welcomedtelegram.pdf
2.7 MB
На самом деле, ничего технически сложного здесь нет. Наоборот, хотелось еще раз подчеркнуть насколько это легко и насколько часто все изложенное фигурирует в публичном пространстве, но как будто бы по-прежнему недооценивается
#present
#present
README.hta
Photo
Вчера, на самом деле, был интересный день. Как минимум потому, что затронули две супер холиварные темы:
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
README.hta
SANS_DFPS_FOR500_v4.17_02-23.pdf
Решила обновить у себя некоторые постеры SANS, и заодно поделиться с вами тем, чем регулярно пользуюсь сама
#windows #network #forensics
#windows #network #forensics
Poster_Coolest-Careers_v0423_WEB.pdf
608.8 KB
Экзамены GIAC и соответствующие курсы SANS в разрезе разных специальностей. Использовать вдогонку к этому роадмапу по различным сертификатам в ИБ
SANS_DFPS_FOR508_v4.10_02-23.pdf
1.9 MB
Find Evil (from 02/2023)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
SANS_DFPS_Windows-Apps-v1.4_02-.23.pdf
1.9 MB
Windows Third-Party Apps Forensics (from 02/2023)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
SANS_DFPS-FOR572_v1.13_09-23.pdf
6.1 MB
Network Forensics (from 09/2023)
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важнознать понимать модели OSI и TCP/IP и хотя бы на базовом уровне разбираться во всех этих "сетевых штуках"
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важно
Наиболее интересные ресерчи, прочитанные на этой неделе:
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly