welcomedtelegram.pdf
2.7 MB
На самом деле, ничего технически сложного здесь нет. Наоборот, хотелось еще раз подчеркнуть насколько это легко и насколько часто все изложенное фигурирует в публичном пространстве, но как будто бы по-прежнему недооценивается
#present
#present
README.hta
Photo
Вчера, на самом деле, был интересный день. Как минимум потому, что затронули две супер холиварные темы:
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
высшее образование в ИБ и девушка в ИБ (:
Об этом можно говорить бесконечно. Я вообще попадаю под обе категории, так как я всего лишь бакалавр 10.03.01 (о ужас!), еще и платья ношу. Правда, это бывает редко, а если вам "повезло" видеть меня во время респонса онсайд, я вообще молчу. Но раз такое дело, пусть хоть фото канала приличным будет. И, главное, о насущем)
В общем, девушкой в инфобезе, да и в целом в ИТ, быть прикольно. Вот нас вроде уже так много, но до сих пор встречаю это нескрываемое недоумение в глазах
У меня еще достаточно специфичное направление, поэтому приезжая к клиенту, я могу словить долю явного скептицизма по отношению к себе прям на месте. Инцидент, ты приезжаешь рано утром, а администратор ИТ на тебя смотрит и чуть ли не прямо задает вопрос в стиле: "А можно кого-то посерьезнее?"
Забавно, что потом буквально через пару часов этот же администратор ходит к тебе с завидной регулярностью с вопросами: "А вот это нормально? А меня еще не взломали?"
Пару лет назад ходила на конфу к майкам в Москве и там давала лекцию Паула Янушкевич (эх, было время). Милая дама тоже, она мне прям импонирует. Так вот, тогда же она рассказала историю, как "хорошо быть блондинкой": во время одного пентеста она получила физический доступ в организацию, сначала пройдя СКУД "паравозиком", а потом стоило только зайти в лифт, сделать наивное выражение лица, прикинуться, что заблудилась, и ее по-джентельменски спокойно провели, куда нужно. Как говорится, главное, вовремя прикинуться глупой
Выводы делайте сами ;)
#own
README.hta
SANS_DFPS_FOR500_v4.17_02-23.pdf
Решила обновить у себя некоторые постеры SANS, и заодно поделиться с вами тем, чем регулярно пользуюсь сама
#windows #network #forensics
#windows #network #forensics
Poster_Coolest-Careers_v0423_WEB.pdf
608.8 KB
Экзамены GIAC и соответствующие курсы SANS в разрезе разных специальностей. Использовать вдогонку к этому роадмапу по различным сертификатам в ИБ
SANS_DFPS_FOR508_v4.10_02-23.pdf
1.9 MB
Find Evil (from 02/2023)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
Это был прям мой мастхэв при подготовке к GCFA. В рабочей рутине он тоже невероятно полезен, особое внимание рекомендую обратить на вторую часть, посвященную Lateral Movement (какие следы можно найти как на машине-источнике, так и на конечном узле при RDP, подключениях к сетевым шарам, удаленном создании тасков и служб и так далее)
SANS_DFPS_Windows-Apps-v1.4_02-.23.pdf
1.9 MB
Windows Third-Party Apps Forensics (from 02/2023)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
Здесь нужно быть аккуратнее, так как такие приложения склонны менять местоположение своих данных, но для старта это как раз то, что нужно. Отдельный раздел с антивирусным ПО, в частности Windows Defender(!), и полезные ссылки после каждого блока, если не знаете, с чего начать
+ от себя добавлю отличную статью по различным артефактам remote access tool (TeamViewer, AnyDesk, Atera, Splashtop)
SANS_DFPS-FOR572_v1.13_09-23.pdf
6.1 MB
Network Forensics (from 09/2023)
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важнознать понимать модели OSI и TCP/IP и хотя бы на базовом уровне разбираться во всех этих "сетевых штуках"
В краткой форме описаны типы данных, необходимые инструменты для анализа и даже некоторые сетевые аномалии. Не буду сильно комментировать, но однажды я еще забахаю отдельный пост, почему безопаснику, и уж тем более респондеру, важно
Наиболее интересные ресерчи, прочитанные на этой неделе:
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
1. Очень актуальная тема с трояном Decoy Dog. Уже не первое опубликованное исследование за последнее время, посвященное вредоносу, и не зря: мы тоже встретили эту красоту в одном из кейсов, но успели перехватить на начальных этапах. Вопрос с большинством TTPs так и остается открытым
2. Разбор атак (Ex)Cobalt на российские компании, тоже от Positive Technologies
3. Comet, они же Shadow, а возможно еще и Twelve, которые задали жару в эту году многим. В этой публикации F.A.C.C.T. есть сетевые индикаторы, не поленитесь проверить!
4. CheckPoint про программы-вымогатели на Linux, сравнение подходов с Windows-ориентированными сэмплами, и при чем здесь ESXi
4. Еще один нетривиальный пример эксфильтрации через LotL в дикой природе от Huntress
5. Получение C2 из импланта Sliver, Solar 4RAYS
6. Как может выглядеть охота на инсайдеров по версии Mandiant
7. Ну и немного прогнозов на 2024 от Лаборатории Касперского
#weekly
Кто меня хорошо знает, знает и то, что к ЛК я питаю особую любовь. Под вечер нахлынула ностальгия и решила поделиться, почему так, или одним из примеров, как можно развивать лояльность к компании задолго до :)
Чтобы немного ввести в контекст: на момент окончания ВУЗа я работала штатным специалистом по ИБ при госструктуре. Даже когда мы еще учились, нам преподаватели прямым текстом говорили, что если хотите расти в ИБ - вам у нас (в моем родном городе) делать нечего, поэтому я всегда знала, что рано или поздно перееду. Я защитилась, диплом у меня был на тему построения mesh-сетей на микроконтроллерах ESP8266.
Где-то спустя полгода мой научрук скидывает мне какой-то анонс от касперов с призовым фондом и финалом где-то там, и говорит, а может закинешь им работу, кто знает. Ну, я, собственно, закинула какое-то саммари и благополучно забыла
А спустя время мне приходит письмо, что мы прошли (:
Теперь представьте меня: я совсем зеленая, мне 21 год, и меня с моего небольшого городка в Сибири приглашают на финал в Будапешт! Сказать, что у меня был шок - не сказать ничего. К тому же, организаторы оплачивали все: перелет в два самолета до места назначения, три дня проживания и так далее. За мной было только получение визы, тогда я заплатила за это может тысяч 10, и то, скорее, больше за срочность. К слову, моя зарплата тогда в принципе была тысяч 15-20. И тут я приезжаю в сказку: тогда мероприятия такого уровня мне казались чем-то не от мира сего, общаюсь со всеми, в том числе с ребятами из Москвы, расспрашиваю что да как
В общем, в итоге я конечно же ничего не выиграла. Забавно вспоминать, но мой английский был настолько неуверенный тогда, что свою речь я начала со слов "Sorry, my English is not so good as yours, but I’ll try" 😁 Но дело было не в этом и все вполне достойно прошло, поэтому для меня это была уже ох какая победа. Это был международный студенческий конкурс Secure’IT Cup, а 3 место, кстати, заняли ребята из МИФИ
Короче! Вернулась я под впечатлением и была так воодушевлена, что чуть меньше через 2 месяца переехала в Москву. Кажется, моя жизнь сложилась бы по-другому, если бы не это событие. Как после этого я могу их не любить?)
#own
Чтобы немного ввести в контекст: на момент окончания ВУЗа я работала штатным специалистом по ИБ при госструктуре. Даже когда мы еще учились, нам преподаватели прямым текстом говорили, что если хотите расти в ИБ - вам у нас (в моем родном городе) делать нечего, поэтому я всегда знала, что рано или поздно перееду. Я защитилась, диплом у меня был на тему построения mesh-сетей на микроконтроллерах ESP8266.
Где-то спустя полгода мой научрук скидывает мне какой-то анонс от касперов с призовым фондом и финалом где-то там, и говорит, а может закинешь им работу, кто знает. Ну, я, собственно, закинула какое-то саммари и благополучно забыла
А спустя время мне приходит письмо, что мы прошли (:
Теперь представьте меня: я совсем зеленая, мне 21 год, и меня с моего небольшого городка в Сибири приглашают на финал в Будапешт! Сказать, что у меня был шок - не сказать ничего. К тому же, организаторы оплачивали все: перелет в два самолета до места назначения, три дня проживания и так далее. За мной было только получение визы, тогда я заплатила за это может тысяч 10, и то, скорее, больше за срочность. К слову, моя зарплата тогда в принципе была тысяч 15-20. И тут я приезжаю в сказку: тогда мероприятия такого уровня мне казались чем-то не от мира сего, общаюсь со всеми, в том числе с ребятами из Москвы, расспрашиваю что да как
В общем, в итоге я конечно же ничего не выиграла. Забавно вспоминать, но мой английский был настолько неуверенный тогда, что свою речь я начала со слов "Sorry, my English is not so good as yours, but I’ll try" 😁 Но дело было не в этом и все вполне достойно прошло, поэтому для меня это была уже ох какая победа. Это был международный студенческий конкурс Secure’IT Cup, а 3 место, кстати, заняли ребята из МИФИ
Короче! Вернулась я под впечатлением и была так воодушевлена, что чуть меньше через 2 месяца переехала в Москву. Кажется, моя жизнь сложилась бы по-другому, если бы не это событие. Как после этого я могу их не любить?)
#own
Список рекомендаций к изучению, составленный исключительно из моего опыта, в том числе когда я сама с нуля погружалась в форензику. Приведу оригинал и перевод книги, если он есть, но имейте ввиду, что порой читать в оригинале лучше, как минимум чтобы не встречать диковинные переводы в стиле "атака типа водопой"
Базовый уровень для вхождения в специальность (= must read):
1. Applied Incident Response, Steve Anson / Реагирование на компьютерные инциденты. Прикладной курс, Cтив Энсон
2. Incident Response Techniques for Ransomware Attacks, Oleg Skulkin / Шифровальщики, Олег Скулкин
3. Cybersecurity Ops with bash, Paul Troncone, Carl Albing / Bash и кибербезопасность, Олбинг Карл, Тронкон Пол
Средний уровень:
4. Practical Memory Forensics, Svetlana Ostrovskaya / Криминалистика компьютерной памяти на практике, Светлана Островская
5. Intelligence-Driven Incident Response, Scott J. Roberts, Rebekah Brown
6. Active Directory глазами хакера, Ralf Hacker
Уровень максимум:
Вообще большинство книг уровнем повыше можно использовать больше как справочник или по случаю. Не стоит мучаться и читать от корки до корки просто потому что надо (но можете и почитать, если интересно)
7. File System Forensic Analysis, Brian Carrier
8. Practical Linux Forensics: A Guide for Digital Investigators, Bruce Nikkel
9. Восстановление данных. Практическое руководство, Крис Касперски, В.Е. Холмогоров
Extremely high level:
10. https://www.google.com/
Все указанные файлы приложены в комментариях
#books
Базовый уровень для вхождения в специальность (= must read):
1. Applied Incident Response, Steve Anson / Реагирование на компьютерные инциденты. Прикладной курс, Cтив Энсон
2. Incident Response Techniques for Ransomware Attacks, Oleg Skulkin / Шифровальщики, Олег Скулкин
3. Cybersecurity Ops with bash, Paul Troncone, Carl Albing / Bash и кибербезопасность, Олбинг Карл, Тронкон Пол
Средний уровень:
4. Practical Memory Forensics, Svetlana Ostrovskaya / Криминалистика компьютерной памяти на практике, Светлана Островская
5. Intelligence-Driven Incident Response, Scott J. Roberts, Rebekah Brown
6. Active Directory глазами хакера, Ralf Hacker
Уровень максимум:
Вообще большинство книг уровнем повыше можно использовать больше как справочник или по случаю. Не стоит мучаться и читать от корки до корки просто потому что надо (но можете и почитать, если интересно)
7. File System Forensic Analysis, Brian Carrier
8. Practical Linux Forensics: A Guide for Digital Investigators, Bruce Nikkel
9. Восстановление данных. Практическое руководство, Крис Касперски, В.Е. Холмогоров
Extremely high level:
10. https://www.google.com/
#books