Под утренний кофе читала про Scriptblock Smuggling, или как обходить AMSI на лету и скрывать скрипты PowerShell. Выглядит прям хорошо, в классическом редтимерском стиле (потно и действительно эффектно ), но во время прочтения меня не покидала мысль
Нормально логируй, нормально будет: ведь в поше доступно несколько «уровней» логирования себя самого, не говоря уже про другие источники для обнаружения. А вот то, используете ли вы это на своей стороне, это уже другой вопрос :)
https://cloud.google.com/blog/topics/threat-intelligence/greater-visibility
https://woshub.com/powershell-commands-history/
https://www.powershellcenter.com/wp-content/uploads/2020/09/Hunting-For-PowerShell-Abuse.pdf
Нормально логируй, нормально будет: ведь в поше доступно несколько «уровней» логирования себя самого, не говоря уже про другие источники для обнаружения. А вот то, используете ли вы это на своей стороне, это уже другой вопрос :)
https://cloud.google.com/blog/topics/threat-intelligence/greater-visibility
https://woshub.com/powershell-commands-history/
https://www.powershellcenter.com/wp-content/uploads/2020/09/Hunting-For-PowerShell-Abuse.pdf
README.hta
Утро, время поразглагольствовать. Снова рубрика советов, которые когда-то давали мне и которыми мне тоже теперь хочется поделиться: Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать…
Please open Telegram to view this post
VIEW IN TELEGRAM
Второе издание той самой книги
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
В тему и не в тему, еще раз добавлю свою любимую и заезженную песню про сетевые модели. Казалось бы, это тоже база, но тем не менее она часто вызывает страдания и мучения, а на тех же собесах выглядит, как будто вас проверяют на какую-то скучную теорию из универа. Но поверьте, это не так, и сейчас я объясню почему
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
cloud-forensics_angara-nubes.pdf
2.7 MB
Сегодня немного поболтали про расследования инцидентов в облаках. На всякий случай выложу презентацию, вдруг найдете что интересное для себя
А еще я такой дружочек-пирожочек на записи, не могу 😂
Сразу видно, кри-ми-на-лист!
Неделю назад разложили по плейлистам записи с пхдейса. Просмотреть все практически нереально, но отобрав и отсмотрев свой списочек, приведу те, которые, на мой взгляд, точно достойны вашего внимания:
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Примерно месяц назад гремела новость о том, что после успешного захвата инфры LockBit, ФБР буквально раздает ключи всем пострадавшим. Не секрет, что все это тиражировалось просто в бешеном темпе, в том числе по нашим СМИ
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
🤯
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
Please open Telegram to view this post
VIEW IN TELEGRAM
Слива FOR577 я, кажется, никогда не дождусь, поэтому вот наслаждаюсь аналогами побюджетнее (читай любыми другими курсами), ищу интересное
Может уже пора делать вторую часть материала по форензике никсов 🤔
Может уже пора делать вторую часть материала по форензике никсов 🤔
README.hta
SANS_Ransomware_and_Cyber_Extortion.pdf
Ниже скину еще один постер, по облакам. Возможно, для нас сейчас в меньшей степени актуальна вся эта зарубежная история, но присмотреться концептуально и стащить оттуда пару полезных идей точно можно (или если просто нужно срочно вспомнить, что такое Lambda или EC2)
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
SANS_DFPS_FOR509_v1.3_02-23.pdf
8 MB
Enterprise Cloud Forensics & Incident Response (from 02/2023)
Если еще раз услышу, что
restrictedАdmin
при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy
от использования PowerShell :(