Иногда меня переклинивает и я по какой-то неведомой причине ставлю себе напоминания в тг, а не привычным способом в календаре

И каждый раз, #}%* каждый! когда мне приходят эти уведомления, мое сердечко ненадолго замирает

Комментарий: в сохраненных сообщениях вы можете оставлять себе напоминания, тогда в назначенное время вам как бы придет сообщение от самого себя

В этот раз прям разнообразненько вышло:

1. SEO poisoning и Gootloader от DFIRReport, куда без них

2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET

3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)

4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)

5. Про UEFI-буткит BlaсkLotus in the wild / ESET

6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast

7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый

#weekly

Наконец досмотрела запись первого эфира Threat Zone. И вот на какие мысли меня это навело

Несмотря на то, что в эфире был обзор только последних активностей за месяц-два, в 9 из 10 случаев, фишинговые письма с вложением - основной метод первичной компрометации. Девяносто! Процентов!

И вроде сам по себе факт-то неудивительный: об этом говорят из каждого утюга, а те же пентестеры всегда отмечают этот способ как один из самых надежных (вот кто-нибудь один, но точно откроет)

Но стоит обратить особое внимание на расширения этих вложений: iso-, svg-, gz-файлы. Ну вот серьезно, gz-архивы? Файлы образов? Между тем, буквально единицы используют функционал блокировки писем по расширению на почтовых шлюзах в должной мере. Интересно, почему? Каков будет импакт на бизнес, если установить запрет на получение iso-файлов.. по почте?

Годные ссылки по теме:
https://filesec.io/
https://docs.google.com/spreadsheets/u/0/d/e/2PACX-1vQX7cJC0hc21eiK7ORix8-FO03AJ07wwFNsl7GIAn2sFEsZnU8B04LTtcWL5N_f-bcoYt1DgpHQdBgp/pubhtml?pli=1 (немного сыроват, но за основу брать точно можно)

Пока я собираюсь с мыслями, силами и временем, чтобы хотя бы немного рассказать про мастхэв из тулсета респондера, закину парочку полезных веб-ресурсов, которые использую наиболее часто. Ну, что-то кроме вирустотала и сайбершефа

https://www.abuseipdb.com/
AbuseIPDB со мной со времен SOC, это уже тупо привычка

https://spur.us/context/8.8.8.8
Для проверки, относится ли айпи к прокси, VPN и другим анонимайзерам

https://dnslytics.com/
whois-информация, dns-записи и так далее

https://www.shodan.io/
https://search.censys.io/
https://en.fofa.info/
Поисковые системы "специального назначения" (:

https://cse.google.com/cse?&cx=006368593537057042503:efxu7xprihg#gsc.tab=0
Поиск по телеге

https://archive.org/web/
Просмотр веб-страниц, которые уже недоступны + не забываем, что поисковики тоже кэшируют всякое

https://community.riskiq.com/
Если вы еще не тыкали никакой тиай, можете поизучать хотя бы этот на минималках

https://urlscan.io/
https://www.browserling.com/
Чтобы открывать нехорошие сайты и не заморачиваться

https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://any.run/
https://tria.ge/
Если первые песочницы +- всем хорошо знакомы, то вот в последнюю рекомендую тоже заглядывать

Делитесь тем, что вы сами держите всегда под рукой :)

#soft

Ну, хоть так, наконец дошли руки
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош

На правах #weekly

Я искренне уважаю руководителей тире играющих тренеров. Мне кажется, что именно такие люди способны полноценно оценить требуемые ресурсы на разного рода задачи, в том числе временные, более точечно и адекватно ставить эти самые задачи, потому что знают внутрянку процесса, и, несмотря на манагерские дела, в критичных ситуациях могут сесть и быть hands-on-keyboard вместе с тобой

Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)

А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблю людей выходить в люди, но до чего же это круто работает! Понравилось, как мне сказал один хороший человек: есть threat intelligence, а у вас там beer intelligence (:

К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
это могла быть хорошая реклама, но платить придется самой(((9

#own

Когда в кофейне тебе дали милую жвачку, а ты ощутил только свою профдеформацию

Спонсор сегодняшнего #weekly - 34453 незакрытых вкладок в моем браузере

1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV

2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса

3. Threat Hunting vs Detection Engineering

4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus

5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE

6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь

Увидела этот пост и не могу удержаться и не поделиться схожим плейлистом

https://redcanary.com/threat-sounds/#side2

Мне кажется, это просто гениально!

Коротко о том, о чем гудит весь Интернет последние двое суток – и это CVE-2024-3094 (xz-utils)

Из импакта - пишут, что бэкдор, при определенных условиях, позволяет «поломать» работу демона sshd, тем самым обеспечив удаленный доступ к системе неавторизованному пользователю. Случаи использования в дикой природе, как и полагается, пока неизвестны. Напомню, для проверки установленной версии в своей системе (в зависимости от пакетного менеджера):
apt-cache policy liblzma5
yum info xz-libs
rpm -qa | grep lzma
Ну, и xz -V

Если вы вдруг еще не в курсе деталей, вот статья на хабре на русском. История, на самом деле, крайне занимательная

Уязвимости уязвимостями, а #weekly никто не отменял

1. Атаки новой группы кибершпионов PhantomCore. Ох уж эта CVE-2023-38831, ощущение, что она в каждом втором репорте с фишингом / F.A.C.C.T.

2. VMWARE ESXI FORENSIC WITH VELOCIRAPTOR / SYNACKTIV

3. Немного инфостилеров на MacOS, чтобы не забывать / Jamf

4. DinodasRAT под Linux, такое мы любим / Kaspersky
Чтоб картинка окончательно сложилась, по нему же отчет от Check Point

5. Некое саммари, если вдруг вы пропустили весь экшен за последнее время в мире рансома (но выводы там не особо интересные)

6. Напоследок, чуть оффтоп, но отличный выпуск из серии Yatalks 2023: Как разговаривать с программистами, чтобы они все правильно поняли. Понять R&D и даже чутка зарядиться мотивацией