Правильные варианты ответа на вопрос:
Давайте по порядку, но будет много буков :)
$MFT - это, по сути, сердце NTFS, так как содержит информацию обо всех файлах и директориях в системе. Каждый файл или директория имеет как минимум одну запись в MFT-таблице по умолчанию размером 1 КБ (1024 байт) и у каждой есть структура: заголовок самой MFT-записи, далее идут атрибуты со своими заголовками, и оставшееся неиспользуемое пространство. Основных атрибутов насчитывается порядка 16, все они начинаются со знака $. В данном контексте это число сейчас непринципиально, главное понимать, что не все из них обязательно должны присутствовать в одной MFT-записи, или наоборот, на каждую запись может быть несколько идентичных типов атрибутов
Ну и тут мы подошли к самому интересному. Вопрос:
Сколько временных меток может содержаться в одной MFT-записи, не учитывая атрибуты $I30?
Судя по тому, что вариант с цифрой 8 все-таки в лидерах, тут особо объяснять не нужно. Речь идет о $STANDART_INFORMATION ($SI, значение 0х10) и $FILE_NAME ($FN, 0х30). В них хранятся не только временные метки, тем не менее, в каждом из них имеем по 4 таймстампа
и есть они почти у каждой записи. Необходимо знать принципиальную разницу этих атрибутов, так как это - основополагающий момент при криминалистическом анализе, то есть программа минимум. Дальше начинаются нюансы
Как было сказано ранее, атрибутов у каждой записи может быть много (2^16, если хотите), поэтому одной записи может не хватать. В таком случае, чтобы хранить все, выделяется несколько записей, и тогда первая считается базовой, а остальные -небазовыми дополнительными. В дополнительных указывается ссылка на базовую запись, а в базовой - все допы указываются в другом специальном атрибуте. Так вот, в этих самых дополнительных записях атрибутов $SI и $FN попросту нет
Далее. Возможно, вы замечали, что иногда у файлов их имя отображается как EXAMPL~1.TXT, и это тоже неспроста. Если у файла длинное имя, например, "Example of too long file name.txt", то для обратной совместимости с DOS и хранения как длинного, так и короткого имени файла, по умолчанию будет создано два атрибута $FN (так как именно $FN хранит имя файла). Соответственно, + еще четверка временных меток. 12, получается
Нюансов, на самом деле, и правда много. Например, если задать вопрос, сколько временных меток в целом можно найти у одного файла в NTFS, ответ будет несколько иным, и насчитываться их может и 12, и 16, и даже больше. Но это уже другая история
Ах да, небольшая бонусная часть.Если вы парсите $MFT каким-нибудь MFTECmd, можно столкнуться с тем, что часть временных меток пустует в табличке после парсинга. Это происходит не потому, что их нет, а потому, что множество меток идентичны, и чтобы не перегружать и без того сложную структуру, Эрик убрал в выводе по умолчанию абсолютные дубли (вернуть можно, добавив отдельный флаг к команде). Ну и всегда можно перепроверить себя, например, через istat
0, 8, 12Давайте по порядку, но будет много буков :)
$MFT - это, по сути, сердце NTFS, так как содержит информацию обо всех файлах и директориях в системе. Каждый файл или директория имеет как минимум одну запись в MFT-таблице по умолчанию размером 1 КБ (1024 байт) и у каждой есть структура: заголовок самой MFT-записи, далее идут атрибуты со своими заголовками, и оставшееся неиспользуемое пространство. Основных атрибутов насчитывается порядка 16, все они начинаются со знака $. В данном контексте это число сейчас непринципиально, главное понимать, что не все из них обязательно должны присутствовать в одной MFT-записи, или наоборот, на каждую запись может быть несколько идентичных типов атрибутов
Ну и тут мы подошли к самому интересному. Вопрос:
Сколько временных меток может содержаться в одной MFT-записи, не учитывая атрибуты $I30?
Судя по тому, что вариант с цифрой 8 все-таки в лидерах, тут особо объяснять не нужно. Речь идет о $STANDART_INFORMATION ($SI, значение 0х10) и $FILE_NAME ($FN, 0х30). В них хранятся не только временные метки, тем не менее, в каждом из них имеем по 4 таймстампа
M (Modify) - изменение содержимого файла,
A (Access) - доступ,
C (Change) - изменение метаданных файла,
B (Birth) - создание файла,
и есть они почти у каждой записи. Необходимо знать принципиальную разницу этих атрибутов, так как это - основополагающий момент при криминалистическом анализе, то есть программа минимум. Дальше начинаются нюансы
Как было сказано ранее, атрибутов у каждой записи может быть много (2^16, если хотите), поэтому одной записи может не хватать. В таком случае, чтобы хранить все, выделяется несколько записей, и тогда первая считается базовой, а остальные -
Далее. Возможно, вы замечали, что иногда у файлов их имя отображается как EXAMPL~1.TXT, и это тоже неспроста. Если у файла длинное имя, например, "Example of too long file name.txt", то для обратной совместимости с DOS и хранения как длинного, так и короткого имени файла, по умолчанию будет создано два атрибута $FN (так как именно $FN хранит имя файла). Соответственно, + еще четверка временных меток. 12, получается
Нюансов, на самом деле, и правда много. Например, если задать вопрос, сколько временных меток в целом можно найти у одного файла в NTFS, ответ будет несколько иным, и насчитываться их может и 12, и 16, и даже больше. Но это уже другая история
Ах да, небольшая бонусная часть.
Под утренний кофе читала про Scriptblock Smuggling, или как обходить AMSI на лету и скрывать скрипты PowerShell. Выглядит прям хорошо, в классическом редтимерском стиле (потно и действительно эффектно ), но во время прочтения меня не покидала мысль
Нормально логируй, нормально будет: ведь в поше доступно несколько «уровней» логирования себя самого, не говоря уже про другие источники для обнаружения. А вот то, используете ли вы это на своей стороне, это уже другой вопрос :)
https://cloud.google.com/blog/topics/threat-intelligence/greater-visibility
https://woshub.com/powershell-commands-history/
https://www.powershellcenter.com/wp-content/uploads/2020/09/Hunting-For-PowerShell-Abuse.pdf
Нормально логируй, нормально будет: ведь в поше доступно несколько «уровней» логирования себя самого, не говоря уже про другие источники для обнаружения. А вот то, используете ли вы это на своей стороне, это уже другой вопрос :)
https://cloud.google.com/blog/topics/threat-intelligence/greater-visibility
https://woshub.com/powershell-commands-history/
https://www.powershellcenter.com/wp-content/uploads/2020/09/Hunting-For-PowerShell-Abuse.pdf
README.hta
Утро, время поразглагольствовать. Снова рубрика советов, которые когда-то давали мне и которыми мне тоже теперь хочется поделиться: Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать…
Please open Telegram to view this post
VIEW IN TELEGRAM
Второе издание той самой книги
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
В тему и не в тему, еще раз добавлю свою любимую и заезженную песню про сетевые модели. Казалось бы, это тоже база, но тем не менее она часто вызывает страдания и мучения, а на тех же собесах выглядит, как будто вас проверяют на какую-то скучную теорию из универа. Но поверьте, это не так, и сейчас я объясню почему
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
cloud-forensics_angara-nubes.pdf
2.7 MB
Сегодня немного поболтали про расследования инцидентов в облаках. На всякий случай выложу презентацию, вдруг найдете что интересное для себя
А еще я такой дружочек-пирожочек на записи, не могу 😂
Сразу видно, кри-ми-на-лист!
Неделю назад разложили по плейлистам записи с пхдейса. Просмотреть все практически нереально, но отобрав и отсмотрев свой списочек, приведу те, которые, на мой взгляд, точно достойны вашего внимания:
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Примерно месяц назад гремела новость о том, что после успешного захвата инфры LockBit, ФБР буквально раздает ключи всем пострадавшим. Не секрет, что все это тиражировалось просто в бешеном темпе, в том числе по нашим СМИ
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
🤯
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
Please open Telegram to view this post
VIEW IN TELEGRAM
Слива FOR577 я, кажется, никогда не дождусь, поэтому вот наслаждаюсь аналогами побюджетнее (читай любыми другими курсами), ищу интересное
Может уже пора делать вторую часть материала по форензике никсов 🤔
Может уже пора делать вторую часть материала по форензике никсов 🤔
README.hta
SANS_Ransomware_and_Cyber_Extortion.pdf
Ниже скину еще один постер, по облакам. Возможно, для нас сейчас в меньшей степени актуальна вся эта зарубежная история, но присмотреться концептуально и стащить оттуда пару полезных идей точно можно (или если просто нужно срочно вспомнить, что такое Lambda или EC2)
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
SANS_DFPS_FOR509_v1.3_02-23.pdf
8 MB
Enterprise Cloud Forensics & Incident Response (from 02/2023)
Если еще раз услышу, что
restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(