Делюсь еще одной рекомендацией: не знаю, как это работает, но у ребят из гиба однозначно талант к написанию книг (и, видимо, демонстрации целеустремленности, выдержки и упорства. я тут постик в канал-то написать неделями собираюсь😁)
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Очень много кейсстади (кое-где даже после можно попробовать сделать выводы самим), ссылок по тексту с примерами из репортов (пусть и преимущественно гибовских, такое мы читаем), а также распространенные ошибки и стоп-факторы из жизни, с которыми можно столкнуться
Так что походу скоро придется расширять списочек. Ребята, спасибо!
Telegram
README.hta
Список рекомендаций к изучению, составленный исключительно из моего опыта, в том числе когда я сама с нуля погружалась в форензику. Приведу оригинал и перевод книги, если он есть, но имейте ввиду, что порой читать в оригинале лучше, как минимум чтобы не встречать…
December 4, 2024
December 4, 2024
Давно не было мемов из сохраненок, надо исправляться (:
kali единым. '^[A-Za-z0-9]{16}$' - дефолтное имя хостнейма метасплойта: 4624/4625, logon type 3 + регулярочка, и уже можно трет хантитьDecember 9, 2024
Пока я тут умиляюсь комментарию (который, на удивление, оставила даже не я), для новеньких еще раз оставлю ссылку на склад всяких книжек. Те самые из эфира тоже там есть :)
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??
Сегодня вообще день TI-вебинаров: сейчас слушаем бизонов, дальше идем к PT ESC. Хорошо, что мониторов много, а то когда работать-то??
December 12, 2024
Пока я дорезаю салаты, на моей малой родине уже почти новый год, так что время не ждет. Уходящий год был насыщенный, абсолютно во всех отношениях. В работе мне всегда кажется, что можно было бы конечно и еще чуть поднапрячься (не говоря уже про то, что работы много, времени для постов - чертовски мало), но оглядываясь назад...
— 6 публичных выступлений на самых крупных площадках инфосека
— Да так, что потом еще и позвали на конференцию в Индонезию как ресерчера, простигосподи
— Еще больше форензик с успешно сданным GX-FA
— Начала преподавать в инсеке
— Ну и...стала руководителем. Иногда конечно кажется, что просто форензить все же проще))0 порой я такой сухарь, что еще расти и расти. Но они горой за меня, а я горой за них. На фото еще неполный состав, поэтому пользуясь случаем, заявляю: команда, вы - бест оф зе бест!
Желаю в наступающем году быть просто собой, ценить и беречь тех, кто рядом, и уверенно идти к своей цели не смотря ни на что. Сделаем, а потом будем переживать
И да. 1600+ подписчиков в канале, а ровно год назад вас было 137... Спасибо, что вы со мной!
🫶🏼
— 6 публичных выступлений на самых крупных площадках инфосека
— Да так, что потом еще и позвали на конференцию в Индонезию как ресерчера
— Еще больше форензик с успешно сданным GX-FA
— Начала преподавать в инсеке
— Ну и...стала руководителем. Иногда конечно кажется, что просто форензить все же проще))0 порой я такой сухарь, что еще расти и расти. Но они горой за меня, а я горой за них. На фото еще неполный состав, поэтому пользуясь случаем, заявляю: команда, вы - бест оф зе бест!
Желаю в наступающем году быть просто собой, ценить и беречь тех, кто рядом, и уверенно идти к своей цели не смотря ни на что. Сделаем, а потом будем переживать
И да. 1600+ подписчиков в канале, а ровно год назад вас было 137... Спасибо, что вы со мной!
🫶🏼
December 31, 2024
Еще в том году я неоднократно натыкалась на публикации с вопросами с реальных собеседований в различных сферах ИБ, именно на русском языке и от наших ребят (1,2)
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
January 8
Ребятушки, аттеншн!
Я все откладывала и откладывала этот момент, но время пришло. Ищу еще реверсеров в команду
Пугать не буду, но готовьтесь к хард-режиму. Еще одно «но»: все окупится сторицей (:
https://hh.ru/vacancy/115428816
Рассматриваем кандидатов разного уровня, главное чтобы у нас был мэтч, а человек хотел расти. Если хотите получить побольше деталей - пишите мне @ant19ova или нашему прекрасному эйчару Вике @ASViktoriya
Спасибо за внимание, хорошего дня )
Я все откладывала и откладывала этот момент, но время пришло. Ищу еще реверсеров в команду
Пугать не буду, но готовьтесь к хард-режиму. Еще одно «но»: все окупится сторицей (:
https://hh.ru/vacancy/115428816
Рассматриваем кандидатов разного уровня, главное чтобы у нас был мэтч, а человек хотел расти. Если хотите получить побольше деталей - пишите мне @ant19ova или нашему прекрасному эйчару Вике @ASViktoriya
Спасибо за внимание, хорошего дня )
January 21
February 16
Ух, многовато буков на сегодня. Поэтому чуть отложим практическую часть сего материала, а я спрошу
У вас какие мысли вообще на этот счет?
У вас какие мысли вообще на этот счет?
February 16
Накатала я значит целый пост в сохраненках. Не то, чтобы с полноценным плейбуком, но для скелета - самое оно. Я сокращала как могла… но выглядит это все равно чудовищно. Пока я сегодня привожу все это к более менее читабельному виду, закину вам небольшой спойлер и спрошу
А что бы делали вы при таких вводных? (:
P.S. Только давайте в общих чертах и пока исключительно в рамках анализа данных
P.P.S. В качестве бонуса вы можете лицезреть закрепленные сообщения сильной и независимой женщины 😁
А что бы делали вы при таких вводных? (:
P.S. Только давайте в общих чертах и пока исключительно в рамках анализа данных
P.P.S. В качестве бонуса вы можете лицезреть закрепленные сообщения сильной и независимой женщины 😁
February 21
Дано: предположительная компрометация сервера на CMS 1C:Битрикс.
(На практике часто это предположение уже чем-то обоснованно, например, факт утечки данных, создание подозрительных/вредоносных файлов, нелегитимные входы пользователей и так далее. Постараемся рассмотреть ситуацию в целом, чтобы не уходить в детали)
В первую очередь, необходимо прояснить:
1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить
2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот
3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?
4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью
5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны
Дополнительно:
6️⃣ Доступна ли извне форма авторизации в административную панель —
7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это
8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?
Сбор данных
🔵 Вариант минимум: бодифайл с файловой системы (можно брать изменения файлов за определенный период, но я обычно пробегаюсь по всему) + журналы аудита битрикса + журналы доступы веб-сервера apache/nginx
🔵 Пожирнее: триаж
🔵 Самый жир: образ, но это прям зависит от
Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб?😏 ),
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).
Лайфхак #1. Беритеи изучайте методички пентестеров, собирайте (как минимум!) свои кейворды, чтобы потом упростить себе жизнь при поиске. Не мне вам рассказывать, что эти гайды используются далеко не только ими. При чем, я уж не говорю про всякие там точечные штуки типа SEF_APPLICATION_CUR_PAGE_URL: утрируя, но если в мануале было ололо, 98%, что где-то рядом это ололо тоже будет. В общем, почитайте, узнаете много чего интересного :)
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо
Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно
В первую очередь, необходимо прояснить:
1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить
2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот
3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?
4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью
5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны
Дополнительно:
6️⃣ Доступна ли извне форма авторизации в административную панель —
/bitrix/admin (при этом, учитываем, что может быть множество эндпоинтов для доступа)? В последующем, эта информация нам поможет при анализе журналов веб-сервера7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это
8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?
Сбор данных
Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб?
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).
Лайфхак #1. Берите
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо
Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно
Please open Telegram to view this post
VIEW IN TELEGRAM
February 23