Второе издание той самой книги
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
Мне кажется, уже просто все неоднократно подтвердили, что это - однозначный must
В тему и не в тему, еще раз добавлю свою любимую и заезженную песню про сетевые модели. Казалось бы, это тоже база, но тем не менее она часто вызывает страдания и мучения, а на тех же собесах выглядит, как будто вас проверяют на какую-то скучную теорию из универа. Но поверьте, это не так, и сейчас я объясню почему
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
Знание моделей OSI или TCP/IP нужно не для того, чтобы просто знать ответ на вопрос, какой порт использует утилита ping для работы и успешно пройти собес. А, опять же, для того, чтобы понимать, с чем ты имеешь дело
Те же файерволлы могут работать на уровне L3 или L7, и смысл давать рекомендацию "заблокируйте вредоносный домен на файерволле", когда он просто не оперирует такими сущностями? Или другая ситуация: аналитик видит через netstat соединение с подозрительным айпи, но рядом стоит статус FIN-WAIT и для него это ни о чем не говорит. Какие выводы он сможет сделать? С адресной строкой в браузере тоже хороший пример, и таких ситуаций масса и не только с сетями
Нельзя быть экспертом во всем. Безопасникам вообще не повезло: операционные системы, сети, базы данных, аппсек и прочее-прочее, и везде надо что-то да понимать. Тем не менее, есть какие-то фундаментальные знания, без которых будет крайне сложно
cloud-forensics_angara-nubes.pdf
2.7 MB
Сегодня немного поболтали про расследования инцидентов в облаках. На всякий случай выложу презентацию, вдруг найдете что интересное для себя
А еще я такой дружочек-пирожочек на записи, не могу 😂
Сразу видно, кри-ми-на-лист!
Неделю назад разложили по плейлистам записи с пхдейса. Просмотреть все практически нереально, но отобрав и отсмотрев свой списочек, приведу те, которые, на мой взгляд, точно достойны вашего внимания:
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Ошибки при реагировании на инциденты в 2023-2024 годах
И поэтому все так произошло
Доверять — хорошо, слишком доверять — опасно, или Trusted relationship attacks (можно почитать здесь)
The -=Twelve=- Chairs
Сквозь туман кибервойны: обзор атак APT Cloud Atlas в 2023–2024 годах
Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках
Война с песочницей: техники по ту сторону баррикад
Технологии защиты и техники обхода антивирусов и систем EDR
Особенности реагирования на КИ в информационных системах под управлением Astra Linux
Hellhounds: операция Lahat (больше известны по Decoy Dog, читать сразу [1] [2])
Учат в школе
Dark promotion: исследование ценообразования, моделей дистрибуции и методов продвижения
Идеальный руководитель: какой он
И еще один доклад, но я не смотрела видос, сразу пошла в блог - Распутываем змеиный клубок: по следам атак Shedding Zmiy
Примерно месяц назад гремела новость о том, что после успешного захвата инфры LockBit, ФБР буквально раздает ключи всем пострадавшим. Не секрет, что все это тиражировалось просто в бешеном темпе, в том числе по нашим СМИ
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
🤯
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
Please open Telegram to view this post
VIEW IN TELEGRAM
Слива FOR577 я, кажется, никогда не дождусь, поэтому вот наслаждаюсь аналогами побюджетнее (читай любыми другими курсами), ищу интересное
Может уже пора делать вторую часть материала по форензике никсов 🤔
Может уже пора делать вторую часть материала по форензике никсов 🤔
README.hta
SANS_Ransomware_and_Cyber_Extortion.pdf
Ниже скину еще один постер, по облакам. Возможно, для нас сейчас в меньшей степени актуальна вся эта зарубежная история, но присмотреться концептуально и стащить оттуда пару полезных идей точно можно (или если просто нужно срочно вспомнить, что такое Lambda или EC2)
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
SANS_DFPS_FOR509_v1.3_02-23.pdf
8 MB
Enterprise Cloud Forensics & Incident Response (from 02/2023)
Если еще раз услышу, что
restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(
README.hta
Если еще раз услышу, что restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(
Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
Читаю тут очередной интел репорт, потом поднимаю из архивов один из наших отчетов по респонсу, и просто хочется кричать оставить это здесь
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
На этих выходных поговорим немного про память. И сегодня начнем с малой крови
Все знают про самый популярный инструмент для исследования ОЗУ -
Поддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Все знают про самый популярный инструмент для исследования ОЗУ -
volatility. Исходный код написан на Python, а анализировать им можно разные операционные системы, от Windows XP до Linux и macOS. Сам по себе проект активно поддерживается, а в работе используются версии 2 и 3. И вот тут есть важный нюанс, про который говорят режеПоддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)