Особенно люблю истории,
когда просишь сменить пароль от скомпрометированной учетной записи и
#meme
когда просишь сменить пароль от скомпрометированной учетной записи и
Winter2023! меняется на Winter2024!#meme
Все мы знаем, что лучший инструмент при анализе вредоносного ПО — утилита strings
Но есть ее улучшенная версия
https://github.com/mandiant/flare-floss
Из основного: помимо привычного функционала, дополнительно идентифицирует функции, которые могут декодировать данные, и с их помощью деобфусцирует строки, а также извлекает строки стека, построенные по частям. Подробнее
Надо брать!
#git #soft
Но есть ее улучшенная версия
https://github.com/mandiant/flare-floss
Из основного: помимо привычного функционала, дополнительно идентифицирует функции, которые могут декодировать данные, и с их помощью деобфусцирует строки, а также извлекает строки стека, построенные по частям. Подробнее
Надо брать!
#git #soft
GitHub
GitHub - mandiant/flare-floss: FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.
FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware. - mandiant/flare-floss
Изначально я создавала этот канал исключительно чтобы выкладывать какие-то презентации с выступлений да собирать в одном месте интересные для меня ссылки, а сам канал нигде не афишировала, поэтому и название делала лишь бы какое. Смысл был такой: security hint -> sechint -> на языке l33t можно написать как s3ch1n7
Но за последние два месяца появилось желание активнее делиться своими небольшими наработками и мыслями по теме, аудитория канала стала расти. А название так и осталось непонятным и нечитабельным 😅
Так появилось новое - README.hta
В этом тоже есть замысел: ни для кого не секрет, что шифровальщики - угроза номер один. Исходя из статистики респонсов, как нашей, так и других команд (причем не только ру), процентов 70-80 было связано именно с ними, и этот тренд не меняется уже который год. Оставляемые программами-вымогателями записки с требованием о выкупе (ransom note) чаще имеют либо txt-, либо hta-формат. Ну и раз такое дело, чтобы связь названия с рансомом была более явной, а не только напоминала мануал по инсталляции ПО, был выбран второй вариант
.hta - по факту как обычный html, для просмотра открывается встроенным системным файлом mshta.exe
Не теряйте!
И да, по спецзаказам, отныне реакции открыты :)
Но за последние два месяца появилось желание активнее делиться своими небольшими наработками и мыслями по теме, аудитория канала стала расти. А название так и осталось непонятным и нечитабельным 😅
Так появилось новое - README.hta
В этом тоже есть замысел: ни для кого не секрет, что шифровальщики - угроза номер один. Исходя из статистики респонсов, как нашей, так и других команд (причем не только ру), процентов 70-80 было связано именно с ними, и этот тренд не меняется уже который год. Оставляемые программами-вымогателями записки с требованием о выкупе (ransom note) чаще имеют либо txt-, либо hta-формат. Ну и раз такое дело, чтобы связь названия с рансомом была более явной, а не только напоминала мануал по инсталляции ПО, был выбран второй вариант
Не теряйте!
И да, по спецзаказам, отныне реакции открыты :)
Гугл-фу или почему важно уметь гуглить
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
Кстати, с августа этого года гугл индексирует csv-файлы. Так, на подумать 😊
#own #tips
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
#own #tips
Новая неделя, новые ресерчи:
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
1. Кампания Lazarus с Telegram-based (и не только) малварью и Log4Shell от Cisco Talos
2. SQLi в дикой природе описали Group-IB. Старо как мир, надежно как швейцарские часы. Атаки не нацелены на Россию, но можно увидеть наглядный пример как легко заэкплойтить тот же Redis
3. Закрепление в AWS через IAM (identity and access management) пользователей, CrowdStrike
4. Только запостила, и вот. FLOSS от Mandiant теперь достает строки из скомплированных файлов на Go и Rust. Это ОЧЕНЬ круто в связи с их необычайным ростом популярности при написании и апгрейде вредоносов
5. APT29 и RCE в Team City, Fortinet. По таким отчетам в принципе можно получить понимание, какие лог-файлы могут быть в прикладных системах, с которыми ты еще не работал
6. Постоянно слежу за публикациями Таза Вэйка, которые он постит в рамках грядущих потоков FOR577 (Linux Incident Response) 💔
understanding stat и malicious timestamp manipulation - однозначно must-read!
#weekly
Утро, время поразглагольствовать. Снова рубрика советов, которые когда-то давали мне и которыми мне тоже теперь хочется поделиться:
Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать, это имеет смысл не только для вас, но и меня мотивирует изучать как можно больше (:
Помимо того, что именно так вырабатывается насмотренность, вы понимаете, что сейчас реально происходит в мире. Это как читать привычные новости, только по конкретной тематике. Серьезно, в свое время я буквально приучала себя это делать, и теперь понимаю, насколько это полезно, и, что не маловажно, интересно
Если сомневаешься, читать книгу или нет, слушать, смотреть что-то или нет, подумать о том, а может ли там быть хотя бы что-то новое или полезное для тебя, даже если в общем с темой ты уже вроде как хорошо знаком
В конце концов, можно поставить на фон или пробежаться по диагонали, чтобы понять, стоит ли это твоего времени
Don't allow yourself to be the smartest in the room
Еще давно я сделала себе этот скрин и он отдельно лежит у меня в сохраненках. Очень ценю и горжусь каждым, с кем я работала и работаю, до сих пор стараюсь поддерживать отношения со всеми. Искренне считаю, что лучше быть слабым среди сильных, и тогда окружение как-то само тебя «подтянет на свой уровень», чем наоборот
#own
Читать как можно больше репортов. И именно поэтому я буду продолжать вас заваливать ими в конце каждой недели: честно сказать, это имеет смысл не только для вас, но и меня мотивирует изучать как можно больше (:
Помимо того, что именно так вырабатывается насмотренность, вы понимаете, что сейчас реально происходит в мире. Это как читать привычные новости, только по конкретной тематике. Серьезно, в свое время я буквально приучала себя это делать, и теперь понимаю, насколько это полезно, и, что не маловажно, интересно
Если сомневаешься, читать книгу или нет, слушать, смотреть что-то или нет, подумать о том, а может ли там быть хотя бы что-то новое или полезное для тебя, даже если в общем с темой ты уже вроде как хорошо знаком
В конце концов, можно поставить на фон или пробежаться по диагонали, чтобы понять, стоит ли это твоего времени
Don't allow yourself to be the smartest in the room
Еще давно я сделала себе этот скрин и он отдельно лежит у меня в сохраненках. Очень ценю и горжусь каждым, с кем я работала и работаю, до сих пор стараюсь поддерживать отношения со всеми. Искренне считаю, что лучше быть слабым среди сильных, и тогда окружение как-то само тебя «подтянет на свой уровень», чем наоборот
#own
Что делать, если ANONYMOUS LOGON в событиях?
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
А что с английским?
Раньше я относилась к тем людям, которые занимаются иностранным языком время от времени и по долгу службы: школа, универ, языковые курсы даже были, но все это из разряда "потому что надо"
В универе на старших курсах один из моих любимых преподавателей как-то прямо сказал: без английского в ИТ делать нечего. И это правда! Стоит только задуматься спустя сколько времени выходят переводы книг, статей,если они еще выходят в принципе . Ок, в целом, знания языка на школьно-универском уровне лично мне всегда хватало, да и литературу я читать могла и этого было в принципе достаточно..
Пока я не пошла работать в одну небезызвестную международную компанию (:
Сначала я просто слушала ребят с этим вот свободным английским и думала, черт, классно, надо бы тоже. А потом меня начали подключать к кейсам на межнаре... И до чего же это оказалось тяжело после нескольких лет "чтения технической литературы": мысли летят, а связать и два слова сложно - не самая комфортная ситуация. В общем, задело меня тогда. На этой мотивации я уже пару лет держусь 😁
Отпуск не отпуск, а английский - по расписанию
К чему я, собственно. Английский язык необходим и это факт. Да, бывает такое, что раньше изучали другой язык, ну что поделать. В 90% случаев его уровень не выше начального/среднего и тут тем более внедрить изучение нового это просто вопрос приоритетов: постарайтесь найти конкретную мотивацию и понять необходимый уровень именно для вас, свою конечную цель. И, главное, подобрать такие способы изучения и погружения, чтобы вам было в кайф. Скучно на уроке? Нет заинтересованности преподавателя? Или может вообще не ваш формат? Ну и фиг бы с ними, меняйте: мы уже не в универе, где альтернативы часто просто нет. Я вот смотрю видосы, подкасты слушаю, а с англичанкой мы с винишком проболтали весь вечер, когда я приезжала в ее родной город
Все в ваших руках ;) и да, вот как раз один из примеров того, как здорово коллеги могут дать пинка, порой сами того не замечая
#own
Раньше я относилась к тем людям, которые занимаются иностранным языком время от времени и по долгу службы: школа, универ, языковые курсы даже были, но все это из разряда "потому что надо"
В универе на старших курсах один из моих любимых преподавателей как-то прямо сказал: без английского в ИТ делать нечего. И это правда! Стоит только задуматься спустя сколько времени выходят переводы книг, статей,
Пока я не пошла работать в одну небезызвестную международную компанию (:
Сначала я просто слушала ребят с этим вот свободным английским и думала, черт, классно, надо бы тоже. А потом меня начали подключать к кейсам на межнаре... И до чего же это оказалось тяжело после нескольких лет "чтения технической литературы": мысли летят, а связать и два слова сложно - не самая комфортная ситуация. В общем, задело меня тогда. На этой мотивации я уже пару лет держусь 😁
Отпуск не отпуск, а английский - по расписанию
К чему я, собственно. Английский язык необходим и это факт. Да, бывает такое, что раньше изучали другой язык, ну что поделать. В 90% случаев его уровень не выше начального/среднего и тут тем более внедрить изучение нового это просто вопрос приоритетов: постарайтесь найти конкретную мотивацию и понять необходимый уровень именно для вас, свою конечную цель. И, главное, подобрать такие способы изучения и погружения, чтобы вам было в кайф. Скучно на уроке? Нет заинтересованности преподавателя? Или может вообще не ваш формат? Ну и фиг бы с ними, меняйте: мы уже не в универе, где альтернативы часто просто нет. Я вот смотрю видосы, подкасты слушаю, а с англичанкой мы с винишком проболтали весь вечер, когда я приезжала в ее родной город
Все в ваших руках ;) и да, вот как раз один из примеров того, как здорово коллеги могут дать пинка, порой сами того не замечая
#own