APT attribution 🙂

Ниже представлены инструменты, которые помогают проводить атрибуцию к определенной группировке во время работы над инцидентом или просто изучением индикаторов.

Помню в самом начале своего пути примерно таким и занимался... было безумно интересно читать кучу разных статей на тему разборов APT - группировок, их инструментария и свойственного им поведенческого анализа.

Источники:
- https://apt.etda.or.th/cgi-bin/listgroups.cgi
- https://attack.mitre.org/groups/
- https://intezer.com/ost-map/
- https://pan-unit42.github.io/playbook_viewer/
- https://orkl.eu/tas
- https://malpedia.caad.fkie.fraunhofer.de/
- https://www.vx-underground.org/
- https://aptmap.netlify.app/
- https://cse.google.com/cse?cx=003248445720253387346:turlh5vi4xc
- Google docs

Сборник ссылочек взятый с канала GoldenHackSpace.

Пишу это заранее... в преддверии начала наших курсов по реверсу и малварному анализу

В один момент... когда мне придется отвечать на вопросы по типу:
- "А как вкатиться в тему реверса и малварного анализа?"

Я просто буду отправлять этот пост 🥴

Так а как все же вкатиться во всю эту вашу малварщину?
- Какого-то конкретного пути увы нет, процесс обучения и самостоятельного развития у всех индивидуален, кому-то нравиться читать кучу книг и погружаться в море теории, кто-то любит больше практики... а кто-то мешает то и то.
Но мне кажется если брать какую-то золотую середину, то она выглядела бы вот так:

Roadmap:
1. Изучаем всю базу необходимую для Reverse Engineering, для этого прекрасно подойдут книги / статьи про которые я писал ранее тут и вот тут
2. Знакомство с доступным инструментарием, читаем документацию, изучаем гайды и пытаемся потихоньку осваивать весь функционал вашего инструмента, я бы советовал начинать именно с них:
2.1. IDA Pro - если курим на Windows
2.2. Ghidra - если курим на Linux
3. Практика - практика и еще раз практика, для этого подойдут разные варианты:
3.1. Исследование самописных программок по типу - хм... а как в дизассембле будет выглядит цикл на С++.
3.2. Исследование и раскурка различных Crackmeшек
3.3. Исследование вредоносов - если вы достали вредоносное ПО, ВСЕМ ЕГО ИССЛЕДОВАНИЕМ ЗАНИМАЙТЕСЬ НА ОТДЕЛЬНОЙ ВИРТУАЛЬНОЙ МАШИНЕ У КОТОРОЙ НЕТ ДОСТУПА В ИНТЕРНЕТ, ЭТО ОЧЕНЬ ВАЖНО
4. Осваиваем особенности операционных систем, тут я бы советовал для начала сконцентрироваться на чем-то одном и не бежать сразу изучать все и сразу.
5. Осваиваем особенности языков программирования которые вы исследуете, если тут вы не очень поняли о чем я имел ввиду, то попробуйте открыть в условной IDA приложение написанное на Kotlin, а потом на C и сразу же поймете о чем идет речь :)

Источники для изучения ASM:
- Введение в Assembler
- Дневники чайника

Немного теории и полезных материалов:
Malware Analysis Series (MAS) - Article 1 / 2 / 3 / 4 / 5 / 6 / 7
https://news.1rj.ru/str/R0_Crew + https://forum.reverse4you.org - автор и форум где можно найти полезную информацию
Структура исполняемых файлов Win32 и Win64

Где брать Crackmeшки?
- https://crackmes.one

Где брать вредоносы для исследования?
- https://bazaar.abuse.ch/
- https://www.vx-underground.org

Воркшопы и CTF таски:
- https://malwareunicorn.org/#/workshops
- https://forkbomb.ru/tasks
- https://picoctf.org/ - нам нужен раздел Reverse
- https://freehackquest.com/quests/reverse

Совсем забыл кстати написать... про запись моего доклада на ISCRA Talks
Вот ссылочка на плейлист на все доклады с ивента

Ну а вот собственно мой доклад... 🤤

Тема: Даже на самый ужасный CTF будут регистрироваться
Ссылочка

Выдался он не совсем как я планировал, но надеюсь чем-то он будет полезен для ребят которые только - только начинают свою организационную деятельность в рамках CTF.

Мы тут недавно попытались запустить один достаточный любопытный эксперимент, может кому тут будет интересно послушать 👉

6 октября команда Радио МТУСИ пригласило на интервью моего студента Михайлова Андрея Робертовича (Шубочка ❤️), он большая умничка... и действительно обладает большим потенциалом.

В планах с нашими ребятами продолжить такого рода "интервью" или переделать их в формат подкастов "2+1", возможно даже соберем это все где-то на Яндексе... посмотрим в общем.

В программе обсудили:
— CTF: суть игры, цели и задачи соревнований

— BinaryBears в CTF: первое знакомство, как попал в главную команду, кто где рулит!

— Positive Technologies: как проходила стажировка, какие были трудности, профессиональный и личностный рост.

Для всех начинающих реверсеров 😮

🔴Школа реверс - инжиниринга в МТУСИ🔴

В эту пятницу (20.10.2023) мы возобновляем нашу школу реверс - инжиниринга, в этой школе вы сможете научиться:

1. Анализировать программы без наличия исходного кода
2. Работать со специализированными инструментами реверс-инженера, такими как IDA Pro, Olly Dbg, gdb и т. п.
3. Искать потенциальные уязвимости в программных решениях
4. Защищать ПО от отладки и несанкционированного изменения
5. Эффективно применять свои навыки в работе с реальными киберинцидентами сети
6. И еще многим другим вещам в практической кибербезопасности

Первую часть школы для вас прочитает не просто специалист, а начальник отдела исследований информационных технологий, "Перспективный мониторинг" - Василий Кравец (xi-tauw)

Наверняка кто-то уже мог даже видеть выступления Василия, например на недавно прошедшем OFFZONE:
Василий Кравец . Логические уязвимости повышения привилегий в ОС Windows

Для освоения программы Школа реверса желательны следующие навыки:

- Знание C/C++ на базовом уровне
- Совсем немного ассемблера (intel)
- Понимание того как устроены исполняемые файлы в ОС
- Чуть - чуть понимание внутреннего устройства ОС Windows

▶️ Ссылка на группу Школы реверс - инжиниринга в МТУСИ
▶️ Анонс первого занятия

Хееей, наконец можно сказать, что теперь все готово! 🤩

Открываем регистрацию на Школьный отборочный этап M*CTF Junior и приглашаем вас✨

💥Обратите внимание, что в основном зачете в этом году могут участвовать студенты СПО и вместе с этим появилась возможность играть вне зачета!

Информация по ивенту:
❗️В формате онлайн 4-5 ноября 2023 года с 12:00 до 12:00 по Московскому времени.
❗️Приглашаются к участию команды от трех до пяти человек, состоящие из учащихся 8-11 классов, а также студентов СПО Москвы и Московской области.
❗️По итогам отборочного соревнования будет выбрано 9 школьных команд и 3 СПО.
❗️Финальный этап M*CTF Junior пройдёт: 2 декабря 2023 года по адресу ул. Авиамоторная, 8 строение 39, Конгресс-центр МТУСИ.
❗️Зарегистрироваться на академический зачет можно по ссылке: https://forms.yandex.ru/u/651ecc7d5056904616061f7d/

❕Для остальных ребят, которые просто хотят попробовать свои силы мы предлагаем регистрироваться через нашу борду https://mctf.mtuci.ru/ и поиграть вне зачета.
(p.s. в таком случае пожалуйста регистрируйте команды с типом: All / Общий)

Инфо-площадки:
▶️ Информационный сайт
▶️ Телеграм канал M*CTF
▶️ Группа M*CTF Junior 2023
▶️ Группа ВК
▶️ CTFTIME

По всем вопросам можно обращаться:
🌌 @mobyfs
🌌 @gekkovich

Информация про студенческий ивент будет на следующей недельке

Теперь думаю можно афишировать, буду выступать на STANDOFF 101 👏
Расскажу вам про «Май вэй» или «Мэй вэй»: что-то такое, одно из двух...

Тема: Extreme ways, или История о том, как я стал специалистом по ИБ
Расскажу вот про что:
- Кто я такой и с чем меня кушать
- С чего я начинал и почему именно ИБ
- С какими трудностями я встретился
- Как все это преодолеть и стать крутышкой с хорошим оффером :3

Буду закрывать первый день... выходит увидимся на Standoff 😮

Такие дела... 😏

Как-то капался я в своих закладках и обнаружил вот такой любопытный сборник, возможно кому-то будет полезно 🙂

В основном тематика админки и DevOPS:

- Jeff Geerling – про Ansible, Kubernetes
- DeusOps – канал о DevOps
- Мир IT с Антоном Павленко – канал о личном опыте хорошего DevOps/SRE
- TechWorld with Nana – про DevOps, Kubernetes, Terraform
- Kirill Semaev – канал о DevOps, администрировании Linux
- Системное администрирование, безопасность, сети – Академия Яндекса – в названии канала указано всё, про что он вещает
- LearnLinuxTV – туториалы, гайды, обзоры дистрибутивов Linux
- Dmitry Lambert – туториалы по Zabbix, Linux, etc
- ADV-IT – DevOps и все что рядом
- Dmitry Ketov – основной упор канала на системное администрирование
- realmanual – всякое разное про технологии и около
- Сергей Геннадьевич – блог о ИТ, преимущественно о железной составляющей
- the roadmap – канал сайта roadmap.sh
- Network Education – канал про сети не для новичков
- Алексей Потоцкий – все о DevOps и SRE практиках, разбор реальных ситуаций, архитектура инфраструктуры, безопасность
- Murad Aslanov – канал про GNU/Linux и IT
- Rotoro cloud – канал про DevOps и около
- DeusOps - видеоматериалы для Системных администраторов, Системных архитекторов, DevOps
- DevOps Kitchen Talks - подкаст - разговоры о современном DevOps, IT и около IT тематиках
- DevOps Moscow - youtube-канал Московского сообщества DevOps
- DevOops - видео конференций по DevOps от JUG.ru Group
- DevOpsMinsk - видеоотчеты живых митапов по DevOps экспертизе от Минского сообщества
- Мишка на сервере - телеграм канал мишки который просто сидит на сервере...

Ну чтож, погнали дальше 🥰

Открываем регистрацию на Межвузовские отборочный этап соревнования M*CTF 2023 и приглашаем вас✨

💥Обратите внимание, что в основном зачете в этом году могут участвовать студенты из университетов МСК, но у вас все так же остается возможность принять участие вне зачета.

Информация по ивенту:
🎮 В онлайн формате 11-12 ноября 2023 года с 14:00 до 14:00 по Московскому времени.
🎮 Принять участие могут студенческие команды Москвы и Московской области, состоящие из трех-семи человек.
🎮 В результате отборочного соревнования будут выбраны 10 лучших Московских команд, которые сразятся в финале 3 декабря.
🎮 Финальный этап M*CTF 2023 пройдёт: 3 декабря 2023 года по адресу ул. Авиамоторная, 8 строение 39, Конгресс-центр МТУСИ.
🎮 Для участия в официальном зачете необходимо зарегистрироваться по ссылкам:
- https://forms.yandex.ru/u/651eac3143f74f3b2b77b4d3/
- https://mctf.mtuci.ru/

❕Для остальных ребят, которые просто хотят попробовать свои силы мы предлагаем регистрироваться через нашу борду https://mctf.mtuci.ru/ и поиграть вне зачета, для этого при регистрации команды вам необходимо выбрать тип All / Общий

Инфо-площадки:
▶️ Информационный сайт
▶️ Телеграм канал M*CTF
▶️ Группа M*CTF Student 2023
▶️ Группа ВК
▶️ CTFTIME

По всем вопросам можно обращаться:
🌌 @mobyfs
🌌 @gekkovich

Анатолий Иванов, руководитель направления багбаунти Standoff 365, на лекции в МТУСИ рассказал о том, как стать этичным хакером 🥷👨‍💻

Запись выступления с 15-ой минуты по ссылке 👈

#PositiveEducation #видео

Ох... вот и подошел к концу Standoff 101

Я скажу так... это было круто! Было приятно увидится с людьми которых знал только по переписке... спасибо всем за крутые 2 денька и общение, это было прям реально круто!
Огромное спасибо организаторам за такой классный ивент и возможность там выступить 😊

Ну и вот собственно мое выступление на этом мероприятии.

Тема: Extreme ways, или История о том, как я стал специалистом по ИБ
Ссылка: https://www.youtube.com/watch?v=jjvSNNz10Kk&ab_channel=Standoff365

Знаете... скажу честно, я безумно переживал прямо перед началом выступления, но когда вышел и начал рассказывать... все волнение куда-то испарилось! 🌌

И да... пора приводить свой внешний вид в нормальное русло... а то это не дело >:c

Вот и подошел к концу очередной M*CTF… 🙂

Знаете по сравнению с тем, что мы делали в прошлом году… мы очень сильно выросли… как с точки зрения качества организации, так и с точки зрения качества тасков и деплоя…

Сегодня я был приятно удивлен таким интересом к нашему ивенту со стороны очень крутых ребят из сообщества цтф :3
Было приятно познакомиться и пообщаться

Мы получили очень много информации для обдумывания и доработки M*CTF 2024, спасибо всем за ивент… наверное это пока лучшее, что нам удавалось провести!

Чтобы я делал без вас ребята, спасибо всем тем кто участвовал в создании этого прекрасного ивента, это было правда круто 🙂

Фух... ну и год выдался, местами даже хорошо... что он подходит к концу.

Сильно много писать не хочется... поэтому наверное... подведем итоги одной картиночкой и парочкой предложений.

- Да в целом, все круто блин.. 🥹
- Спасибо вам крутышки! 😏
- С наступающим вас :3 🕺

Ну чтож.. думаю можно прервать молчание 🌌

Эти полгода обещают быть довольно насыщенными... в планах:

- Опубликовать 2 статьи на ХАКЕР
- Отвести блок в курсе "Безопасность компьютерных систем" в части "Безопасность ОС Linux" в рамках программы ДПО для студентов МФТИ
- Начать подготовку к следующему M*CTF
- (Вероятно) Опубликовать пачку крутых темплейтов под Ansible роли и прочие вкусности по части автоматизации, но при условии, что все звезды сойдутся
- Подготовить платформу для запуска новых блоков в рамках факультативов МТУСИ, планируем освятить в следующем году темы:
- AppSec
- DevOps с точки зрения ИБ специалиста

Как-то так... посмотрим чего выйдет, а чего нет, если все сложится, весь материальчик обязательно приложу и сюда ☕️

Хее, ну чтож, вроде как можно об этом объявить 🥰
У нас с вами будет прекрасная возможность повидаться на PHD 2, буду там кое... что рассказывать, так что приходите!

Тема: Долой романтические стереотипы: почему кибербез - это не только хакеры?

Где: Научпоп-сцена
Когда: 26 мая, 12:05–12:30

Мое желание... делать все в одном месте меня порой поражает... немного истории 🤣

Ранее, для того чтобы развернуть всю игровую инфраструктуру для финалов MCTF, я использовал жесткий такой - bashsible... в строк так 500.
После... проведения на этом MCTF 2023 Finals, я пришел к мнению... что это все конечно хорошо, но очень громоздко и практически не читабельно, даже с учетом кучи моих комментариев...

Решили прийти к варианту:
- Развернуть VM - Terraform
- Настроить VM - Ansible

Но тут я задумался... а, что если кто-то вдруг случайно... уже написал кастомный модуль для создания VM на YCC через ansible... и о ЧУДО:

💫 Модуль ycc_vm

Это довольно сильно меня порадовало... но модуль довольно староват и кажется особо не поддерживается, поэтому проблем было не избежать.

В целом... я подумал, а почему бы не вести отчетики как мы автоматизируем деплой M*CTF, так что встречайте... первая часть...

💻 Автоматизируем M*CTF - разворачиваем тачки с помощью ansible на YCC [часть 1]

p.s. я не стал описывать как работать с Yandex Cloud CLI, если что, вот их дока, разберетесь сами, ничего сложного.

Отдельные благодарности:
- @nelande
- @i_013K

Спасибо парни 💌

По итогу... роли по разворачиванию тачек на YC успешно написаны и протестированы. На мое удивление, сейчас с YC стало работать куда проще чем условно год назад. 🫠

Не приходится своими руками удалять множество сущностей, что он плодит при создании тачек, теперь вместе с тачкой сносится вообще, все, что он наделал.
Это немного упрощает будущий допил модуля ycc_vm.

Но ладно... далее мне нужно было приступить к написанию ролей для настройки самих тачек и тут меня ждала небольшая проблема, собственно о которой я пишу и которую я решаю тута

💻 Автоматизируем M*CTF - разворачиваем тачки с помощью ansible на YCC [часть 2] - Миша все... давай по новой