|Investigating an engineering workstation|

🤙Шизо на связи.
🕵️‍♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.

Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).

Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.

Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.

Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3

🤙The Shizo is in touch.
🕵️‍♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.

By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation noscript on python (click).

As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.

According to the author, a new article about the analysis of network traffic during activity research will be published soon.

Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3

#forensic #investigation

usbsas
[https://github.com/cea-sec/usbsas]

полезный инструмент для безопасного чтения ненадежных USB-накопителей.

● чтение файлов с USB-устройства без использования модулей ядра, таких как uas, usb_storage и файловые системы
● анализ файлов с помощью удаленного антивируса
● копирование файлов на доверенное USB-устройство
● загрузка файлов на удаленный сервер
● создание образа USB-устройства
● очистка USB-устройства

wazuh
[https://wazuh.com/]

бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.

• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии

#dfir #elk #security #platform

НАШИ УСЛУГИ:
1. Технический аудит

1.1. Аудит информационной безопасности
- Аудит сетевой инфраструктуры
- Аудит внедренных политик безопасности и их актуальность
- Тестирование на проникновение в информационную инфраструктуру
- Аудит актуальности мер защиты относительно модели угроз ИБ

1.2. Аудит технических систем безопаcности (видеонаблюдение, скуд, опс)
- Проверка проектной и рабочей документации и ее актуальность
- Проверка технического состояния установленных систем безопаности
- Проверка целесообразности размещения элементов ТСБ для эффективного решения задач безопаности относительно модели угроз
- Проверка конфигураций программной платформы ситемы безоопаности
- Проверка конфигураций аппаратных элементов системы безопасности.

2. Ситуационный аудит
- Проведение исследований на проникновение в защищенный периметр компании для тестирования эффективности противодействия к определенным моделям угроз и противодействию им.

3. Моделирование угроз
- Ситуационные симуляции для изучения поведения сотрудников компании при определенных моделях угроз информационной безопасности (фишинговый рассылки, имитация хакерских атак, имитация утечек информации)
- Ситуационные симуляции для изучения поведения сотрудников СБ при определенных моделях угроз (физическое проникновение, рейдерский захват, террористическая угроза)

4. Определение модели угроз и нарушителей
Описание существующих угроз безопасности, их актуальности, возможности реализации и последствий.
- Выявление критичных объектов информационной инфраструктуры.
- Определение перечня угроз для каждого критического объекта.
- Определение способов реализации угроз.
- Определение модели нарушителя.
- Оценка материального ущерба и других последствий возможной реализации угроз.

ФОРЕНЗИКА

1. Криминалистический анализ информационных систем на наличие определенных данных.
2. Криминалистический анализ компьютеров, смартфонов, планшетов, телефонов, дронов направленный на извлечение данных различных сервисов.
3. Восстановление данных с носителей, смартфонов, компьютеров.
4. Проведение расследований случаев промышленного шпионажа.
5. Поиск технических каналов утечки информации.

Atomic Red Team
[https://github.com/redcanaryco/atomic-red-team/]

библиотека тестов безопасности на базе MITRE ATT&CK, эмулирующих действия Red Team команды. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой матрицы. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает защитникам эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак.

atomic-operator
[https://github.com/swimlane/atomic-operator]

позволяет специалистам по безопасности проверить свои возможности обнаружения и защиты в соответствии с предписанными методами, определенными в atomic-red-team. Поддерживает локальное и удаленное выполнение тестов в системах Windows, macOS и Linux, может быть автоматизирован на основе конфигурационного файла, работает в командной строке и в Python-скриптах.

Концепция информационной безопасности, представленная в виде удобной диаграммы - [https://www.xmind.net/embed/enin/]

Forensic7z
[https://www.tc4shell.com/en/7zip/forensic7z/]

старенький плагин для популярного архиватора 7-Zip. Позволяет представить в виде архивов образы дисков, создаваемые специализированным программным обеспечением, используемым при судебной экспертизе, таким как Encase или FTK Imager.

Control Validation Compass
[https://controlcompass.github.io/]

база 9000+ правил обнаружения (Sigma, Splunk Security Content и других) и 2100+ тестов эмуляции вторжений (Atomic Red Team, Prelude Community и других). Очень удобно и наглядно, просто вводите номер тактики и получаете исчерпывающую информацию с ссылками на стандарты и правила.

Отличная демонстрация возможностей использования Maltego для анализа данных детализации мобильного оператора в рамках ОРД.
▶️ https://youtu.be/cjCQBYld_wM

Для подобной работы пригодятся:
1️⃣ Программный комплекс Maltego
2️⃣ Сервис Google Earth (сойдет Google Maps или Яндекс Карты)
3️⃣ Сервис Map Developers (получение GPS-координат мест)
4️⃣ Сервисы SMSC или Xinit (привязка номеров к оператору и региону)
5️⃣ Любой сервис пакетной проверки телефонных номеров для установления данных их фактических владельцев

‼️ Дополнительные источники: пример таблицы Excel, предназначенной для анализа "гражданской" версии детализации мобильного оператора (загружается через личный кабинет на сайте оператора связи). Подробнее о ее применении можно узнать из видеоролика. После внесения небольших правок и дополнений, таблица может быть вполне пригодна для применения в оперативно-следственной деятельности.

[https://dfircheatsheet.github.io/]
Коллекция инструментов по расследованию и реагированию на инциденты. Похоже на все известный - https://osintframework.com/

Запись стрима

|Network Infrastructure Security Guide|

🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.

🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.

#NSA #security #network

​​OnCall

OnCall — система реагирования на инциденты от Grafana Labs, теперь с открытым исходным кодом.

🔻Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем.

Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix.

🔻Из полученной от систем мониторинга информации отфильтровываются второстепенные и малозначительные события, агрегируются дубликаты и исключаются проблемы, которые могут быть решены без участия человека.

🔻Очищенные от лишнего информационного шума значительные события поступают в подсистему отправки оповещений, которая выделяет сотрудников, ответственных за решения выявленных категорий проблем, и отправляет уведомления с учётом графика их работы и степени занятости (оцениваются данные из календаря-планировщика).

🔻В зависимости от степени важности инцидента уведомления могут отправляться через телефонные звонки, SMS, электронную почту, создание событий в календаре-планировщике, мессенджеры Slack и Telegram. При этом в Slack могут автоматически создаваться каналы для обсуждения вопросов, связанных с решением инцидента, к которым автоматически подключаются как отдельные сотрудники, так и целые команды.

Управление работой осуществляется через web-интерфейс.

https://github.com/grafana/oncall

Сайт: https://grafana.com/oss/oncall/

Отличное описание методологий форензик-исследований дронов от Интерпола. На английском, но читается легко и понятно.

ЧЕМ ЖЕ ЗАНИМАЕТСЯ BEHOLDERISHERE Consulting ?

СИТУАЦИОННЫЕ СИМУЛЯЦИИ. ЧАСТЬ 1

Одно из направлений нашей команды «Ситуационные симуляции» - мероприятия позволяющие понять уязвимости связанные с человеческим фактором. Все симуляции разделены по векторам реальных «атак» которые могут произойти в действительности. И первый вектор это: «Проникновение через внешний и внутренний периметр безопасности»

Внешний периметр:

Исследуемая ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения во внутрь внешнего охранного периметра (охраняемая внешняя территория вокруг объекта)

Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД и неконтролируемого проезда через автоматические шлагбаумы и заградительные конструкции
⁃ Возможность копирования карт доступа, транспондеров и радио-пультов управления.
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
⁃ Возможность неавторизированного доступа на территорию через сотрудников компании.

Внутренний периметр:

Исследуема ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения в охраняемый периметр административного здания.

Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД
⁃ Возможность неавторизированного прохода используя сотрудников бюро пропусков, сотрудников охраны, сотрудников компании
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)

Hardware forensics. Прячем данные в BIOS
Статья по форензике, которую обещала. К сожалению, она не совсем того качества, которое планировалось, но обещаю исправиться.

Интересный кейс с обнаружением аппаратной закладки в серверной одной компании [ habr.com/ru/company/qiwi/blog/674132 ]

Simplescraper - извлечение данных с любого веб-сайта

♾ https://simplescraper.io/

Полезные платформы для оттачивания навыков расследований инцидентов

1) https://www.ashemery.com/dfir.html
2) https://cfreds.nist.gov/
3) https://cfreds-archive.nist.gov/
4) https://cyberdefenders.org/
5) https://www.vulnhub.com/?q=forensic

GRR Rapid Response
[https://github.com/google/grr]

система реагирования на инциденты от Google, ориентированная на удаленное управление всеми контролируемыми хостами. Некое подобие EDR, где на клиентских машинах устанавливается агент, который и взаимодействует с сервером. Поможет организовать масштабируемое решение, которое позволит аналитикам производить удаленную сортировку и оперативно реагировать на инциденты.