История одного факапа, в продолжение одного поста
Давненько, еще работая в in-house SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки
Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness
Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из нихменя разнесли мне намекнули, что так это не работает, и только потом, уже после хоть какого-то опыта работы на новом месте в команде реагирования, до меня дошло...
Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)
*заметки из книги, уже почти ставшей классикой,
Intelligence-Driven Incident Response
#own #tips
Давненько, еще работая в in-house SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки
Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness
Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из них
Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)
#own #tips
Я и рациональные покупки
Стадия 0. «а че так дорого? потом просто скачаю»
Стадия 1. «ну ладно, вроде что-то полезноеинтересное, на это - не жалко»
Стадия 2. «какая красивенькая!!! мне срочно надо»
Стадия 3. «а, я же в Казани, где тут сувениры? оо наклеечки БЕРЕМ»
Ну и что тут у нас?
1. Забавная мини-история, как атакующие могут реагировать, когда замечают ваше присутствие
2. Как-то я себе закинула в бэклог на почитать и благополучно забыла. Если вы тоже, то инструмент Munchkin в виде ISO-файла из обновленного арсенала операторов BlackCat
3. Абстрактные, но занимательные примеры как заюзать файловую групповую политику для LPE
4. EDRSilencer и некоторые рассуждения на тему байпасов EDR. Неистово выражаю солидарность!
5. Исследование программы-вымогателя семейства Kasseika и их BYOVD
6. Сначала раз, а потом два (там про взлом почты Microsoft, если что)
7. Cloud Threat Landscape: и выглядит симпатично, и структурированная инфа в одном месте. Лайк
#weekly
1. Забавная мини-история, как атакующие могут реагировать, когда замечают ваше присутствие
2. Как-то я себе закинула в бэклог на почитать и благополучно забыла. Если вы тоже, то инструмент Munchkin в виде ISO-файла из обновленного арсенала операторов BlackCat
3. Абстрактные, но занимательные примеры как заюзать файловую групповую политику для LPE
4. EDRSilencer и некоторые рассуждения на тему байпасов EDR. Неистово выражаю солидарность!
5. Исследование программы-вымогателя семейства Kasseika и их BYOVD
6. Сначала раз, а потом два (там про взлом почты Microsoft, если что)
7. Cloud Threat Landscape: и выглядит симпатично, и структурированная инфа в одном месте. Лайк
#weekly
SANS_Ransomware_and_Cyber_Extortion.pdf
2.7 MB
Возможно, вы видели, не так давно по редтимовским каналам разошлась новая тулза - SOAPHound, позволяющая не шуметь по LDAP, но при этом аналогично небезызвестным утилитам вытаскивать данные из AD
Так вот, такую активность можно обнаружить по debug-логам самого ADWS (Active Directory Web Services) благодаря всплескам событий GetXmlValue. Единственный нюанс: такое логирование нужно включить отдельно в соответствующем конфигурационном файле
#threathunting #dfir
Так вот, такую активность можно обнаружить по debug-логам самого ADWS (Active Directory Web Services) благодаря всплескам событий GetXmlValue. Единственный нюанс: такое логирование нужно включить отдельно в соответствующем конфигурационном файле
#threathunting #dfir
Работа кипит, а #weekly за прошлую неделю лежит и грустит в закладках. Не пропадать же добру, просто закину ссылки как есть: все, как обычно, рекомендовано к прочтению
1. Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours
2. Scaly Wolf применяет стилер White Snake против российской промышленности
3. Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
4. The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
5. Proactive Response: Any Breach (AnyDesk Incident)
6. Continuous Purple Teaming: A Practical Approach for Strengthening Your Offensive Capabilities
7. Jet Report: итоги 2023 года
1. Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours
2. Scaly Wolf применяет стилер White Snake против российской промышленности
3. Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
4. The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
5. Proactive Response: Any Breach (AnyDesk Incident)
6. Continuous Purple Teaming: A Practical Approach for Strengthening Your Offensive Capabilities
7. Jet Report: итоги 2023 года
Please open Telegram to view this post
VIEW IN TELEGRAM
Давненько мы с вами не болтали о всяком разном
В завершение постов по теме собеседований и около того, хочется сказать еще об одном моменте, который в свое время сильно взволновал меня. Близкие мне люди уже слышали эту историю и бурю эмоций после, думаю, будет интересно и вам
Все всегда много говорят о том, как правильно себя должен вести кандидат на собеседовании
Например, самое банальное и одно из первых правил по такому запросу в гугле: не стоит говорить ничего плохого о своем текущем месте работы, даже если по факту вы громко уходите и вообще вас все бесят. Предпочтительным считается оставаться в нейтралитете или максимально сглаживать углы при обсуждении, так как иначе ваш будущий работодатель может сделать вывод, что скорее всего вы столкнетесь с теми же проблемами на новом месте/позднее будете также отзываться о нем тоже и блаблабла. Но вот почему-то очень мало таких правил обсуждается и устанавливается для принимающей стороны (:
Ведь этот же совет работает и в противоположном направлении: почему никто не говорит о том, что сам работодатель должен при себе держать свои субъективные оценки и не негативить в сторону людей и места, где вы устроены сейчас?)
Когда-то это сильно задело меня и по факту только из-за этой причины я не стала рассматривать команду в качестве своей будущей. Мне очень везет на потрясающе умных и талантливых людей, работу в компаниях с колоссальным опытом, и несмотря на то, что я на тот момент снова вышла на рынок - это никак не означает, что мое отношение как-то изменилось. Допускаю, что это было неосторожное высказывание, мысли вслух или что-то из разряда шуткимишутки, которую я не оценила. Тем не менее, как писал Максим Батырев, это позволило мне лишний раз освежить свою татуировку и вспомнить, что правила существуют для обеих сторон
Такие дела
#own
В завершение постов по теме собеседований и около того, хочется сказать еще об одном моменте, который в свое время сильно взволновал меня. Близкие мне люди уже слышали эту историю и бурю эмоций после, думаю, будет интересно и вам
Все всегда много говорят о том, как правильно себя должен вести кандидат на собеседовании
Например, самое банальное и одно из первых правил по такому запросу в гугле: не стоит говорить ничего плохого о своем текущем месте работы, даже если по факту вы громко уходите и вообще вас все бесят. Предпочтительным считается оставаться в нейтралитете или максимально сглаживать углы при обсуждении, так как иначе ваш будущий работодатель может сделать вывод, что скорее всего вы столкнетесь с теми же проблемами на новом месте/позднее будете также отзываться о нем тоже и блаблабла. Но вот почему-то очень мало таких правил обсуждается и устанавливается для принимающей стороны (:
Ведь этот же совет работает и в противоположном направлении: почему никто не говорит о том, что сам работодатель должен при себе держать свои субъективные оценки и не негативить в сторону людей и места, где вы устроены сейчас?)
Когда-то это сильно задело меня и по факту только из-за этой причины я не стала рассматривать команду в качестве своей будущей. Мне очень везет на потрясающе умных и талантливых людей, работу в компаниях с колоссальным опытом, и несмотря на то, что я на тот момент снова вышла на рынок - это никак не означает, что мое отношение как-то изменилось. Допускаю, что это было неосторожное высказывание, мысли вслух или что-то из разряда шуткимишутки, которую я не оценила. Тем не менее, как писал Максим Батырев, это позволило мне лишний раз освежить свою татуировку и вспомнить, что правила существуют для обеих сторон
Такие дела
#own
#weekly пока на паузе, работки овер много. Но вчера начала читать занимательную книженцию: выглядит многообещающе и легко идет, посмотрим. От создателей первых отчетов по декою
dns in security.pdf
4.2 MB
The Hidden Potential of DNS in
Security by Joshua M. Kuo and Ross Gibson, J.D., 2023
Security by Joshua M. Kuo and Ross Gibson, J.D., 2023
Ну хватит расслабляться, я считаю
1. Multipleextortion usage в действии: как рансомварщики продают доступ в вашу сеть, если вы отказались им платить (а может и не только)
2. Если с mstsc.exe уже все более менее ясно, то что, если RDP-клиент - тот, что не встроен в систему по умолчанию? Remote Desktop App Forensics
3. В продолжение темы с EDRSilencer, как можно ослепить Sysmon
4. CVE-2024-21412 aka Microsoft Defender SmartScreen Zero-Day и его использование in the wild (кстати, теми же чуваками, которые юзали зеродей WinRAR)
5. Еще один горячий пирожок недели - MonikerLink, баг в Microsoft Outlook
6. Базовые методы и приемы определения инфраструктуры злоумышленника и вредоносных серверов
7. Атака на атакующего: RCE в популярном фреймворке Empire
#weekly
1. Multiple
2. Если с mstsc.exe уже все более менее ясно, то что, если RDP-клиент - тот, что не встроен в систему по умолчанию? Remote Desktop App Forensics
3. В продолжение темы с EDRSilencer, как можно ослепить Sysmon
4. CVE-2024-21412 aka Microsoft Defender SmartScreen Zero-Day и его использование in the wild (кстати, теми же чуваками, которые юзали зеродей WinRAR)
5. Еще один горячий пирожок недели - MonikerLink, баг в Microsoft Outlook
6. Базовые методы и приемы определения инфраструктуры злоумышленника и вредоносных серверов
7. Атака на атакующего: RCE в популярном фреймворке Empire
#weekly