В этот раз у нас неделя масштабных отчетов:
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, нобольше спойлеров не дам )
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
1. Global Threat Report 2024, CrowdStrike
2. Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024, F.A.C.C.T
3. Incident Response Report 2024, Unit 42 / Palo Alto Networks
4. И это еще не все глобал репорты! Немного отвлечемся, тут постэксплуатация свежих уязвимостей ScreenConnect. Хоть для ру и не особо актуально, просто Huntress <3
5. Интересная история билдера Kryptina (как-то так исторически сложилось, что я читаю практически все, где вижу слова Linux, threat и landscape, но
6. Подкаст linkmeup: киберугрозы и NTA
И еще, допом по подкастам. Если вы не совсем поняли, почему сломался Интернет в России 30 января, то вот здесь объяснили ну просто донельзя простыми словами, в том числе кое-что из postmortem. Вообще этот сезон достаточно занимательный, не совсем про ИБ, но рекомендую)
#weekly
Дайджест моих любимых постов, которые вы могли пропустить:
🔠 Что есть DFIR (digital forensics & incident response) и чем оно отличается от классической компьютерной криминалистики?
🔠 Есть шесть событий по созданию системных служб. Найти зло (небольшие подсказки - в следующим за ним постом)
❤️ Из личных архивов: почему я люблю ЛК?
🅱️ Пост с рекомендациями литературы по теме реагирования и расследований инцидентов. Отдельно стоит заглянуть в комментарии! Благодаря им пост становится еще полезнее: огромное спасибо всем, кто внес свою лепту
👨💻 Про собеседования: мои выводы и ошибки
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
А еще есть #weekly: в конце недели я стараюсь выкладывать самые интересные по моему мнению материалы, свежие и не очень. Есть и другие теги - они вот здесь (правда, если мне не лень проставлять их)
Кстати, мне в лс стали неоднократно предлагать темы, которые хотелось бы увидеть в канале и чтобы именно я написала об этом. Приятно! Но иногда, чтобы их раскрыть, хватит и поста, а иногда и статьи мало будет: тем не менее, я все вижу и всегда открыта к предложениям ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
В этот раз прям разнообразненько вышло:
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
1. SEO poisoning и Gootloader от DFIRReport, куда без них
2. Watering hole! Просто чтобы помнить, чем может оказаться тот самый jquery.js из кэша браузера, на который так надоедливо триггерится антивирус / ESET
3. Что можно попробовать сделать, если vmdk оказался поврежденным в процессе экспорта (читай как потенциально полезный инструмент на будущее)
4. Исследование более ранних атак Shadow/Twelve/Comet/DARKSTAR от F.A.C.C.T. (!)
5. Про UEFI-буткит BlaсkLotus in the wild / ESET
6. Ну, уже только ленивый не упомянул про зеродей в драйвере апплокера / Avast
7. RedCurl во всей красе в репорте Trend Micro: и не потому, что smbexec, а потому как используют PCA (Program Compatibility Assistant). Дада, это который тот самый
#weekly
Ну, хоть так, наконец дошли руки
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Рекомендую и вам: в прошлом году отчет канареек был крайне хорош
На правах #weekly
Спонсор сегодняшнего #weekly - 34453 незакрытых вкладок в моем браузере
1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV
2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса
3. Threat Hunting vs Detection Engineering
4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus
5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE
6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь
1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV
2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса
3. Threat Hunting vs Detection Engineering
4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus
5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE
6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь
Уязвимости уязвимостями, а #weekly никто не отменял
1. Атаки новой группы кибершпионов PhantomCore. Ох уж эта CVE-2023-38831, ощущение, что она в каждом втором репорте с фишингом / F.A.C.C.T.
2. VMWARE ESXI FORENSIC WITH VELOCIRAPTOR / SYNACKTIV
3. Немного инфостилеров на MacOS, чтобы не забывать / Jamf
4. DinodasRAT под Linux, такое мы любим / Kaspersky
Чтоб картинка окончательно сложилась, по нему же отчет от Check Point
5. Некое саммари, если вдруг вы пропустили весь экшен за последнее время в мире рансома (но выводы там не особо интересные)
6. Напоследок, чуть оффтоп, но отличный выпуск из серии Yatalks 2023: Как разговаривать с программистами, чтобы они все правильно поняли. Понять R&D и даже чутка зарядиться мотивацией
1. Атаки новой группы кибершпионов PhantomCore. Ох уж эта CVE-2023-38831, ощущение, что она в каждом втором репорте с фишингом / F.A.C.C.T.
2. VMWARE ESXI FORENSIC WITH VELOCIRAPTOR / SYNACKTIV
3. Немного инфостилеров на MacOS, чтобы не забывать / Jamf
4. DinodasRAT под Linux, такое мы любим / Kaspersky
Чтоб картинка окончательно сложилась, по нему же отчет от Check Point
5. Некое саммари, если вдруг вы пропустили весь экшен за последнее время в мире рансома (но выводы там не особо интересные)
6. Напоследок, чуть оффтоп, но отличный выпуск из серии Yatalks 2023: Как разговаривать с программистами, чтобы они все правильно поняли. Понять R&D и даже чутка зарядиться мотивацией
Утро доброе, начинаем неделю. Готовьтесь, будет насыщенно
1. Как всегда, отличный репорт от TheDFIRReport - From OneNote to RansomNote: An Ice Cold Intrusion. Очень много detection opportunities!!
2. Продолжаем ослеплять Sysmon, нюансы с ETW-провайдерами
3. Как при пентесте, так и при проведении того же compromise assessment могут не всегда предоставлять полный скоуп публично доступных серверов и приложений (поверхность атаки; писала об этом ранее). Поэтому будет не лишним еще раз почитать
4. Хороший шерлок для начинающих: Credential Stuffing в сетевом трафике
5. UNAPIMON с анхукингом API-функций
6. Достойный читшит по линуксовой форензе. Не могу упустить возможность лишний раз напомнить про материал с прошлогоднего PHD (видео, статья) + еще один мой однозначный фаворит из закромов
7. Главное чтиво моей позапрошлой недели наконец доступно всем — Threat Zone 2024. Огромный труд, качественная работа, мое уважение
#weekly
1. Как всегда, отличный репорт от TheDFIRReport - From OneNote to RansomNote: An Ice Cold Intrusion. Очень много detection opportunities!!
2. Продолжаем ослеплять Sysmon, нюансы с ETW-провайдерами
3. Как при пентесте, так и при проведении того же compromise assessment могут не всегда предоставлять полный скоуп публично доступных серверов и приложений (поверхность атаки; писала об этом ранее). Поэтому будет не лишним еще раз почитать
4. Хороший шерлок для начинающих: Credential Stuffing в сетевом трафике
5. UNAPIMON с анхукингом API-функций
6. Достойный читшит по линуксовой форензе. Не могу упустить возможность лишний раз напомнить про материал с прошлогоднего PHD (видео, статья) + еще один мой однозначный фаворит из закромов
7. Главное чтиво моей позапрошлой недели наконец доступно всем — Threat Zone 2024. Огромный труд, качественная работа, мое уважение
#weekly
Что-то мы (я) стали отходить от славных традиций. Исправляюсь, кое-что из завалявшегося, но точно достойного вашего внимания:
1. Обзор групп вымогателей, атаковавших Россию в 2023-2024 году, F.A.C.C.T
2. Подробное объяснение, что за Op-файлы в Prefetch, Максим Суханов
3. Sticky Werewolf и Rhadamanthys Stealer, F.A.C.C.T
4. Еще в начале года выкладывала часть презентаций, и вот к одной из них теперь есть текст! Тоже Максим, но тут уже МТС RED CICADA8
5. Для разнообразия, Poll Vaulting: Cyber Threats to Global Elections, Mandiant
6. Читала про очередную картошку, а вдовесок немного захватила релей кербероса (заставляет поднапрячь извилины, конечно)
7. Ну и конечно же сегодняшний славный TheDFIRReport - From IcedID to Dagon Locker Ransomware in 29 Days
#weekly
1. Обзор групп вымогателей, атаковавших Россию в 2023-2024 году, F.A.C.C.T
2. Подробное объяснение, что за Op-файлы в Prefetch, Максим Суханов
3. Sticky Werewolf и Rhadamanthys Stealer, F.A.C.C.T
4. Еще в начале года выкладывала часть презентаций, и вот к одной из них теперь есть текст! Тоже Максим, но тут уже МТС RED CICADA8
5. Для разнообразия, Poll Vaulting: Cyber Threats to Global Elections, Mandiant
6. Читала про очередную картошку, а вдовесок немного захватила релей кербероса (заставляет поднапрячь извилины, конечно)
7. Ну и конечно же сегодняшний славный TheDFIRReport - From IcedID to Dagon Locker Ransomware in 29 Days
#weekly
README.hta
Утро, время поразглагольствовать. Снова рубрика советов, которые когда-то давали мне и которыми мне тоже теперь хочется поделиться: Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать…
Please open Telegram to view this post
VIEW IN TELEGRAM
Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason