Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
Читаю тут очередной интел репорт, потом поднимаю из архивов один из наших отчетов по респонсу, и просто хочется кричать оставить это здесь
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
На этих выходных поговорим немного про память. И сегодня начнем с малой крови
Все знают про самый популярный инструмент для исследования ОЗУ -
Поддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Все знают про самый популярный инструмент для исследования ОЗУ -
volatility. Исходный код написан на Python, а анализировать им можно разные операционные системы, от Windows XP до Linux и macOS. Сам по себе проект активно поддерживается, а в работе используются версии 2 и 3. И вот тут есть важный нюанс, про который говорят режеПоддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
README.hta
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Накатала небольшую стори про то, что и как прошло в этот раз
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных❤️
#own
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных
#own
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Bimbosecurity
Когда расследуешь инцидент четвертый день без сна и перерыва на айс-латте, а админы все еще не заблокировали С2, обнаруженные в первые два часа
Меня тут ребята из INSECA пригласили сделать ревью их курса по DFIR. На самом деле, начинка в нем более, чем насыщенная, но яж всегда найду, где негодование свое высказать, так что теперь еще и сижу по утрам и пишу новые модули ✨
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Please open Telegram to view this post
VIEW IN TELEGRAM
inseca.tech
Практический курс по цифровой криминалистике и реагированию на инциденты
Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности
Не будем нагружать это чудесное утро лишними словами. Но есть тут кое-что у меня, так сказать, полистать на досуге
Кстати, да
https://offzone.moscow/program/vymogateli-dlya-samykh-malenkikh/
Приходите на трек, буду рада всех видеть :)
https://offzone.moscow/program/vymogateli-dlya-samykh-malenkikh/
Приходите на трек, буду рада всех видеть :)
Так как в канале много новеньких (и это число растет каждый день! спасибо вам!), я решила актуализировать и повторить дайджест моих любимых постов в канале:
🔠 Что есть DFIR (digital forensics & incident response) и чем оно отличается от классического понимания компьютерной криминалистики?
🔠 Есть шесть событий по созданию системных служб. Найти зло и при чем тут насмотренность (небольшие подсказки - в следующим за ним постом)
❤️ Про полноценный тулсет я все еще ленюсь написать, а вот список полезных инструментов в виде сайтов оставила. А еще подборку каналов по теме информационной безопасности, которые я читаю и которые могут быть полезны и вам
🅱 ️ Пост с рекомендациями литературы по теме реагирования и расследования инцидентов. Отдельно стоит заглянуть в комментарии! Я и сама частенько туда посматриваю (:
👨💻 Ну и, возможно, вы немного захотите познакомиться со мной и тем, чем я занимаюсь: как я начала заниматься форензикой и даже чуть более серьезное рабочее интервью
А еще я люблю порассуждать на всякие связанные и не очень темы. Так что почитать менее технические штуки и посты про жизнь можно под тегом #own
А еще я люблю порассуждать на всякие связанные и не очень темы. Так что почитать менее технические штуки и посты про жизнь можно под тегом #own
Please open Telegram to view this post
VIEW IN TELEGRAM
Как одного из самых преданных фанатов Notion, новости об отзыве доступа к аккаунту с 9 сентября не могли обойти меня стороной. Да и мне лично стали задавать вопрос, чего как, что планирую делать. Так вот, на самом деле, особо ничего
Во-первых, если внимательно прочитать их заявление, то можно сделать вывод, что а) будет отозван доступ к воркспейсам, пока вы находитесь на территории России б) если вы когда-либо платили за подписку с ру счета, ваш воркспейс уже косвенно ассоциирован с Россией и доступ также будет прекращен. Забавно, конечно, что по сути страдают те, кто поддерживал ребят денюжкой, но так как я ничего не покупала там в принципе, итог: кажется, все проблемы решаются небезывестным сервисом и переживать особо не стоит. Просто сделайте нормальный впн)
Во-вторых, в любом случае, без бэкапов не обойтись. Это классическая рекомендация для всего и везде, да и вдруг. Вот тогда, куда буду переходить - пока не знаю, мысли об обсидиане не греют мне душу пока что, поэтому буду решать по факту. Альтернативы есть, нашла еще вот, будем смотреть
В общем, keep calm :) как будто в первый раз )
😕
Во-первых, если внимательно прочитать их заявление, то можно сделать вывод, что а) будет отозван доступ к воркспейсам, пока вы находитесь на территории России б) если вы когда-либо платили за подписку с ру счета, ваш воркспейс уже косвенно ассоциирован с Россией и доступ также будет прекращен. Забавно, конечно, что по сути страдают те, кто поддерживал ребят денюжкой, но так как я ничего не покупала там в принципе, итог: кажется, все проблемы решаются небезывестным сервисом и переживать особо не стоит. Просто сделайте нормальный впн)
Во-вторых, в любом случае, без бэкапов не обойтись. Это классическая рекомендация для всего и везде, да и вдруг. Вот тогда, куда буду переходить - пока не знаю, мысли об обсидиане не греют мне душу пока что, поэтому буду решать по факту. Альтернативы есть, нашла еще вот, будем смотреть
В общем, keep calm :) как будто в первый раз )
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
README.hta
Вечер - время откровений. Поэтому признаюсь, я не могу жить без своего Notion
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на…
Обсуждали тут на днях, кто в каком виде ведет свои записи и захотелось немного поделиться, как это все устроено у меня. В свое время я прошла все стадии: от небольших заметок на…