Еще в 2020, я писал про этот интересный проект [ t.me/forensictools/47 ] позволяющий по звуку клавиатуры распознать нажатые клавиши. Тогда это было похоже на интересный эусперемент, но авто не ковырялся пальцем в носу а всячески работал дальше над этим проектом. И вот уже спустя 2 года, проект дожил до своей третьей версии с очень наглядной демонстрацией [ keytap3.ggerganov.com ]

Потенциал подобного я думаю не надо для вас разьеснять :)

mac_apt
[https://github.com/ydkhatri/mac_apt]

это инструмент криминалистики для парсинга образов дисков компьютеров с macOS. Извлекает данные, полезные для расследования. Построен на основе python, соответственно имеет плагины для обработки отдельных артефактов (таких как история браузера Safari, сетевые интерфейсы, недавно доступные файлы и тома и т.д.).

• Кросс-платформенный (без зависимости от pyobjc)
• Работает с E01, VMDK, AFF4, DD, split-DD, DMG (без сжатия), SPARSEIMAGE и монтированными образами
• Экспорт в XLSX, CSV, TSV, Sqlite
• Проанализированные файлы / артефакты экспортируются для последующего просмотра
• Поддерживаются сжатые файлы zlib, lzvn, lzfse
• Собственный парсер HFS & APFS
• Также включает ios_apt для обработки образов ios.

Hello there! We are happy to announce an infosec meet-up series hosted by Exness! Hands-on experience, industry leading professionals, tough topics and a bit of serious fun!

Register here

Talks

What we did wrong while making Flipper Zero. Behind the scene stories of hardware development challenges and failures.\
*by Pavel Zhovner*

Hidden Threats of Technological Enhancements. Three unexpected cases when slight modifications violated protectiveness.\
*by Dmitry Sklyarov*

Corporate Cryptocurrency Wallet Management. What do you need to know to securely manage and operate your cryptos.\
*by Valery Tyukhmenev*

eBPF — the hidden linux superpower. Let’s talk about the state of the Linux kernel, it’s security, profiling mechanisms and use cases.\
*by Alexander Sungurov*

Challenges

Mind getting yourself a Flipper Zero? Well, we have a few to share. 2 challenges will be waiting! Don't forget your laptop 😉

ma2tl
[https://github.com/mnrkbys/ma2tl]

инструмент для создания таймлайна активности операционных систем macOS из результатов mac_apt. Извлекает историю действий по загрузке файлов, выполнению программ, монтированию томов.

XELFViewer
[https://github.com/horsicq/XELFViewer]

кроссплатформенное приложение, предназначенное для анализа ELF-файлов. ELF, Executable and Linkable Format (формат исполняемых и связываемых файлов) - формат файла, который определяет структуру бинарных файлов, библиотек, и файлов ядра. Спецификация формата позволяет операционной системе корректно интерпретировать содержащиеся в файле машинные команды. Если в мире Windows исполняемые файлы представлены в формате Portable Executable (PE), то в Linux эта роль отведена файлам ELF. ELF-файлы интересуют исследователя с точки зрения анализа зловредов, ведь злоумышленники зачастую используют как раз этот формат.

#OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:

├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS

@tomhunter

odl.py
[https://github.com/ydkhatri/OneDrive]

маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.

OneDriveExplorer
[https://github.com/Beercow/OneDriveExplorer]

это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\

слайды с прекрасного выступления Уважаемого @gspdnsobaka на прошедшем PHD11 про деанон злодея укравшего NFT

Любая система Windows, будь то домашней или корпоративной версии, не может обойтись без систем аудита безопасности.

Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.

Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.

По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).

Microsoft-eventlog-mindmap
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.

Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.

[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.

Windows EVTX Samples
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.

EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.

FullEventLogView от NirSoft
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.

EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.

EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)

WELA (Windows Event Log Analyzer)
[https://github.com/Yamato-Security/WELA]

PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.

● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа

Chainsaw
[https://github.com/countercept/chainsaw]

мощный анализатор логов Windows, предназначенный для оперативного выявления угроз. Предлагает универсальный и быстрый способ поиска по ключевым словам, встроенной логики обнаружения и поддержки SIGMA-правил.

● Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV
● Обнаружение очистки журналов ключевых событий или остановки службы журнала событий.
● Выявление факта создания и добавления пользователей в конфиденциальные группы пользователей
● Брутфорс локальных учетных записей пользователей
● RDP-авторизация
● Экспорт в CSV, JSON

Zircolite
[https://github.com/wagga40/Zircolite]

еще один очень полезный анализатор логов, который также основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon. Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.

ntTraceControl
[https://github.com/airbus-cert/ntTraceControl]
набор команд Powershell для генерации журналов Windows. ntTraceControl упрощает тестирование вариантов использования обнаружения угроз без использования сложной инфраструктуры, инструментов или тестирования уязвимостей. Позволяет эмулировать фейковые события создания процессов, сеансов входа в систему, а также записи объектов EventLogRecord.

SharpEventPersist
[https://github.com/improsec/SharpEventPersist]
немного оффтопик утилита относительно тематики последних постов, но тесно связанная с событиями Windows. Инструмент, позволяющий закрепиться в системе путем записи/чтения шелл-кода прямо из журналов событий. Любопытный способ закрепления, должно быть полезно для исследователей.

📓 Maltego Handbook for Social Media Investigations

DeepBlueCLI
[https://github.com/sans-blue-team/DeepBlueCLI]

мы добрались до инструмента от SANS, а если точнее модуля PowerShell для поиска угроз с помощью журналов событий Windows. Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz. В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.

Hayabusa
[https://github.com/Yamato-Security/hayabusa]

мощный кроссплатформенный инструмент для построения таймлайна журнала событий Windows и инструмент поиска угроз, созданный японской группой безопасности Yamato Security. Он написан на Rust и поддерживает многопоточность, чтобы быть как можно быстрее. Также авторы разработали собственный формат правил и утилиты преобразования из SIGMA, которые активно используются в инструменте.

● может быть запущен для анализа в реальном времени, либо путем сбора журналов из нескольких систем в автономном режиме
● выходные данные будут объединены в единую временную шкалу формата CSV для удобного анализа в Excel, Timeline Explorer или Elastic Stack
● имеет более 2200 SIGMA-правил и около 125 правил hayabusa, которые регулярно добавляются
● сбор различных статистических данных, сопоставление с MITRE.

Мы завершаем освещать тему анализа Журнала событий Windows и напоследок напоминаем об APT-Hunter (https://news.1rj.ru/str/forensictools/704), о котором уже немногим ранее упоминали. Тоже очень простой и эффективный в использовании инструмент, написанный на Python.

Если мы упустили какой-то очень полезный инструмент, то будем рады, если вы поделитесь им со всеми в комментариях или нашем общем чатике!