Гугл-фу или почему важно уметь гуглить
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
Кстати, с августа этого года гугл индексирует csv-файлы. Так, на подумать 😊
#own #tips
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
#own #tips
Новая неделя, новые ресерчи:
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
Утро, время поразглагольствовать. Снова рубрика советов, которые когда-то давали мне и которыми мне тоже теперь хочется поделиться:
Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать, это имеет смысл не только для вас, но и меня мотивирует изучать как можно больше (:
Помимо того, что именно так вырабатывается насмотренность, вы понимаете, что сейчас реально происходит в мире. Это как читать привычные новости, только по конкретной тематике. Серьезно, в свое время я буквально приучала себя это делать, и теперь понимаю, насколько это полезно, и, что не маловажно, интересно
Если сомневаешься, читать книгу или нет, слушать, смотреть что-то или нет, подумать о том, а может ли там быть хотя бы что-то новое или полезное для тебя, даже если в общем с темой ты уже вроде как хорошо знаком
В конце концов, можно поставить на фон или пробежаться по диагонали, чтобы понять, стоит ли это твоего времени
Don't allow yourself to be the smartest in the room
Еще давно я сделала себе этот скрин и он отдельно лежит у меня в сохраненках. Очень ценю и горжусь каждым, с кем я работала и работаю, до сих пор стараюсь поддерживать отношения со всеми. Искренне считаю, что лучше быть слабым среди сильных, и тогда окружение как-то само тебя «подтянет на свой уровень», чем наоборот
#own
Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать, это имеет смысл не только для вас, но и меня мотивирует изучать как можно больше (:
Помимо того, что именно так вырабатывается насмотренность, вы понимаете, что сейчас реально происходит в мире. Это как читать привычные новости, только по конкретной тематике. Серьезно, в свое время я буквально приучала себя это делать, и теперь понимаю, насколько это полезно, и, что не маловажно, интересно
Если сомневаешься, читать книгу или нет, слушать, смотреть что-то или нет, подумать о том, а может ли там быть хотя бы что-то новое или полезное для тебя, даже если в общем с темой ты уже вроде как хорошо знаком
В конце концов, можно поставить на фон или пробежаться по диагонали, чтобы понять, стоит ли это твоего времени
Don't allow yourself to be the smartest in the room
Еще давно я сделала себе этот скрин и он отдельно лежит у меня в сохраненках. Очень ценю и горжусь каждым, с кем я работала и работаю, до сих пор стараюсь поддерживать отношения со всеми. Искренне считаю, что лучше быть слабым среди сильных, и тогда окружение как-то само тебя «подтянет на свой уровень», чем наоборот
#own
Что делать, если ANONYMOUS LOGON в событиях?
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
А что с английским?
Раньше я относилась к тем людям, которые занимаются иностранным языком время от времени и по долгу службы: школа, универ, языковые курсы даже были, но все это из разряда "потому что надо"
В универе на старших курсах один из моих любимых преподавателей как-то прямо сказал: без английского в ИТ делать нечего. И это правда! Стоит только задуматься спустя сколько времени выходят переводы книг, статей,если они еще выходят в принципе . Ок, в целом, знания языка на школьно-универском уровне лично мне всегда хватало, да и литературу я читать могла и этого было в принципе достаточно..
Пока я не пошла работать в одну небезызвестную международную компанию (:
Сначала я просто слушала ребят с этим вот свободным английским и думала, черт, классно, надо бы тоже. А потом меня начали подключать к кейсам на межнаре... И до чего же это оказалось тяжело после нескольких лет "чтения технической литературы": мысли летят, а связать и два слова сложно - не самая комфортная ситуация. В общем, задело меня тогда. На этой мотивации я уже пару лет держусь 😁
Отпуск не отпуск, а английский - по расписанию
К чему я, собственно. Английский язык необходим и это факт. Да, бывает такое, что раньше изучали другой язык, ну что поделать. В 90% случаев его уровень не выше начального/среднего и тут тем более внедрить изучение нового это просто вопрос приоритетов: постарайтесь найти конкретную мотивацию и понять необходимый уровень именно для вас, свою конечную цель. И, главное, подобрать такие способы изучения и погружения, чтобы вам было в кайф. Скучно на уроке? Нет заинтересованности преподавателя? Или может вообще не ваш формат? Ну и фиг бы с ними, меняйте: мы уже не в универе, где альтернативы часто просто нет. Я вот смотрю видосы, подкасты слушаю, а с англичанкой мы с винишком проболтали весь вечер, когда я приезжала в ее родной город
Все в ваших руках ;) и да, вот как раз один из примеров того, как здорово коллеги могут дать пинка, порой сами того не замечая
#own
Раньше я относилась к тем людям, которые занимаются иностранным языком время от времени и по долгу службы: школа, универ, языковые курсы даже были, но все это из разряда "потому что надо"
В универе на старших курсах один из моих любимых преподавателей как-то прямо сказал: без английского в ИТ делать нечего. И это правда! Стоит только задуматься спустя сколько времени выходят переводы книг, статей,
Пока я не пошла работать в одну небезызвестную международную компанию (:
Сначала я просто слушала ребят с этим вот свободным английским и думала, черт, классно, надо бы тоже. А потом меня начали подключать к кейсам на межнаре... И до чего же это оказалось тяжело после нескольких лет "чтения технической литературы": мысли летят, а связать и два слова сложно - не самая комфортная ситуация. В общем, задело меня тогда. На этой мотивации я уже пару лет держусь 😁
Отпуск не отпуск, а английский - по расписанию
К чему я, собственно. Английский язык необходим и это факт. Да, бывает такое, что раньше изучали другой язык, ну что поделать. В 90% случаев его уровень не выше начального/среднего и тут тем более внедрить изучение нового это просто вопрос приоритетов: постарайтесь найти конкретную мотивацию и понять необходимый уровень именно для вас, свою конечную цель. И, главное, подобрать такие способы изучения и погружения, чтобы вам было в кайф. Скучно на уроке? Нет заинтересованности преподавателя? Или может вообще не ваш формат? Ну и фиг бы с ними, меняйте: мы уже не в универе, где альтернативы часто просто нет. Я вот смотрю видосы, подкасты слушаю, а с англичанкой мы с винишком проболтали весь вечер, когда я приезжала в ее родной город
Все в ваших руках ;) и да, вот как раз один из примеров того, как здорово коллеги могут дать пинка, порой сами того не замечая
#own
Пока я не выложила свое саммари по достойным материалам за неделю, отдельно поделюсь очередным вп от Hadess, который они опубликовали буквально позавчера. Да, снова, они просто прям заполонили мою ленту
Но не могу не вставить свой комментарий, так как тема фиолетовой команды сейчас относительно хайповая, а тут еще и добавили раздел по форензике
Дело только в том, что он там смешной: так посмотреть и можно подумать, что форензикам в работе нужен только
В общем, устали уже наверное ребятки из Hadess. Но в принципе подцепить некоторые идеи для плейбуков и новых правил вполне можно, поэтому ловите
#purple
Но не могу не вставить свой комментарий, так как тема фиолетовой команды сейчас относительно хайповая, а тут еще и добавили раздел по форензике
Дело только в том, что он там смешной: так посмотреть и можно подумать, что форензикам в работе нужен только
tcpdump (неважно, что было, просто дайте нам сырой трафик кербероса!), volatility (почему все так любят чуть что бездумно в память лезть? вы уверены, что нужно собирать полный дамп с машины для того, чтобы просто посмотреть.. текущие процессы?) и plaso (ну ладно, против супертаймлайнов не попрешь)В общем, устали уже наверное ребятки из Hadess. Но в принципе подцепить некоторые идеи для плейбуков и новых правил вполне можно, поэтому ловите
#purple
Итак, поехали:
1. Opendir и вжух, вся активность актора как на ладони. Как обычно, интересный отчет по TheDFIRReport, даженекоторые российские организации засветились. Всем читать!
2. Если долго следить за каналом, можно вычислить моих фаворитов. К тому же, если одной заметкой захватить сразу несколько через Round Up и узнать, когда может быть полезен журнал Application и почему EDR иногда бывает слеп
3. Ну и раз зашла речь, Red Team Adventures - атаки на EDR. Мне вообще очень понравились все три части: никакой бинарщины и kernel-based штук, все расписано донельзя просто, доступно и местами даже с юморком
4. Особенности работы с дампами памяти через снапшоты у гипервизоров Hyper-V и VMware ESXi от 13Cubed
5. F.A.C.C.T. про Cloud Atlas с фишингом по теме СВО и воинского учета или как делать письма, чтоб уж точно кликнули, и к чему это может привести
6. Облака меня все не отпускают. Немножко оффенсиваfrom IR perspective от Лины @ inversecos с темой Hacking the Cloud Like an APT
7. Netscaler-ы, свежие RCE и что/где искать, если вовремя не патчитесь
8. Ну и напоследок полезных мыслей о том, как нести инфобез в массы (повышать уровень осведомленности сотрудников и какими способами, методами и словами это лучше делать)
#weekly
1. Opendir и вжух, вся активность актора как на ладони. Как обычно, интересный отчет по TheDFIRReport, даже
2. Если долго следить за каналом, можно вычислить моих фаворитов. К тому же, если одной заметкой захватить сразу несколько через Round Up и узнать, когда может быть полезен журнал Application и почему EDR иногда бывает слеп
3. Ну и раз зашла речь, Red Team Adventures - атаки на EDR. Мне вообще очень понравились все три части: никакой бинарщины и kernel-based штук, все расписано донельзя просто, доступно и местами даже с юморком
4. Особенности работы с дампами памяти через снапшоты у гипервизоров Hyper-V и VMware ESXi от 13Cubed
5. F.A.C.C.T. про Cloud Atlas с фишингом по теме СВО и воинского учета или как делать письма, чтоб уж точно кликнули, и к чему это может привести
6. Облака меня все не отпускают. Немножко оффенсива
7. Netscaler-ы, свежие RCE и что/где искать, если вовремя не патчитесь
8. Ну и напоследок полезных мыслей о том, как нести инфобез в массы (повышать уровень осведомленности сотрудников и какими способами, методами и словами это лучше делать)
#weekly
Как вы относитесь к подкастам?
Признаюсь честно, я немного помешана на работе. Ну как на работе, для меня работа = хобби. Если я не работаю, я говорю о работе, если я не говорю о работе, то я обязательно что-то читаю/слушаю
По этой причине я люблю подкасты: иногда даже самая любимая музыка надоедает, а видосы на ютубе - это не всегда удобно. Пару лет назад на площадки начали заходить первопроходцы с темой информационной безопасности и я до сих пор слежу за этим, мне мало
Просто потому что либо это не совсем то, что мне интересно, либо бодро начинают, но после нескольких выпусков все сходит на нет. Иногда обсуждаются вещи попроще, иногда - посложнее, правда тогда, конечно, это будет уже история не про послушать мимоходом в транспорте. Но помню, как шла по улице и минут пять расплывалась в улыбке после какой-то шутки про tier архитектуру...
Мимокрокодил, с него все начиналось) ребята были одними из первых и делали очень клево
RedTeam brazzers, тут посерьезнее, разговоры в формате интервью
Свежевыжатый подкаст
Безопасно говоря
Кибербез по фактам, раньше был подкаст "Киберликбез от Group-IB", можете поискать в истории их канала по тегу
Может, у вас тоже есть чем поделиться? Я с огромным удовольствием возьму на вооружение :)
Признаюсь честно, я немного помешана на работе. Ну как на работе, для меня работа = хобби. Если я не работаю, я говорю о работе, если я не говорю о работе, то я обязательно что-то читаю/слушаю
По этой причине я люблю подкасты: иногда даже самая любимая музыка надоедает, а видосы на ютубе - это не всегда удобно. Пару лет назад на площадки начали заходить первопроходцы с темой информационной безопасности и я до сих пор слежу за этим, мне мало
Просто потому что либо это не совсем то, что мне интересно, либо бодро начинают, но после нескольких выпусков все сходит на нет. Иногда обсуждаются вещи попроще, иногда - посложнее, правда тогда, конечно, это будет уже история не про послушать мимоходом в транспорте. Но помню, как шла по улице и минут пять расплывалась в улыбке после какой-то шутки про tier архитектуру...
Мимокрокодил, с него все начиналось) ребята были одними из первых и делали очень клево
RedTeam brazzers, тут посерьезнее, разговоры в формате интервью
Свежевыжатый подкаст
Безопасно говоря
Кибербез по фактам, раньше был подкаст "Киберликбез от Group-IB", можете поискать в истории их канала по тегу
Может, у вас тоже есть чем поделиться? Я с огромным удовольствием возьму на вооружение :)
Please open Telegram to view this post
VIEW IN TELEGRAM