https://telegra.ph/kerberos-dlya-samyh-malenkih-ch1-03-15
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.1
Все мы наслышаны и/или хорошо знакомы с легендарным циклом статей по сетям со схожим названием, и, мне показалось, подобное и здесь будет как нельзя кстати :) Если загуглить что-то вроде "керберос простыми словами", то можно понять, что с одной стороны, материала…
https://telegra.ph/kerberos-dlya-samyh-malenkih-ch2-03-20
#basics #windows #activedirectory #kerberos
#basics #windows #activedirectory #kerberos
Telegraph
Kerberos для самых маленьких, ч.2
Ранее мы рассмотрели основные понятия и сам процесс аутентификации через сетевой протокол Kerberos. Теперь хотелось бы отдельным пунктом разобрать атаки по краже и подделке билетов (T1558. Steal or Forge Kerberos Tickets), так как прежде всего именно в них…
Если вы не знаете, о чем говорит созданная служба
Часть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
BTOBTO или не можете с ходу определить тулзу по процессу с командной строкой типа cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__ssssssssss.sssssss 2>&1), тогда я иду к вамЧасть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
SANS_DFPS_FOR500_v4.17_02-23.pdf
1.1 MB
Windows Forensic Analysis Poster (latest version from 02/2023)
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;тут правда еще большой вопросик, насколько последнее актуально для России (:
— подправили описание Shimcache и Amcache (evidence of presence on the system!)
#windows #forensics #tips
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;
#windows #forensics #tips
README.hta
Вот такая романтика Если вам тоже интересно послушать, вот, мне пока прям заходит
Резюмируя
Ну, начинать с харденинга ядра, а ближе к концу разбирать структуру сообщений сислога - это сильно 😅
В общей сложности, для тех, кто только погружается в тему безопасности линуксов - прям хорошо. Снова убеждаюсь, что по большей части мне нравится подача материала на митапах джетов: просто и по делу. От себя могу добавить еще пару достойных докладов с их последнего кэмпа
Настройка аудита Windows: эффективное детектирование атак
// эх, если бы к этому прислушивались все; а пока что большую часть этих и других рекомендаций мы выдаем уже после произошедшего инцидента
TOP-10 криминалистических артефактов Windows при расследовании инцидентов
// мне кажется, это лучшее исполнение десятки полезных артефактов по винде, которое могло бы быть :) правда, меня вот теперь тоже* триггерит, когда amcache относят к execution артефактам
Чертоги оперативной памяти: как проанализировать то, что пока не забыто
// 11 из 10! даже для тех, кто не понаслышке знаком с анализом оперативки, будет интересно как минимум в разрезе практических кейсов
#windows #forensics
Ну, начинать с харденинга ядра, а ближе к концу разбирать структуру сообщений сислога - это сильно 😅
В общей сложности, для тех, кто только погружается в тему безопасности линуксов - прям хорошо. Снова убеждаюсь, что по большей части мне нравится подача материала на митапах джетов: просто и по делу. От себя могу добавить еще пару достойных докладов с их последнего кэмпа
Настройка аудита Windows: эффективное детектирование атак
// эх, если бы к этому прислушивались все; а пока что большую часть этих и других рекомендаций мы выдаем уже после произошедшего инцидента
TOP-10 криминалистических артефактов Windows при расследовании инцидентов
// мне кажется, это лучшее исполнение десятки полезных артефактов по винде, которое могло бы быть :) правда, меня вот теперь тоже* триггерит, когда amcache относят к execution артефактам
Чертоги оперативной памяти: как проанализировать то, что пока не забыто
// 11 из 10! даже для тех, кто не понаслышке знаком с анализом оперативки, будет интересно как минимум в разрезе практических кейсов
#windows #forensics
README.hta
SANS_DFPS_FOR500_v4.17_02-23.pdf
Решила обновить у себя некоторые постеры SANS, и заодно поделиться с вами тем, чем регулярно пользуюсь сама
#windows #network #forensics
#windows #network #forensics
Все форензики любят утилиты Эрика Циммермана,
просто потому что это база и они охватывают буквально все основные криминалистические источники артефактов. Более того, Эрик их саппортит и постоянно допиливает
Из забавного: на одном из потоков сансовских курсов студенты проходили общую структуру таблицы MFT, которая содержит информацию о содержимом тома с файловой системой NTFS (простыми словами, информацию обо всех файлах, хранящихся на диске). В момент, когда начали рассматривать соответствующую консольную утилиту MFTECmd и порядок работы с ней, также затронули понятие резидентных и нерезидентных файлов.Резидентные файлы - это те, размер которых меньше 600-900 байт, поэтому хранятся они прямо в файле $ MFT. Кто-то из учеников курса сказал, что классно было бы, если бы MFTECmd умел работать с такими файлами сразу. Эрик услышал этот комментарий и буквально в течение часа зарелизил апдейт с такой фичей (: Поэтому теперь небольшие файлы можно достать при помощи параметра
В результате все резидентные файлы будут лежать у вас в одноименной папке рядом с распаршенным $ MFT.
Что может быть в таких ничтожно малых файлах, спросите вы?
По факту, без необходимости снятия образа и дозапроса данных, у вас появляется возможность сразу же получить все легковесные текстовые файлы, батники, ps1-файлы, что невероятно полезно и порой более чем достаточно при выяснении каких-то деталей в процессе расследования инцидента
#forensics #windows
просто потому что это база и они охватывают буквально все основные криминалистические источники артефактов. Более того, Эрик их саппортит и постоянно допиливает
Из забавного: на одном из потоков сансовских курсов студенты проходили общую структуру таблицы MFT, которая содержит информацию о содержимом тома с файловой системой NTFS (простыми словами, информацию обо всех файлах, хранящихся на диске). В момент, когда начали рассматривать соответствующую консольную утилиту MFTECmd и порядок работы с ней, также затронули понятие резидентных и нерезидентных файлов.
--dr. Пример команды:MFTECmd.exe -f C:\Cases\Case1\mailserver-triage\mft\$MFT --csv . --dr
В результате все резидентные файлы будут лежать у вас в одноименной папке рядом с распаршенным $ MFT.
Что может быть в таких ничтожно малых файлах, спросите вы?
По факту, без необходимости снятия образа и дозапроса данных, у вас появляется возможность сразу же получить все легковесные текстовые файлы, батники, ps1-файлы, что невероятно полезно и порой более чем достаточно при выяснении каких-то деталей в процессе расследования инцидента
#forensics #windows
Еще один мой фаворит - EvtxECmd
При помощи него вы не только можете конвертнуть журналы из нативного evtx-формата в более удобный для вас (CSV, XML или JSON), но и работать с ними напрямую, например, сразу посмотреть статистику по журналу (и увидеть большое количество 4625, но чаще всего это и так видно невооруженным глазом) или отфильтровать по необходимому промежутку времени:
Или сразу же выбрать из журналов только полезные ивенты по их eventID. Например, на одном из скомпрометированных хостов вы нашли факты использования актором PowerShell-сценариев. В качестве одного из вариантов, вы можете собрать события 400,600 по всему домену, что может помочь расширить скоуп скомпрометированных хостов, временные рамки инцидента, а также список используемых процедур:
Кстати, большинство инструментов Эрика также поддерживают работу с теневыми копиями: для этого при запуске на живой системе нужно добавить параметр
#forensics #windows
При помощи него вы не только можете конвертнуть журналы из нативного evtx-формата в более удобный для вас (CSV, XML или JSON), но и работать с ними напрямую, например, сразу посмотреть статистику по журналу (и увидеть большое количество 4625, но чаще всего это и так видно невооруженным глазом) или отфильтровать по необходимому промежутку времени:
EvtxECmd.exe -d C:\Cases\Case2\mailserver-triage\eventlogs\Logs --sd "2023-08-16 12:00:00" --ed "2023-09-16 12:00:00" --csv C:\Cases\Case2\mailserver-triage\eventlogs --csvf filtered-events.csv
Или сразу же выбрать из журналов только полезные ивенты по их eventID. Например, на одном из скомпрометированных хостов вы нашли факты использования актором PowerShell-сценариев. В качестве одного из вариантов, вы можете собрать события 400,600 по всему домену, что может помочь расширить скоуп скомпрометированных хостов, временные рамки инцидента, а также список используемых процедур:
EvtxECmd.exe -d C:\Windows\System32\winevt\Logs --csv <путь к сетевой папке> --csvf %computername%_evtx.csv --inc 400,600
Кстати, большинство инструментов Эрика также поддерживают работу с теневыми копиями: для этого при запуске на живой системе нужно добавить параметр
-vss, что иногда может позволить достать более старые события. Теневые копии вообще предмет интересный, позже поговорим и об этом тоже :)#forensics #windows
Что делать, если ANONYMOUS LOGON в событиях?
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
#basics
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
SANS_Ransomware_and_Cyber_Extortion.pdf
2.7 MB