В своем докладе упоминала про
Полезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
uac - скрипт для сбора данных с *nix-подобных системПолезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
YouTube
Fast Unix-like Incident Response Triage Using UAC Tool
SANS DFIR Summit 2022
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
README.hta
Еще пару часов и я буду готова закидывать донаты создателю MemProcFS, инструмента для анализа оперативной памяти. Который раз убеждаюсь, что это просто GAME CHANGER #soft
GitHub
GitHub - LETHAL-FORENSICS/MemProcFS-Analyzer: MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR
MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR - LETHAL-FORENSICS/MemProcFS-Analyzer
Все мы знаем, что лучший инструмент при анализе вредоносного ПО — утилита strings
Но есть ее улучшенная версия
https://github.com/mandiant/flare-floss
Из основного: помимо привычного функционала, дополнительно идентифицирует функции, которые могут декодировать данные, и с их помощью деобфусцирует строки, а также извлекает строки стека, построенные по частям. Подробнее
Надо брать!
#git #soft
Но есть ее улучшенная версия
https://github.com/mandiant/flare-floss
Из основного: помимо привычного функционала, дополнительно идентифицирует функции, которые могут декодировать данные, и с их помощью деобфусцирует строки, а также извлекает строки стека, построенные по частям. Подробнее
Надо брать!
#git #soft
GitHub
GitHub - mandiant/flare-floss: FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.
FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware. - mandiant/flare-floss
#basics
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
Кстати, есть еще одна интересная утилита от Mandiant, которая может помочь при быстром анализе подозрительных и вредоносных файлов на основе определенных паттернов. Подробнее
Не всегда есть возможность моментально отдать сэмпл опытному реверсеру в силу ограниченности ресурсов команды, да и считаю полезным и нужным уметь своими силами проводить хотя бы минимальный анализ файлов в оффлайне (надеюсь, вы помните почему и не торопитесь сразу cгружать все подряд в публичный песочек или на VirusTotal)
https://github.com/mandiant/capa
#git #soft
Не всегда есть возможность моментально отдать сэмпл опытному реверсеру в силу ограниченности ресурсов команды, да и считаю полезным и нужным уметь своими силами проводить хотя бы минимальный анализ файлов в оффлайне (надеюсь, вы помните почему и не торопитесь сразу cгружать все подряд в публичный песочек или на VirusTotal)
https://github.com/mandiant/capa
#git #soft
Пока я собираюсь с мыслями, силами и временем, чтобы хотя бы немного рассказать про мастхэв из тулсета респондера, закину парочку полезных веб-ресурсов, которые использую наиболее часто. Ну, что-то кроме вирустотала и сайбершефа
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft