда в том, что не менее часто мотивация у таких запросов строится исключительно на легких деньгах, которые мы еще и буквально гребем лопатой. В общем, вся боль таких курсов - здесь
#weekly
Новая неделя, новые ресерчи:
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
Итак, поехали:
1. Opendir и вжух, вся активность актора как на ладони. Как обычно, интересный отчет по TheDFIRReport, даженекоторые российские организации засветились. Всем читать!
2. Если долго следить за каналом, можно вычислить моих фаворитов. К тому же, если одной заметкой захватить сразу несколько через Round Up и узнать, когда может быть полезен журнал Application и почему EDR иногда бывает слеп
3. Ну и раз зашла речь, Red Team Adventures - атаки на EDR. Мне вообще очень понравились все три части: никакой бинарщины и kernel-based штук, все расписано донельзя просто, доступно и местами даже с юморком
4. Особенности работы с дампами памяти через снапшоты у гипервизоров Hyper-V и VMware ESXi от 13Cubed
5. F.A.C.C.T. про Cloud Atlas с фишингом по теме СВО и воинского учета или как делать письма, чтоб уж точно кликнули, и к чему это может привести
6. Облака меня все не отпускают. Немножко оффенсиваfrom IR perspective от Лины @ inversecos с темой Hacking the Cloud Like an APT
7. Netscaler-ы, свежие RCE и что/где искать, если вовремя не патчитесь
8. Ну и напоследок полезных мыслей о том, как нести инфобез в массы (повышать уровень осведомленности сотрудников и какими способами, методами и словами это лучше делать)
#weekly
1. Opendir и вжух, вся активность актора как на ладони. Как обычно, интересный отчет по TheDFIRReport, даже
2. Если долго следить за каналом, можно вычислить моих фаворитов. К тому же, если одной заметкой захватить сразу несколько через Round Up и узнать, когда может быть полезен журнал Application и почему EDR иногда бывает слеп
3. Ну и раз зашла речь, Red Team Adventures - атаки на EDR. Мне вообще очень понравились все три части: никакой бинарщины и kernel-based штук, все расписано донельзя просто, доступно и местами даже с юморком
4. Особенности работы с дампами памяти через снапшоты у гипервизоров Hyper-V и VMware ESXi от 13Cubed
5. F.A.C.C.T. про Cloud Atlas с фишингом по теме СВО и воинского учета или как делать письма, чтоб уж точно кликнули, и к чему это может привести
6. Облака меня все не отпускают. Немножко оффенсива
7. Netscaler-ы, свежие RCE и что/где искать, если вовремя не патчитесь
8. Ну и напоследок полезных мыслей о том, как нести инфобез в массы (повышать уровень осведомленности сотрудников и какими способами, методами и словами это лучше делать)
#weekly
#basics
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
Ленивый #weekly : не сказать, что за праздники прочла кучу всего интересного, но! Много слушала. Мои открытия этой недели в виде +2 подкастов:
Breaking Badness
Если сложно слушать, можно читать саммари, например, вот
Для меня в одном из эпизодов были самые интересные предикшнс на 2024 среди всех, что я встречала до (:
DARKNET DIARIES
Тут даже есть красивенький сайт с полноценными транскрипциями
Отдельное спасибо Сергею Солдатову за эту рекомендацию и всем, кто еще накидывал варианты! Я в процессе 🎧
P.S. Можно использовать в качестве тренировки listening skills ;)
Breaking Badness
Если сложно слушать, можно читать саммари, например, вот
Для меня в одном из эпизодов были самые интересные предикшнс на 2024 среди всех, что я встречала до (:
DARKNET DIARIES
Тут даже есть красивенький сайт с полноценными транскрипциями
P.S. Можно использовать в качестве тренировки listening skills ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет, это #weekly
1. MUST READ: Why We Need to Stop Panicking about Zero-Days (Katie Nickels, Red Canary, at Shmoocon January 2024)
2. Для любителей использовать ChatGPT в работе, just keep in mind: выступление с SOC Forum Артема Бачевского с темой актуальных угроз безопасности в Large Language Model Applications
3. Что-то тема буфера обмена немного прошла мимо меня, исправляюсь, читаю The Art of Clipboard Forensics
4. Ну как на этой неделе не упомянуть про взлом аккаунта Mandiant в твиттере aka Х
5. Будьте начеку, даже когда скачиваете бесплатный и уже привычный софт, - свежий пример с Advanced IP Scanner. Малвертайзинг, он такой
6. Если вы еще не знаете, как можно использовать журналы безопасности Windows для хранения полезной нагрузки, вам сюда: разобрано по полочкам, начиная с азов. По мотивам репорта от касперов за 2022
7. Что за куча процессов DismHost.exe и зачем оно такое прекрасно расписано здесь (настоятельно рекомендую хотя бы мельком пробежаться по всем заметкам в ветке)
1. MUST READ: Why We Need to Stop Panicking about Zero-Days (Katie Nickels, Red Canary, at Shmoocon January 2024)
2. Для любителей использовать ChatGPT в работе, just keep in mind: выступление с SOC Forum Артема Бачевского с темой актуальных угроз безопасности в Large Language Model Applications
3. Что-то тема буфера обмена немного прошла мимо меня, исправляюсь, читаю The Art of Clipboard Forensics
4. Ну как на этой неделе не упомянуть про взлом аккаунта Mandiant в твиттере aka Х
5. Будьте начеку, даже когда скачиваете бесплатный и уже привычный софт, - свежий пример с Advanced IP Scanner. Малвертайзинг, он такой
6. Если вы еще не знаете, как можно использовать журналы безопасности Windows для хранения полезной нагрузки, вам сюда: разобрано по полочкам, начиная с азов. По мотивам репорта от касперов за 2022
7. Что за куча процессов DismHost.exe и зачем оно такое прекрасно расписано здесь (настоятельно рекомендую хотя бы мельком пробежаться по всем заметкам в ветке)
Ну и под шумок, немного припозднившийся #weekly:
1. Phishing -> VBS -> PowerShell -> shellcode1 -> shellcode2 -> Remcos RAT
2. Как защититься от бестелесных веб-шеллов, CyberOK. Статья отличная, пока немного не поняла отличительную идеюEDR SOLDR(??)-системы, но методы обнаружения точно можно брать на вооружение: ведь там по факту правила auditd, настройки SELinux и сканирование памяти ярой
3. Red Canary про охоту на LOLBins abuse или почему это не так страшно, как кажется на первый взгляд
4. Bash Tips&Tricks от Hadess
5. Установить всего и побольше: DarkCrystal RAT и новенький RADX RAT - F.A.C.C.T.
6. Сказ о том, почему важно понимать и уметь корректно настраивать DNS-записи, пример c GitHub Pages
7. Иногда закрадываются мысли о том, чтобы сдать чтотооколоOSCP в следующем году. Поэтому я достаю всех знакомых и читаю кучу мнений на эту тему, вот в копилку идет Trying Smarter: OSCP vs PNPT. Спойлер:вывод из поста я встречаю уже не первый раз, заставляет крепко задуматься
1. Phishing -> VBS -> PowerShell -> shellcode1 -> shellcode2 -> Remcos RAT
2. Как защититься от бестелесных веб-шеллов, CyberOK. Статья отличная, пока немного не поняла отличительную идею
3. Red Canary про охоту на LOLBins abuse или почему это не так страшно, как кажется на первый взгляд
4. Bash Tips&Tricks от Hadess
5. Установить всего и побольше: DarkCrystal RAT и новенький RADX RAT - F.A.C.C.T.
6. Сказ о том, почему важно понимать и уметь корректно настраивать DNS-записи, пример c GitHub Pages
7. Иногда закрадываются мысли о том, чтобы сдать чтотооколоOSCP в следующем году. Поэтому я достаю всех знакомых и читаю кучу мнений на эту тему, вот в копилку идет Trying Smarter: OSCP vs PNPT. Спойлер:
Ну и что тут у нас?
1. Забавная мини-история, как атакующие могут реагировать, когда замечают ваше присутствие
2. Как-то я себе закинула в бэклог на почитать и благополучно забыла. Если вы тоже, то инструмент Munchkin в виде ISO-файла из обновленного арсенала операторов BlackCat
3. Абстрактные, но занимательные примеры как заюзать файловую групповую политику для LPE
4. EDRSilencer и некоторые рассуждения на тему байпасов EDR. Неистово выражаю солидарность!
5. Исследование программы-вымогателя семейства Kasseika и их BYOVD
6. Сначала раз, а потом два (там про взлом почты Microsoft, если что)
7. Cloud Threat Landscape: и выглядит симпатично, и структурированная инфа в одном месте. Лайк
#weekly
1. Забавная мини-история, как атакующие могут реагировать, когда замечают ваше присутствие
2. Как-то я себе закинула в бэклог на почитать и благополучно забыла. Если вы тоже, то инструмент Munchkin в виде ISO-файла из обновленного арсенала операторов BlackCat
3. Абстрактные, но занимательные примеры как заюзать файловую групповую политику для LPE
4. EDRSilencer и некоторые рассуждения на тему байпасов EDR. Неистово выражаю солидарность!
5. Исследование программы-вымогателя семейства Kasseika и их BYOVD
6. Сначала раз, а потом два (там про взлом почты Microsoft, если что)
7. Cloud Threat Landscape: и выглядит симпатично, и структурированная инфа в одном месте. Лайк
#weekly
Работа кипит, а #weekly за прошлую неделю лежит и грустит в закладках. Не пропадать же добру, просто закину ссылки как есть: все, как обычно, рекомендовано к прочтению
1. Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours
2. Scaly Wolf применяет стилер White Snake против российской промышленности
3. Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
4. The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
5. Proactive Response: Any Breach (AnyDesk Incident)
6. Continuous Purple Teaming: A Practical Approach for Strengthening Your Offensive Capabilities
7. Jet Report: итоги 2023 года
1. Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours
2. Scaly Wolf применяет стилер White Snake против российской промышленности
3. Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
4. The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
5. Proactive Response: Any Breach (AnyDesk Incident)
6. Continuous Purple Teaming: A Practical Approach for Strengthening Your Offensive Capabilities
7. Jet Report: итоги 2023 года
#weekly пока на паузе, работки овер много. Но вчера начала читать занимательную книженцию: выглядит многообещающе и легко идет, посмотрим. От создателей первых отчетов по декою