README.hta
Если еще раз услышу, что restrictedАdmin при mstsc.exe - это про безопасность, буду ругаться! Вы бы еще сказали, что атакующих останавливает ExecutionPolicy от использования PowerShell :(
Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT
2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS
3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC
4. TgRat под ОС Linux и как оно выглядит / Dr.Web
5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42
6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason
Читаю тут очередной интел репорт, потом поднимаю из архивов один из наших отчетов по респонсу, и просто хочется кричать оставить это здесь
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
Пока я играю в игру под названием «Найди 5 отличий», скажу очередной раз: все-таки тиай по-настоящему любят и ценят только респондеры, те самые спецы, которые приезжают уже тушить пожар
И, кажется, вывод напрашивается сам собой)
На этих выходных поговорим немного про память. И сегодня начнем с малой крови
Все знают про самый популярный инструмент для исследования ОЗУ -
Поддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Все знают про самый популярный инструмент для исследования ОЗУ -
volatility. Исходный код написан на Python, а анализировать им можно разные операционные системы, от Windows XP до Linux и macOS. Сам по себе проект активно поддерживается, а в работе используются версии 2 и 3. И вот тут есть важный нюанс, про который говорят режеПоддерживается и обновляется только третья версия. Это прекрасно, скажете вы, но есть стабильная вторая версия, плагинов там куда больше, а вывод - приятнее. И будете абсолютно правы! Более того, со старыми версиями винды многие плагины работают определенно лучше именно на второй. Но если посмотреть доступные профили, с которыми она работает, то для десктопной версии это Windows 10 19041 (x64), то бишь апрель 2020..
И тут вы можете снова возразить, что по факту-то главное чтобы корректно определялись заголовки и отдельные структуры, и если что-то идет явно не так, это в основном легко заметить по выводу применяемых плагинов. И что, откладываем третью версию в сторону, выходит? Не совсем. Не будем говорить про особенности работы с таблицей символов, но, например, ее предшественник очень плохо работает с сетевыми соединениями на более старших версиях (см.скрин, разница колоссальная, так ведь? хотите ли вы недоглядеть чего-то по этой причине?). Поэтому! Выбираем не там, где удобно! Всегда отталкиваемся от версии операционной системы, с которой работаем, а лучше по возможности совмещаем и анализируем вывод обеих версий утилиты
Позднее поделюсь своим читшитом для нее: в свое время я не нашла универсального удобного варианта для себя, поэтому пользуюсь своим. А пока, нежно напоминаю про отличную книгу по теме (п.4)
Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
README.hta
Люблю город Алматы, а он, кажется, любит меня. Второй год подряд я удивляюсь, как я это делаю, честно Теперь точно можно хайкинг на пару деньков! GX-FA passed 💪🏼
Накатала небольшую стори про то, что и как прошло в этот раз
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных❤️
#own
https://telegra.ph/GCFA---GX-FA-Prodolzhenie-08-09
Доброго утра и хороших выходных
#own
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Bimbosecurity
Когда расследуешь инцидент четвертый день без сна и перерыва на айс-латте, а админы все еще не заблокировали С2, обнаруженные в первые два часа
Меня тут ребята из INSECA пригласили сделать ревью их курса по DFIR. На самом деле, начинка в нем более, чем насыщенная, но яж всегда найду, где негодование свое высказать, так что теперь еще и сижу по утрам и пишу новые модули ✨
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Так что знайте, там, где начинают душнить - все моих рук дело)))
Ладно, это я просто хвастаюсь, все-таки не каждый день тебя приглашенным экспертом величают. Но если вы когда-либо хотели погрузиться в направление и задать конкретные вопросы реально практикующим специалистам - вы знаете, что делать. Следующий поток будет уже с моим участием :)
Please open Telegram to view this post
VIEW IN TELEGRAM
inseca.tech
Практический курс по цифровой криминалистике и реагированию на инциденты
Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности
Не будем нагружать это чудесное утро лишними словами. Но есть тут кое-что у меня, так сказать, полистать на досуге
Кстати, да
https://offzone.moscow/program/vymogateli-dlya-samykh-malenkikh/
Приходите на трек, буду рада всех видеть :)
https://offzone.moscow/program/vymogateli-dlya-samykh-malenkikh/
Приходите на трек, буду рада всех видеть :)