Здесь мог бы быть пост о необходимости понимания ландшафта угроз и вот этого всего, но выскажусь кратко о наболевшем
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
мы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
qwerty123 или Moscow2023! ко всем доступным ресурсаммы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
README.hta
Mission completed! Certified forensic!!!!
Если кому интересно, написала тут в общих чертах по теме
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own
[1] Если вы хотя бы время от времени просматриваете журналы безопасности, вас этим не удивить: такого добра встроенный Защитник Windows генерит будь здоров (но мы все равно его очень любим, и это не сарказм!)
[2] По названию службы становится ясно, что она связана с южнокорейским антивирусным программным обеспечением. Хорошо. И вроде можно идти дальше, но.. подождите, а вы вообще часто видите использование этого программного продукта? И что, наверняка знаете, где лежат его бинари? Кажется, на этом моменте, на лице респондера появляется снисходительная улыбка, ведь тут еще и %PROGRAMDATA%, один из самых часто используемых каталогов злоумышленниками. Не так все просто, как казалось
[3] Вот тут, кстати, интересный случай. Ну скриншоттер и скриншоттер, местоположение вроде нормальное. И у яндекса действительно он есть (правда, если не ошибаюсь, встроенный в один из продуктов, но это неважно). А заметили ли вы заглавную букву D? Это очень наглядный случай, когда злоумышленники пытаются мимикрировать под широко известное имя, но не до конца шарят за нейминг. Не могу утверждать, что мы шарим, но, как по мне, очень бросается в глаза. Детали важны!
[4] Ничего необычного, Veeam действительно любит складывать некоторые исполняемые файлы в %SYSTEMROOT%. Если сомневаетесь, можете загуглить одноименную службу. Правда, тут вспоминается достаточно свежий кейс с Free Download Manager, когда пользователи на Reddit и StackOverflow чуть ли не два года обсуждали ошибки пробэкдоренного инсталлера. Очень забавно, однако все же будьте внимательнее. Гугл - это прекрасно (поистине считаю одним из суперважных скиллов), но не им единым :)
[5] На самом деле, мне прям нравится этот вариант! Хоть все и сразу догадались, что тут что-то неладное) А знаете, почему? Потому что изначально эта служба еще и была на сервере HPDM, предназначенного для управления устройствами. Не придерешься. Даже администратор очень едва ли такое заметит, но, как минимум, эта %APPDATA% выдает. Падазрительна
[6] Даже комментировать нечего, драйвер и драйвер, несмотря на казалось бы рандомщину в названии. Чем больше будете копаться в винде, тем больше таких "интересных" названий будете видеть. Есть несколько способов проверить подобное на базовом уровне: а) загуглить, б) проверить, есть ли такой драйвер у вас на чистой системе в) пробить по хэшу г) для некоторых системных файлов еще помогают сервисы типа echotrail
Ну что ж, итого, вредоносные службы под номерами 2,3,5. Более того, их даже объединяет используемая техника - DLL side-loading. Не будем пока вдаваться в ее детали и вопросы атрибуции(все и так все поняли) , но на этом моменте сразу ясно, что сами файлы, используемые службой - вполне легитимные, и, к тому же, скорее всего подписанные. Вот только используются не по назначению
Писать можно много, ясно только одно. Насмотренность на зло решает и со временем однозначно вырабатывается (:
[2] По названию службы становится ясно, что она связана с южнокорейским антивирусным программным обеспечением. Хорошо. И вроде можно идти дальше, но.. подождите, а вы вообще часто видите использование этого программного продукта? И что, наверняка знаете, где лежат его бинари? Кажется, на этом моменте, на лице респондера появляется снисходительная улыбка, ведь тут еще и %PROGRAMDATA%, один из самых часто используемых каталогов злоумышленниками. Не так все просто, как казалось
[3] Вот тут, кстати, интересный случай. Ну скриншоттер и скриншоттер, местоположение вроде нормальное. И у яндекса действительно он есть (правда, если не ошибаюсь, встроенный в один из продуктов, но это неважно). А заметили ли вы заглавную букву D? Это очень наглядный случай, когда злоумышленники пытаются мимикрировать под широко известное имя, но не до конца шарят за нейминг. Не могу утверждать, что мы шарим, но, как по мне, очень бросается в глаза. Детали важны!
[4] Ничего необычного, Veeam действительно любит складывать некоторые исполняемые файлы в %SYSTEMROOT%. Если сомневаетесь, можете загуглить одноименную службу. Правда, тут вспоминается достаточно свежий кейс с Free Download Manager, когда пользователи на Reddit и StackOverflow чуть ли не два года обсуждали ошибки пробэкдоренного инсталлера. Очень забавно, однако все же будьте внимательнее. Гугл - это прекрасно (поистине считаю одним из суперважных скиллов), но не им единым :)
[5] На самом деле, мне прям нравится этот вариант! Хоть все и сразу догадались, что тут что-то неладное) А знаете, почему? Потому что изначально эта служба еще и была на сервере HPDM, предназначенного для управления устройствами. Не придерешься. Даже администратор очень едва ли такое заметит, но, как минимум, эта %APPDATA% выдает. Падазрительна
[6] Даже комментировать нечего, драйвер и драйвер, несмотря на казалось бы рандомщину в названии. Чем больше будете копаться в винде, тем больше таких "интересных" названий будете видеть. Есть несколько способов проверить подобное на базовом уровне: а) загуглить, б) проверить, есть ли такой драйвер у вас на чистой системе в) пробить по хэшу г) для некоторых системных файлов еще помогают сервисы типа echotrail
Ну что ж, итого, вредоносные службы под номерами 2,3,5. Более того, их даже объединяет используемая техника - DLL side-loading. Не будем пока вдаваться в ее детали и вопросы атрибуции
Писать можно много, ясно только одно. Насмотренность на зло решает и со временем однозначно вырабатывается (:
README.hta
Вот такая романтика Если вам тоже интересно послушать, вот, мне пока прям заходит
Резюмируя
Ну, начинать с харденинга ядра, а ближе к концу разбирать структуру сообщений сислога - это сильно 😅
В общей сложности, для тех, кто только погружается в тему безопасности линуксов - прям хорошо. Снова убеждаюсь, что по большей части мне нравится подача материала на митапах джетов: просто и по делу. От себя могу добавить еще пару достойных докладов с их последнего кэмпа
Настройка аудита Windows: эффективное детектирование атак
// эх, если бы к этому прислушивались все; а пока что большую часть этих и других рекомендаций мы выдаем уже после произошедшего инцидента
TOP-10 криминалистических артефактов Windows при расследовании инцидентов
// мне кажется, это лучшее исполнение десятки полезных артефактов по винде, которое могло бы быть :) правда, меня вот теперь тоже* триггерит, когда amcache относят к execution артефактам
Чертоги оперативной памяти: как проанализировать то, что пока не забыто
// 11 из 10! даже для тех, кто не понаслышке знаком с анализом оперативки, будет интересно как минимум в разрезе практических кейсов
#windows #forensics
Ну, начинать с харденинга ядра, а ближе к концу разбирать структуру сообщений сислога - это сильно 😅
В общей сложности, для тех, кто только погружается в тему безопасности линуксов - прям хорошо. Снова убеждаюсь, что по большей части мне нравится подача материала на митапах джетов: просто и по делу. От себя могу добавить еще пару достойных докладов с их последнего кэмпа
Настройка аудита Windows: эффективное детектирование атак
// эх, если бы к этому прислушивались все; а пока что большую часть этих и других рекомендаций мы выдаем уже после произошедшего инцидента
TOP-10 криминалистических артефактов Windows при расследовании инцидентов
// мне кажется, это лучшее исполнение десятки полезных артефактов по винде, которое могло бы быть :) правда, меня вот теперь тоже* триггерит, когда amcache относят к execution артефактам
Чертоги оперативной памяти: как проанализировать то, что пока не забыто
// 11 из 10! даже для тех, кто не понаслышке знаком с анализом оперативки, будет интересно как минимум в разрезе практических кейсов
#windows #forensics
README.hta
Делали как-то презентацию клиентам, в которую я добавила вот такой слайд. А вы сможете понять, какие из установленных служб вредоносные, а какие - нет? :) P.S. Потом верные ответы с меня
Кстати! Как бы ни на что не намекая, но вдобавок еще закину репорт касперов, который они релизнули на прошлой неделе
#report
#report
Из описания:
Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажу:
- что и у любимой телеги есть свои нюансы,
- почему облачный пароль важен, но не всегда работает,
- наглядно продемонстрирую пример атаки,как все-таки крадут эти чертовы сессии?!
- разберем кейсы in the wild, а именно кто и как этим пользуется,
ну и, конечно же, что теперь с этим всем делать.
В общем, если выбирать тему, от неосвещенности которой хочется кричать, то это оно
Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажу:
- что и у любимой телеги есть свои нюансы,
- почему облачный пароль важен, но не всегда работает,
- наглядно продемонстрирую пример атаки,
- разберем кейсы in the wild, а именно кто и как этим пользуется,
ну и, конечно же, что теперь с этим всем делать.
В общем, если выбирать тему, от неосвещенности которой хочется кричать, то это оно
На этой неделе прошел SOC Forum, наконец-таки досмотрела записи докладов. По традиции хотелось бы отдельно выделить наиболее интересные и полезные с моей колокольни:
Подводные камни экспертных утилит при работе SOC с инструментами (Максим Суханов, МТС RED)
Тренды атак 2022-2023 (Денис Кувшинов, Positive Technologies)
Как отличать хорошие киберразведданые от плохих? (Олег Скулкин, BI. ZONE)
Щелчок Таноса для оператора связи (Игорь Залевский, Solar 4RAYS)
Форензика в SOC и опыт расследований в 2023 (Артем Семагин, Jet CSIRT)
Подводные камни экспертных утилит при работе SOC с инструментами (Максим Суханов, МТС RED)
Тренды атак 2022-2023 (Денис Кувшинов, Positive Technologies)
Как отличать хорошие киберразведданые от плохих? (Олег Скулкин, BI. ZONE)
Щелчок Таноса для оператора связи (Игорь Залевский, Solar 4RAYS)
Форензика в SOC и опыт расследований в 2023 (Артем Семагин, Jet CSIRT)
README.hta
Еще пару часов и я буду готова закидывать донаты создателю MemProcFS, инструмента для анализа оперативной памяти. Который раз убеждаюсь, что это просто GAME CHANGER #soft
GitHub
GitHub - LETHAL-FORENSICS/MemProcFS-Analyzer: MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR
MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR - LETHAL-FORENSICS/MemProcFS-Analyzer