P.S. Кстати, господа-форензики, знали ли вы, что UAL (User Access Logging) можно использовать не только для контроля доступа по SMB, но и в разрезе разрешенных внутренних DNS-имен? В частности, это может здорово помочь, если не хватает логов DHCP lease в ретроспективе, или с неймингом хостов и примерным определением их прикладного назначения
В этот раз у нас неделя масштабных отчетов:
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, нобольше спойлеров не дам )
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, но
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
Вечер - время откровений. Поэтому признаюсь, я не могу жить без своего Notion
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на каких-то рандомных листиках и клочках бумаги, которыми был буквально завален весь письменный стол, "несохраняемых" листов в нотпад++ до целых блокнотов, заполняемых от руки. Эти блокноты, кстати, я очень любила, при том что местами они выглядели как лучшие конспекты той самой девочки-отличницы в универе, а уже на соседнем листе можно было и слова не разобрать. У меня даже остались раритетные листики n-летней давности с горячими клавишами для вима, чтобы быстрее их запомнить (:
В один момент поняла, что эти самые блокноты не всегда под рукой, да и иногда хочется что-то просто скопипастить или использовать в будущем as it is. К такому выводу наверное рано или поздно приходят все. Сначала я делала небольшие пометки в Evernote и когда их объем стал ощутимо расти, начала смотреть в сторону Obsidian и системы ведения заметок Zettelkasten. Правда, так мы с ними и не подружились. Несмотря на все плюсы, мне показалось слишком потным и не всегда уместным/применимым для моих целей
Так вот, Notion - моя любовь. На скриншоте показала маленький кусочек своей вики: все пытаюсь ее причесать, но кое-где так и остается легаси-свалка (classic). Иногда я делаю заметки даже по тематическим видосам с ютуба, если они прям западают в душу, да еще и отдельный рейтинг им могу поставить! Это помогает, чтобы спустя время помнить, насколько полезным в конечном счете это оказалось. Ну ладно-ладно, будем честны, мне просто шаблон страницы понравился 😂
А вы ведете свои заметки или считаете, что это излишне?
#own
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на каких-то рандомных листиках и клочках бумаги, которыми был буквально завален весь письменный стол, "несохраняемых" листов в нотпад++ до целых блокнотов, заполняемых от руки. Эти блокноты, кстати, я очень любила, при том что местами они выглядели как лучшие конспекты той самой девочки-отличницы в универе, а уже на соседнем листе можно было и слова не разобрать. У меня даже остались раритетные листики n-летней давности с горячими клавишами для вима, чтобы быстрее их запомнить (:
В один момент поняла, что эти самые блокноты не всегда под рукой, да и иногда хочется что-то просто скопипастить или использовать в будущем as it is. К такому выводу наверное рано или поздно приходят все. Сначала я делала небольшие пометки в Evernote и когда их объем стал ощутимо расти, начала смотреть в сторону Obsidian и системы ведения заметок Zettelkasten. Правда, так мы с ними и не подружились. Несмотря на все плюсы, мне показалось слишком потным и не всегда уместным/применимым для моих целей
Так вот, Notion - моя любовь. На скриншоте показала маленький кусочек своей вики: все пытаюсь ее причесать, но кое-где так и остается легаси-свалка (classic). Иногда я делаю заметки даже по тематическим видосам с ютуба, если они прям западают в душу, да еще и отдельный рейтинг им могу поставить! Это помогает, чтобы спустя время помнить, насколько полезным в конечном счете это оказалось
А вы ведете свои заметки или считаете, что это излишне?
#own
Дайджест моих любимых постов, которые вы могли пропустить:
🔠 Что есть DFIR (digital forensics & incident response) и чем оно отличается от классической компьютерной криминалистики?
🔠 Есть шесть событий по созданию системных служб. Найти зло (небольшие подсказки - в следующим за ним постом)
❤️ Из личных архивов: почему я люблю ЛК?
🅱️ Пост с рекомендациями литературы по теме реагирования и расследований инцидентов. Отдельно стоит заглянуть в комментарии! Благодаря им пост становится еще полезнее: огромное спасибо всем, кто внес свою лепту
👨💻 Про собеседования: мои выводы и ошибки
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Хоть видос старый и местами немного кринжовый, но некоторые выводы не теряют своей актуальности до сих пор (:
https://www.youtube.com/watch?v=NG9Cg_vBKOg
Почему-то вспомнилась бородатая шутка среди форензиков в стиле «читать чужую почту интересно только первые две тысячи писем»
https://www.youtube.com/watch?v=NG9Cg_vBKOg
Почему-то вспомнилась бородатая шутка среди форензиков в стиле «читать чужую почту интересно только первые две тысячи писем»
YouTube
Defcon 21 - Forensic Fails - Shift + Delete Won't Help You Here
Eric Robi & Michael Perklin
August 1st--4th, 2013
Rio Hotel & Casino • Las Vegas, Nevada
August 1st--4th, 2013
Rio Hotel & Casino • Las Vegas, Nevada
Иногда меня переклинивает и я по какой-то неведомой причине ставлю себе напоминания в тг, а не привычным способом в календаре
И каждый раз, #}%* каждый! когда мне приходят эти уведомления, мое сердечко ненадолго замирает
Комментарий: в сохраненных сообщениях вы можете оставлять себе напоминания, тогда в назначенное время вам как бы придет сообщение от самого себя
И каждый раз, #}%* каждый! когда мне приходят эти уведомления, мое сердечко ненадолго замирает
Комментарий: в сохраненных сообщениях вы можете оставлять себе напоминания, тогда в назначенное время вам как бы придет сообщение от самого себя
В этот раз прям разнообразненько вышло:
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
Наконец досмотрела запись первого эфира Threat Zone. И вот на какие мысли меня это навело
Несмотря на то, что в эфире был обзор только последних активностей за месяц-два, в 9 из 10 случаев, фишинговые письма с вложением - основной метод первичной компрометации. Девяносто! Процентов!
И вроде сам по себе факт-то неудивительный: об этом говорят из каждого утюга, а те же пентестеры всегда отмечают этот способ как один из самых надежных (вот кто-нибудь один, но точно откроет)
Но стоит обратить особое внимание на расширения этих вложений: iso-, svg-, gz-файлы. Ну вот серьезно, gz-архивы? Файлы образов? Между тем, буквально единицы используют функционал блокировки писем по расширению на почтовых шлюзах в должной мере. Интересно, почему? Каков будет импакт на бизнес, если установить запрет на получение iso-файлов.. по почте?
Годные ссылки по теме:
https://filesec.io/
https://docs.google.com/spreadsheets/u/0/d/e/2PACX-1vQX7cJC0hc21eiK7ORix8-FO03AJ07wwFNsl7GIAn2sFEsZnU8B04LTtcWL5N_f-bcoYt1DgpHQdBgp/pubhtml?pli=1 (немного сыроват, но за основу брать точно можно)
Несмотря на то, что в эфире был обзор только последних активностей за месяц-два, в 9 из 10 случаев, фишинговые письма с вложением - основной метод первичной компрометации. Девяносто! Процентов!
И вроде сам по себе факт-то неудивительный: об этом говорят из каждого утюга, а те же пентестеры всегда отмечают этот способ как один из самых надежных (вот кто-нибудь один, но точно откроет)
Но стоит обратить особое внимание на расширения этих вложений: iso-, svg-, gz-файлы. Ну вот серьезно, gz-архивы? Файлы образов? Между тем, буквально единицы используют функционал блокировки писем по расширению на почтовых шлюзах в должной мере. Интересно, почему? Каков будет импакт на бизнес, если установить запрет на получение iso-файлов.. по почте?
Годные ссылки по теме:
https://filesec.io/
https://docs.google.com/spreadsheets/u/0/d/e/2PACX-1vQX7cJC0hc21eiK7ORix8-FO03AJ07wwFNsl7GIAn2sFEsZnU8B04LTtcWL5N_f-bcoYt1DgpHQdBgp/pubhtml?pli=1 (немного сыроват, но за основу брать точно можно)
Пока я собираюсь с мыслями, силами и временем, чтобы хотя бы немного рассказать про мастхэв из тулсета респондера, закину парочку полезных веб-ресурсов, которые использую наиболее часто. Ну, что-то кроме вирустотала и сайбершефа
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft
https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка
https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам
https://dnslytics.com/
whois-информация, dns-записи и так далее
https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:
https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге
https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое
https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках
https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать
Делитесь тем, что вы сами держите всегда под рукой :)
#soft
Ну, хоть так, наконец дошли руки
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Я искренне уважаю руководителей тире играющих тренеров. Мне кажется, что именно такие люди способны полноценно оценить требуемые ресурсы на разного рода задачи, в том числе временные, более точечно и адекватно ставить эти самые задачи, потому что знают внутрянку процесса, и, несмотря на манагерские дела, в критичных ситуациях могут сесть и быть hands-on-keyboard вместе с тобой
Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)
А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблюлюдей выходить в люди, но до чего же это круто работает! Понравилось, как мне сказал один хороший человек: есть threat intelligence, а у вас там beer intelligence (:
К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
это могла быть хорошая реклама, но платить придется самой(((9
#own
Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)
А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблю
К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
#own
Спонсор сегодняшнего #weekly - 34453 незакрытых вкладок в моем браузере
1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV
2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса
3. Threat Hunting vs Detection Engineering
4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus
5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE
6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь
1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV
2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса
3. Threat Hunting vs Detection Engineering
4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus
5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE
6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь
Буквально даю залезть в душу и делюсь профильными каналами, которые читаю. Вдруг найдете что интересное для себя 😋
Но предупреждаю, тут все в куче: люди, компании, трет хантинг, кусочек форензики, практики редтима и так далее. Ну и мемы, конечно же!
https://yangx.top/addlist/j4xO6PAUDBc4ZDEy
Это самые сливки, которые мне удалось собрать. Пост неспонсирован (опять!! ), поэтому, как всегда, буду рада, если тоже поделитесь своими находками
Но предупреждаю, тут все в куче: люди, компании, трет хантинг, кусочек форензики, практики редтима и так далее. Ну и мемы, конечно же!
https://yangx.top/addlist/j4xO6PAUDBc4ZDEy
Это самые сливки, которые мне удалось собрать. Пост неспонсирован (
Please open Telegram to view this post
VIEW IN TELEGRAM
Увидела этот пост и не могу удержаться и не поделиться схожим плейлистом
https://redcanary.com/threat-sounds/#side2
Мне кажется, это просто гениально!
https://redcanary.com/threat-sounds/#side2
Мне кажется, это просто гениально!
Коротко о том, о чем гудит весь Интернет последние двое суток – и это CVE-2024-3094 (xz-utils)
Из импакта - пишут, что бэкдор, при определенных условиях, позволяет «поломать» работу демона sshd, тем самым обеспечив удаленный доступ к системе неавторизованному пользователю. Случаи использования в дикой природе, как и полагается, пока неизвестны. Напомню, для проверки установленной версии в своей системе (в зависимости от пакетного менеджера):
Если вы вдруг еще не в курсе деталей, вот статья на хабре на русском. История, на самом деле, крайне занимательная
Из импакта - пишут, что бэкдор, при определенных условиях, позволяет «поломать» работу демона sshd, тем самым обеспечив удаленный доступ к системе неавторизованному пользователю. Случаи использования в дикой природе, как и полагается, пока неизвестны. Напомню, для проверки установленной версии в своей системе (в зависимости от пакетного менеджера):
apt-cache policy liblzma5
yum info xz-libs
rpm -qa | grep lzma
Ну, и xz -VЕсли вы вдруг еще не в курсе деталей, вот статья на хабре на русском. История, на самом деле, крайне занимательная
Уязвимости уязвимостями, а #weekly никто не отменял
1. Атаки новой группы кибершпионов PhantomCore. Ох уж эта CVE-2023-38831, ощущение, что она в каждом втором репорте с фишингом / F.A.C.C.T.
2. VMWARE ESXI FORENSIC WITH VELOCIRAPTOR / SYNACKTIV
3. Немного инфостилеров на MacOS, чтобы не забывать / Jamf
4. DinodasRAT под Linux, такое мы любим / Kaspersky
Чтоб картинка окончательно сложилась, по нему же отчет от Check Point
5. Некое саммари, если вдруг вы пропустили весь экшен за последнее время в мире рансома (но выводы там не особо интересные)
6. Напоследок, чуть оффтоп, но отличный выпуск из серии Yatalks 2023: Как разговаривать с программистами, чтобы они все правильно поняли. Понять R&D и даже чутка зарядиться мотивацией
1. Атаки новой группы кибершпионов PhantomCore. Ох уж эта CVE-2023-38831, ощущение, что она в каждом втором репорте с фишингом / F.A.C.C.T.
2. VMWARE ESXI FORENSIC WITH VELOCIRAPTOR / SYNACKTIV
3. Немного инфостилеров на MacOS, чтобы не забывать / Jamf
4. DinodasRAT под Linux, такое мы любим / Kaspersky
Чтоб картинка окончательно сложилась, по нему же отчет от Check Point
5. Некое саммари, если вдруг вы пропустили весь экшен за последнее время в мире рансома (но выводы там не особо интересные)
6. Напоследок, чуть оффтоп, но отличный выпуск из серии Yatalks 2023: Как разговаривать с программистами, чтобы они все правильно поняли. Понять R&D и даже чутка зарядиться мотивацией
Давно не было изи контента, а ведь у меня уже целый набор любимчиков!
Воскресенье, как никак, делюсь!
Воскресенье, как никак, делюсь!