Из описания:
Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажу:
- что и у любимой телеги есть свои нюансы,
- почему облачный пароль важен, но не всегда работает,
- наглядно продемонстрирую пример атаки,как все-таки крадут эти чертовы сессии?!
- разберем кейсы in the wild, а именно кто и как этим пользуется,
ну и, конечно же, что теперь с этим всем делать.
В общем, если выбирать тему, от неосвещенности которой хочется кричать, то это оно
Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажу:
- что и у любимой телеги есть свои нюансы,
- почему облачный пароль важен, но не всегда работает,
- наглядно продемонстрирую пример атаки,
- разберем кейсы in the wild, а именно кто и как этим пользуется,
ну и, конечно же, что теперь с этим всем делать.
В общем, если выбирать тему, от неосвещенности которой хочется кричать, то это оно
На этой неделе прошел SOC Forum, наконец-таки досмотрела записи докладов. По традиции хотелось бы отдельно выделить наиболее интересные и полезные с моей колокольни:
Подводные камни экспертных утилит при работе SOC с инструментами (Максим Суханов, МТС RED)
Тренды атак 2022-2023 (Денис Кувшинов, Positive Technologies)
Как отличать хорошие киберразведданые от плохих? (Олег Скулкин, BI. ZONE)
Щелчок Таноса для оператора связи (Игорь Залевский, Solar 4RAYS)
Форензика в SOC и опыт расследований в 2023 (Артем Семагин, Jet CSIRT)
Подводные камни экспертных утилит при работе SOC с инструментами (Максим Суханов, МТС RED)
Тренды атак 2022-2023 (Денис Кувшинов, Positive Technologies)
Как отличать хорошие киберразведданые от плохих? (Олег Скулкин, BI. ZONE)
Щелчок Таноса для оператора связи (Игорь Залевский, Solar 4RAYS)
Форензика в SOC и опыт расследований в 2023 (Артем Семагин, Jet CSIRT)
README.hta
Еще пару часов и я буду готова закидывать донаты создателю MemProcFS, инструмента для анализа оперативной памяти. Который раз убеждаюсь, что это просто GAME CHANGER #soft
GitHub
GitHub - LETHAL-FORENSICS/MemProcFS-Analyzer: MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR
MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR - LETHAL-FORENSICS/MemProcFS-Analyzer
Кстати, не могу не поделиться
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Когда говоришь, что работаешь в области компьютерной КРИМИНАЛИСТИКИ
Ну ладно, ладно, немного и такого есть, конечно 🌝
#meme
#meme
Indicator of Compromise != Indicator of Attack
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
Еще раз!
Индикатор атаки: выполнение команды
Индикаторами компрометации впоследствии могут быть имя запланированной задачи
Дополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
whoami, ping ya.ru и через пару секунд проверку настроенных трастов через nltest /trusted_domains. Начинаете раскручивать цепочку и реально понимаете, что перед вами джамп сервер, удаленно подключившись к которому, злоумышленники начали проводить разведку. То есть, благодаря этим событиям вы можете обнаружить, что ваш хост/сеть скомпрометированы, НО является ли ввод команды whoami индикатором компрометации? Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
whoami даже в ретроспективе, такой однозначности у вас не будетЕще раз!
Индикатор атаки: выполнение команды
schtasks /create /tn K0adic /tr "C:\Windows\system32\mshta.exe C:\ProgramData\SZWXNUHHDP.hta" /sc onlogon /ru System /fИндикаторами компрометации впоследствии могут быть имя запланированной задачи
K0adic, вредоносный файл C:\ProgramData\SZWXNUHHDP.htaДополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
welcomedtelegram.pdf
2.7 MB
На самом деле, ничего технически сложного здесь нет. Наоборот, хотелось еще раз подчеркнуть насколько это легко и насколько часто все изложенное фигурирует в публичном пространстве, но как будто бы по-прежнему недооценивается
#present
#present
README.hta
Photo
Вчера, на самом деле, был интересный день. Как минимум потому, что затронули две супер холиварные темы:
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own