README.hta
Еще пару часов и я буду готова закидывать донаты создателю MemProcFS, инструмента для анализа оперативной памяти. Который раз убеждаюсь, что это просто GAME CHANGER #soft
GitHub
GitHub - LETHAL-FORENSICS/MemProcFS-Analyzer: MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR
MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR - LETHAL-FORENSICS/MemProcFS-Analyzer
Кстати, не могу не поделиться
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Когда говоришь, что работаешь в области компьютерной КРИМИНАЛИСТИКИ
Ну ладно, ладно, немного и такого есть, конечно 🌝
#meme
#meme
Indicator of Compromise != Indicator of Attack
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
Еще раз!
Индикатор атаки: выполнение команды
Индикаторами компрометации впоследствии могут быть имя запланированной задачи
Дополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
whoami, ping ya.ru и через пару секунд проверку настроенных трастов через nltest /trusted_domains. Начинаете раскручивать цепочку и реально понимаете, что перед вами джамп сервер, удаленно подключившись к которому, злоумышленники начали проводить разведку. То есть, благодаря этим событиям вы можете обнаружить, что ваш хост/сеть скомпрометированы, НО является ли ввод команды whoami индикатором компрометации? Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
whoami даже в ретроспективе, такой однозначности у вас не будетЕще раз!
Индикатор атаки: выполнение команды
schtasks /create /tn K0adic /tr "C:\Windows\system32\mshta.exe C:\ProgramData\SZWXNUHHDP.hta" /sc onlogon /ru System /fИндикаторами компрометации впоследствии могут быть имя запланированной задачи
K0adic, вредоносный файл C:\ProgramData\SZWXNUHHDP.htaДополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
welcomedtelegram.pdf
2.7 MB
На самом деле, ничего технически сложного здесь нет. Наоборот, хотелось еще раз подчеркнуть насколько это легко и насколько часто все изложенное фигурирует в публичном пространстве, но как будто бы по-прежнему недооценивается
#present
#present
README.hta
Photo
Вчера, на самом деле, был интересный день. Как минимум потому, что затронули две супер холиварные темы:
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
README.hta
SANS_DFPS_FOR500_v4.17_02-23.pdf
Решила обновить у себя некоторые постеры SANS, и заодно поделиться с вами тем, чем регулярно пользуюсь сама
#windows #network #forensics
#windows #network #forensics
Poster_Coolest-Careers_v0423_WEB.pdf
608.8 KB
Экзамены GIAC и соответствующие курсы SANS в разрезе разных специальностей. Использовать вдогонку к этому роадмапу по различным сертификатам в ИБ
SANS_DFPS_FOR508_v4.10_02-23.pdf
1.9 MB
Find Evil (from 02/2023)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
SANS_DFPS_Windows-Apps-v1.4_02-.23.pdf
1.9 MB
Windows Third-Party Apps Forensics (from 02/2023)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
SANS_DFPS-FOR572_v1.13_09-23.pdf
6.1 MB
Network Forensics (from 09/2023)
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важнознать понимать модели OSI и TCP/IP и хотя бы на базовом уровне разбираться во всех этих "сетевых штуках"
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важно
Наиболее интересные ресерчи, прочитанные на этой неделе:
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly