https://telegra.ph/kerberos-dlya-samyh-malenkih-ch1-03-15
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.1
Все мы наслышаны и/или хорошо знакомы с легендарным циклом статей по сетям со схожим названием, и, мне показалось, подобное и здесь будет как нельзя кстати :) Если загуглить что-то вроде "керберос простыми словами", то можно понять, что с одной стороны, материала…
https://telegra.ph/kerberos-dlya-samyh-malenkih-ch2-03-20
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.2
Ранее мы рассмотрели основные понятия и сам процесс аутентификации через сетевой протокол Kerberos. Теперь хотелось бы отдельным пунктом разобрать атаки по краже и подделке билетов (T1558. Steal or Forge Kerberos Tickets), так как прежде всего именно в них…
В своем докладе упоминала про
Полезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
uac - скрипт для сбора данных с *nix-подобных системПолезный доклад по нему от самого разработчика в рамках DFIR Summit 2022 (SANS):
https://www.youtube.com/watch?v=w8jSTQQzm2s
#soft #video
YouTube
Fast Unix-like Incident Response Triage Using UAC Tool
SANS DFIR Summit 2022
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
Speaker: Thiago Canozza Lahr
Do you know how to locate, identify and collect relevant artifacts from Unix-like systems such as AIX, BSDs, ESXi, Linux, macOS, and Solaris? Reserve your seat and join me in this presentation where I will…
Forwarded from linkmeup
Безопасность и расследование инцидентов в линуксах для самых маленьких. То есть, это не о том как порты закрыть и права развесить, а где и что искать когда первый пункт не помог.
https://www.youtube.com/watch?v=q70SgSXsUEs
https://www.youtube.com/watch?v=q70SgSXsUEs
YouTube
Топ-10 артефактов Linux для расследования инцидентов
https://habr.com/ru/companies/angarasecurity/articles/753378/
И альма-матер не забыла, и полезных источников накидала
Кажется, для первого раза получилось весьма неплохо (:
#own
И альма-матер не забыла, и полезных источников накидала
Кажется, для первого раза получилось весьма неплохо (:
#own
Хабр
DFIR совсем не «эфир»: как стать специалистом по киберкриминалистике
Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили...
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас?
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:скорее всего, не совсем, но шансы есть )
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
3. Как можно скорее отключить/отмонтировать сетевые диски:
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,позвать респондеров и попробовать понять, как именно распространяется шифровальщик в сети? Или может как передвигался атакующий? Все внимание на lateral movement.
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
net share ADMIN$ /delete
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer /t REG_DWORD /d 0 3. Как можно скорее отключить/отмонтировать сетевые диски:
net use * /delete
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
eventvwr.msc)Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
bczyz’s research blog
Detecting Impacket’s and Metasploit’s PsExec
Table of contents
Из разряда «накипело», нашла у себя в заметках и решила опубликовать здесь
https://telegra.ph/What-is-DFIR-09-12
#own
https://telegra.ph/What-is-DFIR-09-12
#own
Telegraph
What is DFIR?
Так вышло, что за последний год я не раз поднимала тему различия между DF (digital forensics) и DFIR (digital forensics & incident response). Оказалось, некоторое заблуждение в этих понятиях достаточно распространено: я поняла это, когда наткнулась на видео…