Напряженный октябрь подходит к концу, зафиналим его очередным небольшим лирическим отступлением
Когда я, будучи начинающим спецом, только начинала думать о том, что надо бы выступать на конференциях и отправила свой первый абстракт на CFP, мне отказали. Я, конечно же, была очень рада (страшно ведь, а там еще и на английском сразу надо было, ух!!), но знаете, все равно есть вот это странное чувство возмущения в стиле "ну и чего не так-то? че это вам там не понравилось, а?!")) Мне очень тепло вспоминать сейчас, что тогда мой руководитель поддержал меня и на примерах показал, что отказывают всем, даже топовым чувакам. В общем, в любом случае дал понять, что это - абсолютно ок
К чему это я? У меня теперь достаточно большая аудитория, на которую я могу сказать то же самое :)
Вот тебя вроде уже куда-то зовут, начинаешь значит двигаться на уверенности, а потом раз, и declined)
Именно так было с SAS 2024. А мне ну очень туда хотелось: во-первых, мое сердечко покорил Флориан в экспертном жюри, а во-вторых, по какой-то неведомой причине касперовские ивенты всегда западают мне в душу, а тут еще и Индонезия! Но... мой толк не приняли)
Что в итоге? Не буду дальше расписывать, просто приложу пару картинок, а организаторам скажу БОЛЬШОЕ спасибо. Bite the bullet со всеми этими публичными штуками в свое время все же стоил того, чтобы потом приходили такие сообщения
Когда я, будучи начинающим спецом, только начинала думать о том, что надо бы выступать на конференциях и отправила свой первый абстракт на CFP, мне отказали. Я, конечно же, была очень рада (страшно ведь, а там еще и на английском сразу надо было, ух!!), но знаете, все равно есть вот это странное чувство возмущения в стиле "ну и чего не так-то? че это вам там не понравилось, а?!")) Мне очень тепло вспоминать сейчас, что тогда мой руководитель поддержал меня и на примерах показал, что отказывают всем, даже топовым чувакам. В общем, в любом случае дал понять, что это - абсолютно ок
К чему это я? У меня теперь достаточно большая аудитория, на которую я могу сказать то же самое :)
Вот тебя вроде уже куда-то зовут, начинаешь значит двигаться на уверенности, а потом раз, и declined)
Именно так было с SAS 2024. А мне ну очень туда хотелось: во-первых, мое сердечко покорил Флориан в экспертном жюри, а во-вторых, по какой-то неведомой причине касперовские ивенты всегда западают мне в душу, а тут еще и Индонезия! Но... мой толк не приняли)
Что в итоге? Не буду дальше расписывать, просто приложу пару картинок, а организаторам скажу БОЛЬШОЕ спасибо. Bite the bullet со всеми этими публичными штуками в свое время все же стоил того, чтобы потом приходили такие сообщения
У меня сегодня было ну просто изумительное утро. А все почему? И нет, не потому что форум начался, а потому что было время просто посидеть и просто почитать свежие репорты. Делюсь:
1. Ну, это классика, такое мы не пропускаем / TheDFIRReport
2. TeamTNT со своими майнерами и открытыми портами докера начали использовать Sliver. Растут! / Aqua Nautilus
3. PhaseShifters, они же Sticky Werewolf, если хотите, главное, что актуально для ру. Читать можно сразу вместе с выступлением Димы на оффзоне. Отчет прям интересный: стеганография, все эти связи битбакета, скрины лендинга с продажей подписки на обфускаторы. Занимательно / PT ESC
4. Тут можно посмотреть, как LLM сама себя выдает при создании вредоносных страниц / Kaspersky
5. Ну очень плохая маскировка под локбит, изученная TrendMicro.А еще там есть AWS, который между прочим сразу заблокировал вредоносные учетные записи. Все бы провайдеры облачных услуг так делали)
6. Никогда такого не было, и вот опять. Еще один пример злонамеренного использования QEMU / Securonix
7. TaskCache от Solar 4RAYS. Про это мало кто говорит, особенно учитывая все нюансы скрытия задач в винде, а ребята подробно разложили все по полочкам, еще и плагином сдобрили. Лайк
1. Ну, это классика, такое мы не пропускаем / TheDFIRReport
2. TeamTNT со своими майнерами и открытыми портами докера начали использовать Sliver. Растут! / Aqua Nautilus
3. PhaseShifters, они же Sticky Werewolf, если хотите, главное, что актуально для ру. Читать можно сразу вместе с выступлением Димы на оффзоне. Отчет прям интересный: стеганография, все эти связи битбакета, скрины лендинга с продажей подписки на обфускаторы. Занимательно / PT ESC
4. Тут можно посмотреть, как LLM сама себя выдает при создании вредоносных страниц / Kaspersky
5. Ну очень плохая маскировка под локбит, изученная TrendMicro.
6. Никогда такого не было, и вот опять. Еще один пример злонамеренного использования QEMU / Securonix
7. TaskCache от Solar 4RAYS. Про это мало кто говорит, особенно учитывая все нюансы скрытия задач в винде, а ребята подробно разложили все по полочкам, еще и плагином сдобрили. Лайк
Вечер перестает быть томным: минутка форензики вошла в чат. А вообще, если вы как-либо связаны с расследованием инцидентов, то вам не понаслышке знаком такой источник артефактов как
1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных
2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)
3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку
4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта
5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла
6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет
В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот
Amcache.hve (%SystemRoot%\AppCompat\Programs\Amcache). Но знали ли вы, что1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных
2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)
3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку
4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта
5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла
AEINV_WER — AEINV_WER_{MachineId}_YYYYMMDD_HHmmss.xml, который может быть в той же директории6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет
В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот
Делюсь еще одной рекомендацией: не знаю, как это работает, но у ребят из гиба однозначно талант к написанию книг (и, видимо, демонстрации целеустремленности, выдержки и упорства. я тут постик в канал-то написать неделями собираюсь😁)
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Telegram
README.hta
Список рекомендаций к изучению, составленный исключительно из моего опыта, в том числе когда я сама с нуля погружалась в форензику. Приведу оригинал и перевод книги, если он есть, но имейте ввиду, что порой читать в оригинале лучше, как минимум чтобы не встречать…
Давно не было мемов из сохраненок, надо исправляться (:
kali единым. '^[A-Za-z0-9]{16}$' - дефолтное имя хостнейма метасплойта: 4624/4625, logon type 3 + регулярочка, и уже можно трет хантитьПока я тут умиляюсь комментарию (который, на удивление, оставила даже не я), для новеньких еще раз оставлю ссылку на склад всяких книжек. Те самые из эфира тоже там есть :)
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??