Примерно месяц назад гремела новость о том, что после успешного захвата инфры LockBit, ФБР буквально раздает ключи всем пострадавшим. Не секрет, что все это тиражировалось просто в бешеном темпе, в том числе по нашим СМИ
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
🤯
Вот меня еще тогда волновал вопрос. Почему в этих самых СМИ никто не сделал даже маааленькой приписки о том, что локбит там, и локбит здесь - это про разное? Даже в инфосек-источниках: и ведь это же был такой шанс громко объяснить, что к чему, а в итоге в кого-то ведь точно вселили надежду найти там их ключ для расшифровки данных
Please open Telegram to view this post
VIEW IN TELEGRAM
Слива FOR577 я, кажется, никогда не дождусь, поэтому вот наслаждаюсь аналогами побюджетнее (читай любыми другими курсами), ищу интересное
Может уже пора делать вторую часть материала по форензике никсов 🤔
Может уже пора делать вторую часть материала по форензике никсов 🤔
README.hta
SANS_Ransomware_and_Cyber_Extortion.pdf
Ниже скину еще один постер, по облакам. Возможно, для нас сейчас в меньшей степени актуальна вся эта зарубежная история, но присмотреться концептуально и стащить оттуда пару полезных идей точно можно (или если просто нужно срочно вспомнить, что такое Lambda или EC2)
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
И вообще. Раз на то пошло, как любитель подкастов сразу порекомендую по теме этот эпизод, чтобы понять что вообще к чему
SANS_DFPS_FOR509_v1.3_02-23.pdf
8 MB
Enterprise Cloud Forensics & Incident Response (from 02/2023)
Если еще раз услышу, что
restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(
README.hta
Если еще раз услышу, что restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(
Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
Читаю тут очередной интел репорт, потом поднимаю из архивов один из наших отчетов по респонсу, и просто хочется кричать оставить это здесь
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
На этих выходных поговорим немного про память. И сегодня начнем с малой крови
Все знают про самый популярный инструмент для исследования ОЗУ -
Поддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Все знают про самый популярный инструмент для исследования ОЗУ -
volatility. Исходный код написан на Python, а анализировать им можно разные операционные системы, от Windows XP до Linux и macOS. Сам по себе проект активно поддерживается, а в работе используются версии 2 и 3. И вот тут есть важный нюанс, про который говорят режеПоддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
README.hta
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Накатала небольшую стори про то, что и как прошло в этот раз
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных❤️
#own
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных
#own
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Bimbosecurity
Когда расследуешь инцидент четвертый день без сна и перерыва на айс-латте, а админы все еще не заблокировали С2, обнаруженные в первые два часа
Меня тут ребята из INSECA пригласили сделать ревью их курса по DFIR. На самом деле, начинка в нем более, чем насыщенная, но яж всегда найду, где негодование свое высказать, так что теперь еще и сижу по утрам и пишу новые модули ✨
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Please open Telegram to view this post
VIEW IN TELEGRAM
inseca.tech
Практический курс по цифровой криминалистике и реагированию на инциденты
Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности
Не будем нагружать это чудесное утро лишними словами. Но есть тут кое-что у меня, так сказать, полистать на досуге