Вечер перестает быть томным: минутка форензики вошла в чат. А вообще, если вы как-либо связаны с расследованием инцидентов, то вам не понаслышке знаком такой источник артефактов как
1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных
2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)
3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку
4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта
5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла
6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет
В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот
Amcache.hve (%SystemRoot%\AppCompat\Programs\Amcache). Но знали ли вы, что1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных
2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)
3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку
4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта
5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла
AEINV_WER — AEINV_WER_{MachineId}_YYYYMMDD_HHmmss.xml, который может быть в той же директории6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет
В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот
Делюсь еще одной рекомендацией: не знаю, как это работает, но у ребят из гиба однозначно талант к написанию книг (и, видимо, демонстрации целеустремленности, выдержки и упорства. я тут постик в канал-то написать неделями собираюсь😁)
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Telegram
README.hta
Список рекомендаций к изучению, составленный исключительно из моего опыта, в том числе когда я сама с нуля погружалась в форензику. Приведу оригинал и перевод книги, если он есть, но имейте ввиду, что порой читать в оригинале лучше, как минимум чтобы не встречать…
Давно не было мемов из сохраненок, надо исправляться (:
kali единым. '^[A-Za-z0-9]{16}$' - дефолтное имя хостнейма метасплойта: 4624/4625, logon type 3 + регулярочка, и уже можно трет хантитьПока я тут умиляюсь комментарию (который, на удивление, оставила даже не я), для новеньких еще раз оставлю ссылку на склад всяких книжек. Те самые из эфира тоже там есть :)
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??
Пока я дорезаю салаты, на моей малой родине уже почти новый год, так что время не ждет. Уходящий год был насыщенный, абсолютно во всех отношениях. В работе мне всегда кажется, что можно было бы конечно и еще чуть поднапрячься (не говоря уже про то, что работы много, времени для постов - чертовски мало), но оглядываясь назад...
— 6 публичных выступлений на самых крупных площадках инфосека
— Да так, что потом еще и позвали на конференцию в Индонезию как ресерчера, простигосподи
— Еще больше форензик с успешно сданным GX-FA
— Начала преподавать в инсеке
— Ну и...стала руководителем. Иногда конечно кажется, что просто форензить все же проще))0 порой я такой сухарь, что еще расти и расти. Но они горой за меня, а я горой за них. На фото еще неполный состав, поэтому пользуясь случаем, заявляю: команда, вы - бест оф зе бест!
Желаю в наступающем году быть просто собой, ценить и беречь тех, кто рядом, и уверенно идти к своей цели не смотря ни на что. Сделаем, а потом будем переживать
И да. 1600+ подписчиков в канале, а ровно год назад вас было 137... Спасибо, что вы со мной!
🫶🏼
— 6 публичных выступлений на самых крупных площадках инфосека
— Да так, что потом еще и позвали на конференцию в Индонезию как ресерчера
— Еще больше форензик с успешно сданным GX-FA
— Начала преподавать в инсеке
— Ну и...стала руководителем. Иногда конечно кажется, что просто форензить все же проще))0 порой я такой сухарь, что еще расти и расти. Но они горой за меня, а я горой за них. На фото еще неполный состав, поэтому пользуясь случаем, заявляю: команда, вы - бест оф зе бест!
Желаю в наступающем году быть просто собой, ценить и беречь тех, кто рядом, и уверенно идти к своей цели не смотря ни на что. Сделаем, а потом будем переживать
И да. 1600+ подписчиков в канале, а ровно год назад вас было 137... Спасибо, что вы со мной!
🫶🏼
Еще в том году я неоднократно натыкалась на публикации с вопросами с реальных собеседований в различных сферах ИБ, именно на русском языке и от наших ребят (1,2)
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
Ребятушки, аттеншн!
Я все откладывала и откладывала этот момент, но время пришло. Ищу еще реверсеров в команду
Пугать не буду, но готовьтесь к хард-режиму. Еще одно «но»: все окупится сторицей (:
https://hh.ru/vacancy/115428816
Рассматриваем кандидатов разного уровня, главное чтобы у нас был мэтч, а человек хотел расти. Если хотите получить побольше деталей - пишите мне @ant19ova или нашему прекрасному эйчару Вике @ASViktoriya
Спасибо за внимание, хорошего дня )
Я все откладывала и откладывала этот момент, но время пришло. Ищу еще реверсеров в команду
Пугать не буду, но готовьтесь к хард-режиму. Еще одно «но»: все окупится сторицей (:
https://hh.ru/vacancy/115428816
Рассматриваем кандидатов разного уровня, главное чтобы у нас был мэтч, а человек хотел расти. Если хотите получить побольше деталей - пишите мне @ant19ova или нашему прекрасному эйчару Вике @ASViktoriya
Спасибо за внимание, хорошего дня )
Ух, многовато буков на сегодня. Поэтому чуть отложим практическую часть сего материала, а я спрошу
У вас какие мысли вообще на этот счет?
У вас какие мысли вообще на этот счет?
Накатала я значит целый пост в сохраненках. Не то, чтобы с полноценным плейбуком, но для скелета - самое оно. Я сокращала как могла… но выглядит это все равно чудовищно. Пока я сегодня привожу все это к более менее читабельному виду, закину вам небольшой спойлер и спрошу
А что бы делали вы при таких вводных? (:
P.S. Только давайте в общих чертах и пока исключительно в рамках анализа данных
P.P.S. В качестве бонуса вы можете лицезреть закрепленные сообщения сильной и независимой женщины 😁
А что бы делали вы при таких вводных? (:
P.S. Только давайте в общих чертах и пока исключительно в рамках анализа данных
P.P.S. В качестве бонуса вы можете лицезреть закрепленные сообщения сильной и независимой женщины 😁
Дано: предположительная компрометация сервера на CMS 1C:Битрикс.
(На практике часто это предположение уже чем-то обоснованно, например, факт утечки данных, создание подозрительных/вредоносных файлов, нелегитимные входы пользователей и так далее. Постараемся рассмотреть ситуацию в целом, чтобы не уходить в детали)
В первую очередь, необходимо прояснить:
1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить
2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот
3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?
4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью
5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны
Дополнительно:
6️⃣ Доступна ли извне форма авторизации в административную панель —
7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это
8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?
Сбор данных
🔵 Вариант минимум: бодифайл с файловой системы (можно брать изменения файлов за определенный период, но я обычно пробегаюсь по всему) + журналы аудита битрикса + журналы доступы веб-сервера apache/nginx
🔵 Пожирнее: триаж
🔵 Самый жир: образ, но это прям зависит от
Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб?😏 ),
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).
Лайфхак #1. Беритеи изучайте методички пентестеров, собирайте (как минимум!) свои кейворды, чтобы потом упростить себе жизнь при поиске. Не мне вам рассказывать, что эти гайды используются далеко не только ими. При чем, я уж не говорю про всякие там точечные штуки типа SEF_APPLICATION_CUR_PAGE_URL: утрируя, но если в мануале было ололо, 98%, что где-то рядом это ололо тоже будет. В общем, почитайте, узнаете много чего интересного :)
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо
Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно
В первую очередь, необходимо прояснить:
1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить
2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот
3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?
4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью
5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны
Дополнительно:
6️⃣ Доступна ли извне форма авторизации в административную панель —
/bitrix/admin (при этом, учитываем, что может быть множество эндпоинтов для доступа)? В последующем, эта информация нам поможет при анализе журналов веб-сервера7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это
8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?
Сбор данных
Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб?
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).
Лайфхак #1. Берите
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо
Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно
Please open Telegram to view this post
VIEW IN TELEGRAM