README.hta
Итак, сегодня в программе
* суперкраткая справка
LockBit - программа-вымогатель, распространяющаяся по модели Ransomware-as-a-Service (RaaS) по схемам double, а позже и triple extortion (DDoS), активна с сентября 2019. За это время было разработано несколько шифровальщиков, таких как .abcd, LockBit 1.0, LockBit 2.0, LockBit 3.0 и LockBit Green. Сейчас, многим не понаслышке известен LockBit 3.0, так как в сентябре 2022 году из-за конфликта с разработчиком исходный код билдера утек в сеть, что привело к его массовому использованию для создания и реализации атак на организации по всему миру. Ну или, простыми словами, его тупо начали использовать все подряд. Для понимания: билдер представляет из себя программу с обычным графическим интерфейсом, где можно просто накликать параметры шифрования, распространения, свою записку с требованием о выкупе, и все будет готово
Сама группировка (правильнее сказать, ransomware strain) считается одной из самых сильных и успешных, в 2021 году она была топ-1 среди группировок операторов программ-вымогателей. По факту, это почти корпорация с серьезной бизнес-моделью, которая даже запускала свою багбаунти программу, собственно, с которой, кажется, и начались все проблемы)
LockBit - программа-вымогатель, распространяющаяся по модели Ransomware-as-a-Service (RaaS) по схемам double, а позже и triple extortion (DDoS), активна с сентября 2019. За это время было разработано несколько шифровальщиков, таких как .abcd, LockBit 1.0, LockBit 2.0, LockBit 3.0 и LockBit Green. Сейчас, многим не понаслышке известен LockBit 3.0, так как в сентябре 2022 году из-за конфликта с разработчиком исходный код билдера утек в сеть, что привело к его массовому использованию для создания и реализации атак на организации по всему миру. Ну или, простыми словами, его тупо начали использовать все подряд. Для понимания: билдер представляет из себя программу с обычным графическим интерфейсом, где можно просто накликать параметры шифрования, распространения, свою записку с требованием о выкупе, и все будет готово
Сама группировка (правильнее сказать, ransomware strain) считается одной из самых сильных и успешных, в 2021 году она была топ-1 среди группировок операторов программ-вымогателей. По факту, это почти корпорация с серьезной бизнес-моделью, которая даже запускала свою багбаунти программу
Немного про сети, ч.1
Чаще всего запрашивать хотя бы какую-то карту сети при реагировании на инцидент - это безуспешные колебания воздуха. Да и бог бы уже с ней, но еще чаще сам вопрос о том, что у вас доступно из сети Интернет, вызывает сложности. Вариантов ответа в основном два: а) да неее, у нас только почта б) ситуация обратная, начинается чуть ли не драка между спецами по перечислению хостов
Спойлер:мы можем что-то найти и проверить сами, либо в ходе расследования все равно выйдем на тот самый хост. Кажется, отдельным видом удовольствия считается говорить, что извне доступа к машине нет, а потом оказывается, что УЖЕ нет
Тем не менее, есть ряд вопросов, на которые вы тоже можете ответить и оценить насколько вы владеете знанием о своей инфраструктуре:
— Ведете ли вы учет активов? Если на этот вопрос про количество серверов вы отвечаете "штук 200-300", это не учет активов
— Контролируете ли вы сетевой трафик? Помимо правил, это про логи с файерволла (можно даже дополнительно визуализировать это дело, но тут уже явно про достаточный уровень зрелости), либо те же журналы доступа и ошибок (!) веба, который хостится у вас
— Есть ли у вас возможности по перехвату сырого трафика и какие именно?
— Ну и наконец, а какие все же логи вы собираете/храните? Это может быть NetFlow, DNS, DHCP, FW, IPS/IDS, VPN, прокси, почтовые шлюзы: всегда нужно иметь четкое понимание, где и что
Чаще всего запрашивать хотя бы какую-то карту сети при реагировании на инцидент - это безуспешные колебания воздуха. Да и бог бы уже с ней, но еще чаще сам вопрос о том, что у вас доступно из сети Интернет, вызывает сложности. Вариантов ответа в основном два: а) да неее, у нас только почта б) ситуация обратная, начинается чуть ли не драка между спецами по перечислению хостов
Спойлер:
Тем не менее, есть ряд вопросов, на которые вы тоже можете ответить и оценить насколько вы владеете знанием о своей инфраструктуре:
— Ведете ли вы учет активов? Если на этот вопрос про количество серверов вы отвечаете "штук 200-300", это не учет активов
— Контролируете ли вы сетевой трафик? Помимо правил, это про логи с файерволла (можно даже дополнительно визуализировать это дело, но тут уже явно про достаточный уровень зрелости), либо те же журналы доступа и ошибок (!) веба, который хостится у вас
— Есть ли у вас возможности по перехвату сырого трафика и какие именно?
— Ну и наконец, а какие все же логи вы собираете/храните? Это может быть NetFlow, DNS, DHCP, FW, IPS/IDS, VPN, прокси, почтовые шлюзы: всегда нужно иметь четкое понимание, где и что
P.S. Кстати, господа-форензики, знали ли вы, что UAL (User Access Logging) можно использовать не только для контроля доступа по SMB, но и в разрезе разрешенных внутренних DNS-имен? В частности, это может здорово помочь, если не хватает логов DHCP lease в ретроспективе, или с неймингом хостов и примерным определением их прикладного назначения
В этот раз у нас неделя масштабных отчетов:
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, нобольше спойлеров не дам )
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, но
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
Вечер - время откровений. Поэтому признаюсь, я не могу жить без своего Notion
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на каких-то рандомных листиках и клочках бумаги, которыми был буквально завален весь письменный стол, "несохраняемых" листов в нотпад++ до целых блокнотов, заполняемых от руки. Эти блокноты, кстати, я очень любила, при том что местами они выглядели как лучшие конспекты той самой девочки-отличницы в универе, а уже на соседнем листе можно было и слова не разобрать. У меня даже остались раритетные листики n-летней давности с горячими клавишами для вима, чтобы быстрее их запомнить (:
В один момент поняла, что эти самые блокноты не всегда под рукой, да и иногда хочется что-то просто скопипастить или использовать в будущем as it is. К такому выводу наверное рано или поздно приходят все. Сначала я делала небольшие пометки в Evernote и когда их объем стал ощутимо расти, начала смотреть в сторону Obsidian и системы ведения заметок Zettelkasten. Правда, так мы с ними и не подружились. Несмотря на все плюсы, мне показалось слишком потным и не всегда уместным/применимым для моих целей
Так вот, Notion - моя любовь. На скриншоте показала маленький кусочек своей вики: все пытаюсь ее причесать, но кое-где так и остается легаси-свалка (classic). Иногда я делаю заметки даже по тематическим видосам с ютуба, если они прям западают в душу, да еще и отдельный рейтинг им могу поставить! Это помогает, чтобы спустя время помнить, насколько полезным в конечном счете это оказалось. Ну ладно-ладно, будем честны, мне просто шаблон страницы понравился 😂
А вы ведете свои заметки или считаете, что это излишне?
#own
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на каких-то рандомных листиках и клочках бумаги, которыми был буквально завален весь письменный стол, "несохраняемых" листов в нотпад++ до целых блокнотов, заполняемых от руки. Эти блокноты, кстати, я очень любила, при том что местами они выглядели как лучшие конспекты той самой девочки-отличницы в универе, а уже на соседнем листе можно было и слова не разобрать. У меня даже остались раритетные листики n-летней давности с горячими клавишами для вима, чтобы быстрее их запомнить (:
В один момент поняла, что эти самые блокноты не всегда под рукой, да и иногда хочется что-то просто скопипастить или использовать в будущем as it is. К такому выводу наверное рано или поздно приходят все. Сначала я делала небольшие пометки в Evernote и когда их объем стал ощутимо расти, начала смотреть в сторону Obsidian и системы ведения заметок Zettelkasten. Правда, так мы с ними и не подружились. Несмотря на все плюсы, мне показалось слишком потным и не всегда уместным/применимым для моих целей
Так вот, Notion - моя любовь. На скриншоте показала маленький кусочек своей вики: все пытаюсь ее причесать, но кое-где так и остается легаси-свалка (classic). Иногда я делаю заметки даже по тематическим видосам с ютуба, если они прям западают в душу, да еще и отдельный рейтинг им могу поставить! Это помогает, чтобы спустя время помнить, насколько полезным в конечном счете это оказалось
А вы ведете свои заметки или считаете, что это излишне?
#own
Дайджест моих любимых постов, которые вы могли пропустить:
🔠 Что есть DFIR (digital forensics & incident response) и чем оно отличается от классической компьютерной криминалистики?
🔠 Есть шесть событий по созданию системных служб. Найти зло (небольшие подсказки - в следующим за ним постом)
❤️ Из личных архивов: почему я люблю ЛК?
🅱️ Пост с рекомендациями литературы по теме реагирования и расследований инцидентов. Отдельно стоит заглянуть в комментарии! Благодаря им пост становится еще полезнее: огромное спасибо всем, кто внес свою лепту
👨💻 Про собеседования: мои выводы и ошибки
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Хоть видос старый и местами немного кринжовый, но некоторые выводы не теряют своей актуальности до сих пор (:
https://www.youtube.com/watch?v=NG9Cg_vBKOg
Почему-то вспомнилась бородатая шутка среди форензиков в стиле «читать чужую почту интересно только первые две тысячи писем»
https://www.youtube.com/watch?v=NG9Cg_vBKOg
Почему-то вспомнилась бородатая шутка среди форензиков в стиле «читать чужую почту интересно только первые две тысячи писем»
YouTube
Defcon 21 - Forensic Fails - Shift + Delete Won't Help You Here
Eric Robi & Michael Perklin
August 1st--4th, 2013
Rio Hotel & Casino • Las Vegas, Nevada
August 1st--4th, 2013
Rio Hotel & Casino • Las Vegas, Nevada
Иногда меня переклинивает и я по какой-то неведомой причине ставлю себе напоминания в тг, а не привычным способом в календаре
И каждый раз, #}%* каждый! когда мне приходят эти уведомления, мое сердечко ненадолго замирает
Комментарий: в сохраненных сообщениях вы можете оставлять себе напоминания, тогда в назначенное время вам как бы придет сообщение от самого себя
И каждый раз, #}%* каждый! когда мне приходят эти уведомления, мое сердечко ненадолго замирает
Комментарий: в сохраненных сообщениях вы можете оставлять себе напоминания, тогда в назначенное время вам как бы придет сообщение от самого себя
В этот раз прям разнообразненько вышло:
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
Наконец досмотрела запись первого эфира Threat Zone. И вот на какие мысли меня это навело
Несмотря на то, что в эфире был обзор только последних активностей за месяц-два, в 9 из 10 случаев, фишинговые письма с вложением - основной метод первичной компрометации. Девяносто! Процентов!
И вроде сам по себе факт-то неудивительный: об этом говорят из каждого утюга, а те же пентестеры всегда отмечают этот способ как один из самых надежных (вот кто-нибудь один, но точно откроет)
Но стоит обратить особое внимание на расширения этих вложений: iso-, svg-, gz-файлы. Ну вот серьезно, gz-архивы? Файлы образов? Между тем, буквально единицы используют функционал блокировки писем по расширению на почтовых шлюзах в должной мере. Интересно, почему? Каков будет импакт на бизнес, если установить запрет на получение iso-файлов.. по почте?
Годные ссылки по теме:
https://filesec.io/
https://docs.google.com/spreadsheets/u/0/d/e/2PACX-1vQX7cJC0hc21eiK7ORix8-FO03AJ07wwFNsl7GIAn2sFEsZnU8B04LTtcWL5N_f-bcoYt1DgpHQdBgp/pubhtml?pli=1 (немного сыроват, но за основу брать точно можно)
Несмотря на то, что в эфире был обзор только последних активностей за месяц-два, в 9 из 10 случаев, фишинговые письма с вложением - основной метод первичной компрометации. Девяносто! Процентов!
И вроде сам по себе факт-то неудивительный: об этом говорят из каждого утюга, а те же пентестеры всегда отмечают этот способ как один из самых надежных (вот кто-нибудь один, но точно откроет)
Но стоит обратить особое внимание на расширения этих вложений: iso-, svg-, gz-файлы. Ну вот серьезно, gz-архивы? Файлы образов? Между тем, буквально единицы используют функционал блокировки писем по расширению на почтовых шлюзах в должной мере. Интересно, почему? Каков будет импакт на бизнес, если установить запрет на получение iso-файлов.. по почте?
Годные ссылки по теме:
https://filesec.io/
https://docs.google.com/spreadsheets/u/0/d/e/2PACX-1vQX7cJC0hc21eiK7ORix8-FO03AJ07wwFNsl7GIAn2sFEsZnU8B04LTtcWL5N_f-bcoYt1DgpHQdBgp/pubhtml?pli=1 (немного сыроват, но за основу брать точно можно)
Пока я собираюсь с мыслями, силами и временем, чтобы хотя бы немного рассказать про мастхэв из тулсета респондера, закину парочку полезных веб-ресурсов, которые использую наиболее часто. Ну, что-то кроме вирустотала и сайбершефа
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft
Ну, хоть так, наконец дошли руки
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Я искренне уважаю руководителей тире играющих тренеров. Мне кажется, что именно такие люди способны полноценно оценить требуемые ресурсы на разного рода задачи, в том числе временные, более точечно и адекватно ставить эти самые задачи, потому что знают внутрянку процесса, и, несмотря на манагерские дела, в критичных ситуациях могут сесть и быть hands-on-keyboard вместе с тобой
Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)
А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблюлюдей выходить в люди, но до чего же это круто работает! Понравилось, как мне сказал один хороший человек: есть threat intelligence, а у вас там beer intelligence (:
К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
это могла быть хорошая реклама, но платить придется самой(((9
#own
Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)
А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблю
К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
#own