README.hta
1.93K subscribers
163 photos
45 files
112 links
Что-то из области информационной безопасности. Чаще DFIR и чаще на русском, но тут как пойдет

Если вы не можете объяснить что-либо простыми словами, вы сами не до конца это понимаете (с)

Hope you enjoy!
All opinions are my own @ant19ova
加入频道
В своем докладе упоминала про uac - скрипт для сбора данных с *nix-подобных систем

Полезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s

#soft #video
Forwarded from linkmeup
Безопасность и расследование инцидентов в линуксах для самых маленьких. То есть, это не о том как порты закрыть и права развесить, а где и что искать когда первый пункт не помог.

https://www.youtube.com/watch?v=q70SgSXsUEs
Иногда мне прям хочется распечатать и повешать на стену эти золотые слова
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас?
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)

Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации

0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)

1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер: скорее всего, не совсем, но шансы есть)

2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
net share ADMIN$ /delete
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer /t REG_DWORD /d 0

3. Как можно скорее отключить/отмонтировать сетевые диски:
net use * /delete

4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования

5. Теперь можно немного выдохнуть, позвать респондеров и попробовать понять, как именно распространяется шифровальщик в сети? Или может как передвигался атакующий? Все внимание на lateral movement.
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (eventvwr.msc)

Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!

#tips
Будни респондера, они такие

#meme
README.hta
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас? Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд) Что ж, главное…
А если уже все зашифровано?

После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам

Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?

На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а также проверить репозиторий моего талантливого коллеги по цеху (кстати, если что, там еще и yara-правила есть!). И да, иногда бывает такое, что ресерчеры находят ошибки в схемах шифрования, и тогда все же удается сделать условно универсальный инструмент

Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта

Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:


#tips
Forwarded from TI Reports
В этом фишинге прекрасно всё
README.hta
В этом фишинге прекрасно всё
Кстати, классный агрегатор публичных отчетов, рекомендую!

#tips
Давным-давно делала для себя Windows Event ID Mindmap,
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь

Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях

#tips #basics
Еще во времена моей работы в SOC, когда мы нещадно страдали (на самом деле, не совсем уж) от фолсовых сработок, нам иногда задавали вопрос:

а что лучше,
false positive или false negative?

#meme
Все знают про проекты LOLBAS и GTFOBins, содержащие списки легитимных бинарей, которые могут использоваться атакующими в злонамеренных целях

А вот эти видели?

Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков

#basics