Из разряда «накипело», нашла у себя в заметках и решила опубликовать здесь
https://telegra.ph/What-is-DFIR-09-12
#own
https://telegra.ph/What-is-DFIR-09-12
#own
Telegraph
What is DFIR?
Так вышло, что за последний год я не раз поднимала тему различия между DF (digital forensics) и DFIR (digital forensics & incident response). Оказалось, некоторое заблуждение в этих понятиях достаточно распространено: я поняла это, когда наткнулась на видео…
README.hta
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас? Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд) Что ж, главное…
А если уже все зашифровано?
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а такжепроверить репозиторий моего талантливого коллеги по цеху (кстати, если что, там еще и yara-правила есть!) . И да, иногда бывает такое, что ресерчеры находят ошибки в схемах шифрования, и тогда все же удается сделать условно универсальный инструмент
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а также
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
Давным-давно делала для себя Windows Event ID Mindmap,
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
Еще во времена моей работы в SOC, когда мы нещадно страдали (на самом деле, не совсем уж) от фолсовых сработок, нам иногда задавали вопрос:
а что лучше,
false positive или false negative?
#meme
а что лучше,
false positive или false negative?
#meme
Все знают про проекты LOLBAS и GTFOBins, содержащие списки легитимных бинарей, которые могут использоваться атакующими в злонамеренных целях
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics
README.hta
Безопасность и расследование инцидентов в линуксах для самых маленьких. То есть, это не о том как порты закрыть и права развесить, а где и что искать когда первый пункт не помог. https://www.youtube.com/watch?v=q70SgSXsUEs
К моему удивлению, было очень много положительного фидбека по выступлению на positive hack days в этом году
По его следам слепили с позитивами чуть более расширенную версию:
https://ptresearch.media/articles/top-10-artefaktov-linux-dlya-rassledovaniya-inczidentov
#basics #forensics #linux
По его следам слепили с позитивами чуть более расширенную версию:
https://ptresearch.media/articles/top-10-artefaktov-linux-dlya-rassledovaniya-inczidentov
#basics #forensics #linux
Если вы не знаете, о чем говорит созданная служба
Часть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
BTOBTO
или не можете с ходу определить тулзу по процессу с командной строкой типа cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__ssssssssss.sssssss 2>&1)
, тогда я иду к вамЧасть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
SANS_DFPS_FOR500_v4.17_02-23.pdf
1.1 MB
Windows Forensic Analysis Poster (latest version from 02/2023)
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;тут правда еще большой вопросик, насколько последнее актуально для России (:
— подправили описание Shimcache и Amcache (evidence of presence on the system!)
#windows #forensics #tips
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;
#windows #forensics #tips
Здесь мог бы быть пост о необходимости понимания ландшафта угроз и вот этого всего, но выскажусь кратко о наболевшем
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
мы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
qwerty123
или Moscow2023!
ко всем доступным ресурсаммы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
README.hta
Mission completed! Certified forensic!!!!
Если кому интересно, написала тут в общих чертах по теме
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own
[1] Если вы хотя бы время от времени просматриваете журналы безопасности, вас этим не удивить: такого добра встроенный Защитник Windows генерит будь здоров (но мы все равно его очень любим, и это не сарказм!)
[2] По названию службы становится ясно, что она связана с южнокорейским антивирусным программным обеспечением. Хорошо. И вроде можно идти дальше, но.. подождите, а вы вообще часто видите использование этого программного продукта? И что, наверняка знаете, где лежат его бинари? Кажется, на этом моменте, на лице респондера появляется снисходительная улыбка, ведь тут еще и %PROGRAMDATA%, один из самых часто используемых каталогов злоумышленниками. Не так все просто, как казалось
[3] Вот тут, кстати, интересный случай. Ну скриншоттер и скриншоттер, местоположение вроде нормальное. И у яндекса действительно он есть (правда, если не ошибаюсь, встроенный в один из продуктов, но это неважно). А заметили ли вы заглавную букву D? Это очень наглядный случай, когда злоумышленники пытаются мимикрировать под широко известное имя, но не до конца шарят за нейминг. Не могу утверждать, что мы шарим, но, как по мне, очень бросается в глаза. Детали важны!
[4] Ничего необычного, Veeam действительно любит складывать некоторые исполняемые файлы в %SYSTEMROOT%. Если сомневаетесь, можете загуглить одноименную службу. Правда, тут вспоминается достаточно свежий кейс с Free Download Manager, когда пользователи на Reddit и StackOverflow чуть ли не два года обсуждали ошибки пробэкдоренного инсталлера. Очень забавно, однако все же будьте внимательнее. Гугл - это прекрасно (поистине считаю одним из суперважных скиллов), но не им единым :)
[5] На самом деле, мне прям нравится этот вариант! Хоть все и сразу догадались, что тут что-то неладное) А знаете, почему? Потому что изначально эта служба еще и была на сервере HPDM, предназначенного для управления устройствами. Не придерешься. Даже администратор очень едва ли такое заметит, но, как минимум, эта %APPDATA% выдает. Падазрительна
[6] Даже комментировать нечего, драйвер и драйвер, несмотря на казалось бы рандомщину в названии. Чем больше будете копаться в винде, тем больше таких "интересных" названий будете видеть. Есть несколько способов проверить подобное на базовом уровне: а) загуглить, б) проверить, есть ли такой драйвер у вас на чистой системе в) пробить по хэшу г) для некоторых системных файлов еще помогают сервисы типа echotrail
Ну что ж, итого, вредоносные службы под номерами 2,3,5. Более того, их даже объединяет используемая техника - DLL side-loading. Не будем пока вдаваться в ее детали и вопросы атрибуции(все и так все поняли) , но на этом моменте сразу ясно, что сами файлы, используемые службой - вполне легитимные, и, к тому же, скорее всего подписанные. Вот только используются не по назначению
Писать можно много, ясно только одно. Насмотренность на зло решает и со временем однозначно вырабатывается (:
[2] По названию службы становится ясно, что она связана с южнокорейским антивирусным программным обеспечением. Хорошо. И вроде можно идти дальше, но.. подождите, а вы вообще часто видите использование этого программного продукта? И что, наверняка знаете, где лежат его бинари? Кажется, на этом моменте, на лице респондера появляется снисходительная улыбка, ведь тут еще и %PROGRAMDATA%, один из самых часто используемых каталогов злоумышленниками. Не так все просто, как казалось
[3] Вот тут, кстати, интересный случай. Ну скриншоттер и скриншоттер, местоположение вроде нормальное. И у яндекса действительно он есть (правда, если не ошибаюсь, встроенный в один из продуктов, но это неважно). А заметили ли вы заглавную букву D? Это очень наглядный случай, когда злоумышленники пытаются мимикрировать под широко известное имя, но не до конца шарят за нейминг. Не могу утверждать, что мы шарим, но, как по мне, очень бросается в глаза. Детали важны!
[4] Ничего необычного, Veeam действительно любит складывать некоторые исполняемые файлы в %SYSTEMROOT%. Если сомневаетесь, можете загуглить одноименную службу. Правда, тут вспоминается достаточно свежий кейс с Free Download Manager, когда пользователи на Reddit и StackOverflow чуть ли не два года обсуждали ошибки пробэкдоренного инсталлера. Очень забавно, однако все же будьте внимательнее. Гугл - это прекрасно (поистине считаю одним из суперважных скиллов), но не им единым :)
[5] На самом деле, мне прям нравится этот вариант! Хоть все и сразу догадались, что тут что-то неладное) А знаете, почему? Потому что изначально эта служба еще и была на сервере HPDM, предназначенного для управления устройствами. Не придерешься. Даже администратор очень едва ли такое заметит, но, как минимум, эта %APPDATA% выдает. Падазрительна
[6] Даже комментировать нечего, драйвер и драйвер, несмотря на казалось бы рандомщину в названии. Чем больше будете копаться в винде, тем больше таких "интересных" названий будете видеть. Есть несколько способов проверить подобное на базовом уровне: а) загуглить, б) проверить, есть ли такой драйвер у вас на чистой системе в) пробить по хэшу г) для некоторых системных файлов еще помогают сервисы типа echotrail
Ну что ж, итого, вредоносные службы под номерами 2,3,5. Более того, их даже объединяет используемая техника - DLL side-loading. Не будем пока вдаваться в ее детали и вопросы атрибуции
Писать можно много, ясно только одно. Насмотренность на зло решает и со временем однозначно вырабатывается (: