README.hta
1.98K subscribers
163 photos
45 files
112 links
Что-то из области информационной безопасности. Чаще DFIR и чаще на русском, но тут как пойдет

Если вы не можете объяснить что-либо простыми словами, вы сами не до конца это понимаете (с)

Hope you enjoy!
All opinions are my own @ant19ova
加入频道
Еще есть время подумать

#meme
Простите, тут есть еще. Каждый раз угораю, когда нахожу 😂

#meme
История одного факапа, в продолжение одного поста

Давненько, еще работая в in-house SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки

Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness

Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из них меня разнесли мне намекнули, что так это не работает, и только потом, уже после хоть какого-то опыта работы на новом месте в команде реагирования, до меня дошло...

Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)

*заметки из книги, уже почти ставшей классикой,
Intelligence-Driven Incident Response

#own #tips
Я и книжный магазин
Я и рациональные покупки

Стадия 0. «а че так дорого? потом просто скачаю»
Стадия 1. «ну ладно, вроде что-то полезноеинтересное, на это - не жалко»
Стадия 2. «какая красивенькая!!! мне срочно надо»
Стадия 3. «а, я же в Казани, где тут сувениры? оо наклеечки БЕРЕМ»
Ну и что тут у нас?

1. Забавная мини-история, как атакующие могут реагировать, когда замечают ваше присутствие

2. Как-то я себе закинула в бэклог на почитать и благополучно забыла. Если вы тоже, то инструмент Munchkin в виде ISO-файла из обновленного арсенала операторов BlackCat

3. Абстрактные, но занимательные примеры как заюзать файловую групповую политику для LPE

4. EDRSilencer и некоторые рассуждения на тему байпасов EDR. Неистово выражаю солидарность!

5. Исследование программы-вымогателя семейства Kasseika и их BYOVD

6. Сначала раз, а потом два (там про взлом почты Microsoft, если что)

7. Cloud Threat Landscape: и выглядит симпатично, и структурированная инфа в одном месте. Лайк

#weekly
SANS_Ransomware_and_Cyber_Extortion.pdf
2.7 MB
Буквально вчера в рамках SANS CTI Summit 2024 релизнули новый постер Ransomware and Cyber Extortion (FOR528)

И он хорош!

Ссылка на другие не менее полезные ништяки

#windows #dfir
Возможно, вы видели, не так давно по редтимовским каналам разошлась новая тулза - SOAPHound, позволяющая не шуметь по LDAP, но при этом аналогично небезызвестным утилитам вытаскивать данные из AD

Так вот, такую активность можно обнаружить по debug-логам самого ADWS (Active Directory Web Services) благодаря всплескам событий GetXmlValue. Единственный нюанс: такое логирование нужно включить отдельно в соответствующем конфигурационном файле

#threathunting #dfir
А вообще, заметила, что я значит стараюсь тут постить всякие умныенужные штуки, а лайки собирают мемы и веточки ❄️
Так вот, цветочки, господа. Доброго утра!

Как это там говорится, morning routine
Please open Telegram to view this post
VIEW IN TELEGRAM
Stay tuned 🤣

Походу надо возвращать изначальное фото канала, которое я посчитала неуместным )))
Давненько мы с вами не болтали о всяком разном
В завершение постов по теме собеседований и около того, хочется сказать еще об одном моменте, который в свое время сильно взволновал меня. Близкие мне люди уже слышали эту историю и бурю эмоций после, думаю, будет интересно и вам

Все всегда много говорят о том, как правильно себя должен вести кандидат на собеседовании
Например, самое банальное и одно из первых правил по такому запросу в гугле: не стоит говорить ничего плохого о своем текущем месте работы, даже если по факту вы громко уходите и вообще вас все бесят. Предпочтительным считается оставаться в нейтралитете или максимально сглаживать углы при обсуждении, так как иначе ваш будущий работодатель может сделать вывод, что скорее всего вы столкнетесь с теми же проблемами на новом месте/позднее будете также отзываться о нем тоже и блаблабла. Но вот почему-то очень мало таких правил обсуждается и устанавливается для принимающей стороны (:

Ведь этот же совет работает и в противоположном направлении: почему никто не говорит о том, что сам работодатель должен при себе держать свои субъективные оценки и не негативить в сторону людей и места, где вы устроены сейчас?)

Когда-то это сильно задело меня и по факту только из-за этой причины я не стала рассматривать команду в качестве своей будущей. Мне очень везет на потрясающе умных и талантливых людей, работу в компаниях с колоссальным опытом, и несмотря на то, что я на тот момент снова вышла на рынок - это никак не означает, что мое отношение как-то изменилось. Допускаю, что это было неосторожное высказывание, мысли вслух или что-то из разряда шуткимишутки, которую я не оценила. Тем не менее, как писал Максим Батырев, это позволило мне лишний раз освежить свою татуировку и вспомнить, что правила существуют для обеих сторон

Такие дела

#own
#weekly пока на паузе, работки овер много. Но вчера начала читать занимательную книженцию: выглядит многообещающе и легко идет, посмотрим. От создателей первых отчетов по декою
dns in security.pdf
4.2 MB
The Hidden Potential of DNS in
Security
by Joshua M. Kuo and Ross Gibson, J.D., 2023
Ну, вы поняли
Ну хватит расслабляться, я считаю

1. Multiple extortion usage в действии: как рансомварщики продают доступ в вашу сеть, если вы отказались им платить (а может и не только)

2. Если с mstsc.exe уже все более менее ясно, то что, если RDP-клиент - тот, что не встроен в систему по умолчанию? Remote Desktop App Forensics

3. В продолжение темы с EDRSilencer, как можно ослепить Sysmon

4. CVE-2024-21412 aka Microsoft Defender SmartScreen Zero-Day и его использование in the wild (кстати, теми же чуваками, которые юзали зеродей WinRAR)

5. Еще один горячий пирожок недели - MonikerLink, баг в Microsoft Outlook

6. Базовые методы и приемы определения инфраструктуры злоумышленника и вредоносных серверов

7. Атака на атакующего: RCE в популярном фреймворке Empire

#weekly