https://telegra.ph/kerberos-dlya-samyh-malenkih-ch1-03-15
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.1
Все мы наслышаны и/или хорошо знакомы с легендарным циклом статей по сетям со схожим названием, и, мне показалось, подобное и здесь будет как нельзя кстати :) Если загуглить что-то вроде "керберос простыми словами", то можно понять, что с одной стороны, материала…
https://telegra.ph/kerberos-dlya-samyh-malenkih-ch2-03-20
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.2
Ранее мы рассмотрели основные понятия и сам процесс аутентификации через сетевой протокол Kerberos. Теперь хотелось бы отдельным пунктом разобрать атаки по краже и подделке билетов (T1558. Steal or Forge Kerberos Tickets), так как прежде всего именно в них…
В своем докладе упоминала про
Полезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
uac
- скрипт для сбора данных с *nix-подобных системПолезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
YouTube
Fast Unix-like Incident Response Triage Using UAC Tool
SANS DFIR Summit 2022
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
Forwarded from linkmeup
Безопасность и расследование инцидентов в линуксах для самых маленьких. То есть, это не о том как порты закрыть и права развесить, а где и что искать когда первый пункт не помог.
https://www.youtube.com/watch?v=q70SgSXsUEs
https://www.youtube.com/watch?v=q70SgSXsUEs
YouTube
Топ-10 артефактов Linux для расследования инцидентов
https://habr.com/ru/companies/angarasecurity/articles/753378/
И альма-матер не забыла, и полезных источников накидала
Кажется, для первого раза получилось весьма неплохо (:
#own
И альма-матер не забыла, и полезных источников накидала
Кажется, для первого раза получилось весьма неплохо (:
#own
Хабр
DFIR совсем не «эфир»: как стать специалистом по киберкриминалистике
Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили...
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас?
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:скорее всего, не совсем, но шансы есть )
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
3. Как можно скорее отключить/отмонтировать сетевые диски:
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,позвать респондеров и попробовать понять, как именно распространяется шифровальщик в сети? Или может как передвигался атакующий? Все внимание на lateral movement.
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
net share ADMIN$ /delete
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer /t REG_DWORD /d 0
3. Как можно скорее отключить/отмонтировать сетевые диски:
net use * /delete
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
eventvwr.msc
)Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
bczyz’s research blog
Detecting Impacket’s and Metasploit’s PsExec
Table of contents
Из разряда «накипело», нашла у себя в заметках и решила опубликовать здесь
https://telegra.ph/What-is-DFIR-09-12
#own
https://telegra.ph/What-is-DFIR-09-12
#own
Telegraph
What is DFIR?
Так вышло, что за последний год я не раз поднимала тему различия между DF (digital forensics) и DFIR (digital forensics & incident response). Оказалось, некоторое заблуждение в этих понятиях достаточно распространено: я поняла это, когда наткнулась на видео…
README.hta
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас? Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд) Что ж, главное…
А если уже все зашифровано?
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а такжепроверить репозиторий моего талантливого коллеги по цеху (кстати, если что, там еще и yara-правила есть!) . И да, иногда бывает такое, что ресерчеры находят ошибки в схемах шифрования, и тогда все же удается сделать условно универсальный инструмент
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а также
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
Давным-давно делала для себя Windows Event ID Mindmap,
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
Еще во времена моей работы в SOC, когда мы нещадно страдали (на самом деле, не совсем уж) от фолсовых сработок, нам иногда задавали вопрос:
а что лучше,
false positive или false negative?
#meme
а что лучше,
false positive или false negative?
#meme
Все знают про проекты LOLBAS и GTFOBins, содержащие списки легитимных бинарей, которые могут использоваться атакующими в злонамеренных целях
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics