Но это случилось и на подкаст меня все же позвали 😁
В начале мая собрались с коллегами по цеху обсудить ключевые моменты реагирования на инциденты с применением данных киберразведки. Если вам лень (??) читать всеми признанную и горячо любимую книгу по данной теме, то по этой ссылке 🔗 - ее краткое содержание, только уже переложенное на наши реалии и с практическими примерами из жизни
А с этой биполярочкой из предыдущих постов нужно бы разобраться, конечно
В начале мая собрались с коллегами по цеху обсудить ключевые моменты реагирования на инциденты с применением данных киберразведки. Если вам лень (??) читать всеми признанную и горячо любимую книгу по данной теме, то по этой ссылке 🔗 - ее краткое содержание, только уже переложенное на наши реалии и с практическими примерами из жизни
🔥47
Что делать с вредоносным файлом?
Даже без детонации, отладки или реверса, можно провести его предварительный анализ в статике, чтобы сформировать предположение о назначении и функционале
1. Определяем формат и тип файла. Расширение не смотрим, смотрим magic bytes
2. Считаем хеши (MD5, SHA-1, SHA-256) и проверяем по всем доступным вам источникам, в том числе публично доступным
3. Можно погонять по yara-правилам: публичным, от TI-поставщика или из вашей коллекции на основе ранее изученного
4. Далее нам понадобится программы ⚙️ CFF Explorer или pestudio. На примере последнего:
5. ⚙️ DiE
6. Другие метаданные файла - ⚙️ exiftool
7. Ну и, наконец, строки
8. Анализ импортируемых и экспортируемых функций исполняемого файла
9*. Ну и, в конце концов, попробовать погонять через ⚙️ capa. А чем черт не шутит?
Даже без детонации, отладки или реверса, можно провести его предварительный анализ в статике, чтобы сформировать предположение о назначении и функционале
1. Определяем формат и тип файла. Расширение не смотрим, смотрим magic bytes
⚙️ file, обычный или шестнадцатиричным редактором (MZ, PK или ELF вы увидите и обычным нотпадом, в части hex - Hiew или HxD), DiE (Detect It Easy) или CFF Explorer. К ним мы еще неоднократно вернемся
2. Считаем хеши (MD5, SHA-1, SHA-256) и проверяем по всем доступным вам источникам, в том числе публично доступным
⚙️ Не забываем гуглить: каждый из хешей берем в кавычки и смотрим по публикациям/репортам. Отдельно - вердикты АВПО на VirusTotal, чтобы попробовать определить класс или даже семейство. Если файла нет на VirusTotal или других аналогичных сервисах, допускается загрузить его на анализ, предварительно подумав, нет ли в семпле чувствительной или раскрывающей вас информации
3. Можно погонять по yara-правилам: публичным, от TI-поставщика или из вашей коллекции на основе ранее изученного
4. Далее нам понадобится программы ⚙️ CFF Explorer или pestudio. На примере последнего:
— Мета по файлу, на чем написан, GUI / консольная программа, под какую архитектуру: file > original-file-name, signatures, type, denoscription, manifest
— Допхарактеристики: file-header > dynamic-link-library, 32bit-supports, machine
— Дата компиляции: stamp > compliler, либо раздел stamps (directories > stamp), чтобы посмотреть дату в других секциях, если она была изменена
— Секции: как ни странно, sections. Помимо стандартных, иногда можно заметить имена протекторов .UPX0, .vmp0, .themida. Видим upх, сразу в консоли upx -d и продолжаем анализ
Бегло просмотреть остальное: resources (иногда можно выдернуть "говорящие" иконки, другой вариант - использовать ⚙️ Resource Hacker), certificate, debug directory (путь к отладочным символам, pdb-файлу - может в дальнейшем пригодиться для хантов)
5. ⚙️ DiE
⚙️ Помимо вышеперечисленного, смотрим энтропию, через DiE с картиночками (но есть и в pestudio->sections). По высокому значению (7 и выше) можно сделать вывод, был ли файл сжат или упакован. Иногда лучше проверять значение энтропии по секциям PE-файла, а не от целого
6. Другие метаданные файла - ⚙️ exiftool
⚙️ По документам можно достать информацию об авторе, имени последнего пользователя, редактировавшего файл, используемую версию программного обеспечения. Обращаем внимание также на наличие путей к файлам в системе злоумышленника, которые остались по ошибке в метаданных файла
7. Ну и, наконец, строки
Нормальные ребята всегда и везде используют strings, а более искушенные - ⚙️bstrings или ⚙️floss, который может извлекать не только статичные строки из бинаря, но и, например, те, собираются или декодируются во время выполнения программы в стеке памяти. Пробуем найти сетевые адреса (URL, IP, домены), пути к файлам и каталогам, ключи реестра, с которыми может взаимодействовать программа, а также командные строки
8. Анализ импортируемых и экспортируемых функций исполняемого файла
⚙️ CFF Explorer, pestudio, DiE или PE-bear: секции Import Directory и Export Directory. Например, UrlDownloadToFile - загрузка файла на диск, а (GetKeyState AND GetAsyncKeyState) OR SetWindowsHookEx - характерны для кейлоггера. В остальном может помочь https://malapi.io/ или та же документация. Важно! Сам факт наличия импортируемых функций в PE-файле не гарантирует их реального использования в коде
9*. Ну и, в конце концов, попробовать погонять через ⚙️ capa. А чем черт не шутит?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥49❤30
Утро начинается не только с кофе или ответ на вопрос, почему в канале нет новых постов 😅
Пишем курс по расследованию инцидентов, анализу данных и безопасности в Linux-системах. Саша из инсеки и методист говорят, что стартуем в ноябре. Кажется, они верят в нас больше, чем мы сами, но выхода нет 🤪
Драфт структуры прилагаюи невероятно горжусь таким наполнением своего первого отдельного курса, вот
Пишем курс по расследованию инцидентов, анализу данных и безопасности в Linux-системах. Саша из инсеки и методист говорят, что стартуем в ноябре. Кажется, они верят в нас больше, чем мы сами, но выхода нет 🤪
Драфт структуры прилагаю
9🔥101❤32
README.hta
Утро начинается не только с кофе или ответ на вопрос, почему в канале нет новых постов 😅 Пишем курс по расследованию инцидентов, анализу данных и безопасности в Linux-системах. Саша из инсеки и методист говорят, что стартуем в ноябре. Кажется, они верят в…
Вот все уже написали, и только я, как обычно. А ведь я обещала вам ссылку на курс…
Стартуем уже меньше, чем через месяц. Чуть волнительно, если честно: времени на правки осталось совсем мало, при этом хочется дать все и сразу, особенно когда видишь, какие талантливые люди к нам приходят — вне зависимости от их начального уровня. Ну правда, я даже студентам говорю, что иногда так и хочется…схантить 🤫
Как автор, не могу не дать свой промокод на скидку README
Приходите, задавайте вопросы! Давайте сделаем лучший тематический курс вместе :)
Стартуем уже меньше, чем через месяц. Чуть волнительно, если честно: времени на правки осталось совсем мало, при этом хочется дать все и сразу, особенно когда видишь, какие талантливые люди к нам приходят — вне зависимости от их начального уровня. Ну правда, я даже студентам говорю, что иногда так и хочется…
Как автор, не могу не дать свой промокод на скидку README
Приходите, задавайте вопросы! Давайте сделаем лучший тематический курс вместе :)
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤33🔥21😁4
Пока я сижу болею в отпуске, канал стал чуть похож на доску объявлений, но ничего не поделаешь. Короче
📝 24 октября буду вести круглый стол на CyberCamp. Мы старались не только подобрать незаезженные вопросы, а еще и позвать ребят, с которыми точно не заскучаешь (я, конечно же, хотела позвать больше, но таковы правила..). Но как по мне, главное — совсем не это. В этом году организаторы добавили формат личных консультаций с экспертами. Можно записаться, в том числе и ко мне, и тет-а-тет обсудить именно то, что давно волнует. Это же офигенная возможность задать те самые «несерьезные» вопросы, которые почему-то не решались озвучить! Я, например, уже забронировала время у Ники, чтобы обсудить, как я могу быть более полезной не только как технический специалист, но и как человек, грамотно работающий с информацией об инциденте в публичном поле. Забавный факт: раньше мы даже работали в одной компании, но я стесняш решила не наглеть и забронировать отдельный слот 🙈
Так что, выступления это, конечно, очень интересно, но личное общение — еще ценнее. Поэтому, ни на что не намекаю, но ссылка вот. Нужно зарегистрироваться, тогда запись на консультации будет доступна
Всем здоровья!
Так что, выступления это, конечно, очень интересно, но личное общение — еще ценнее. Поэтому, ни на что не намекаю, но ссылка вот. Нужно зарегистрироваться, тогда запись на консультации будет доступна
Всем здоровья!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
5❤49🔥28
Давеча в одном из кейсов встретили постэксплуатационный фреймворк AdaptixC2. Что-то новенькое itw!
Кратко накину контекст, я думаю, вы поймете, почему:
adrecon, sharphound →
fscan →
rdp, psexec, obfuscated powershell, winrm →
cobalt strike →
RMM (AnyDesk, RMS, Mesh Agent, TacticalRMM) →
nuget, devtunnel, chisel →
adaptixc2 via nssm →
dll w/ telegram c2 channel →
sliver
Все приправлено кастомным шифровальщиком через GPO. И это даже не очередной экземпляр LockBit 🏴
Самое интересное — здесь: https://habr.com/ru/companies/angarasecurity/articles/962088/
Кратко накину контекст, я думаю, вы поймете, почему:
adrecon, sharphound →
fscan →
rdp, psexec, obfuscated powershell, winrm →
cobalt strike →
RMM (AnyDesk, RMS, Mesh Agent, TacticalRMM) →
nuget, devtunnel, chisel →
adaptixc2 via nssm →
dll w/ telegram c2 channel →
sliver
Все приправлено кастомным шифровальщиком через GPO. И это даже не очередной экземпляр LockBit 🏴
Самое интересное — здесь: https://habr.com/ru/companies/angarasecurity/articles/962088/
Хабр
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации. Сегодня мы, Лада Антипова и Александр...
1🔥50❤12
А как AI в расследованиях используете?
Этот текст лежат у меня в заметках пару месяцев. За это время мы обсудили тему со многими, но от публикации что-то все равно останавливало меня. И я поняла что: компании наперебой заявляют о внедрении AI, это стало маркером прогрессивности, в то же время, я — та еще бабка-консерватор. Тот же ML давно и успешно задействован в процессах SOC, а нейросети помогают в отладке инструментов с условного GitHub. Вопрос в другом: где граница применимости в криминалистике, когда цена ошибки так высока? И я сейчас не про риски облачных инстансов. Давайте посмотрим, что у нас на практике:
👀 Обработка объемов. Да, AI справляется с гигабайтами логов быстрее человека. Но выявление аномалий без контекста инцидента, а мы еще и говорим про новые кейс/инфраструктуру в среднем каждые 2-3 недели, работает с перебоями. В итоге время на перепроверку съедает все выигранное. К тому же, данные на анализ чаще всего летят итерационно (все же активное реагирование != услуге из разряда compromise assessment)
🙂 Обогащение данных. Автоматическая агрегация из отдельных открытых источников звучит красиво. Но идея не нова и кто хотел, уже давно в каком-то виде реализовал, а для всего остального — есть TI . Ой, а какие мне ресерчи AI выдавал, и все со ссылками на источники. Закачаешься)
😏 Парсинг и нормализация. Тут выглядит перспективнее: генерация регулярок, конфиги для SIEM. Но, если говорить про полевые условия обработки данных, как показывает практика, может запросто накосячить с переводом какого-то произвольного unix timestamp. Оно нам надо, искать потом этот единственный таймстамп из десятков тысяч?
🪞 Интеграция с EDR, MCP-сервер уже доступен для всеми любимого Velociraptor. Идем в консоль с вопросом: а что подозрительного было в UserAssist? В целом, удобно. Только если даже исходные данные — не от туда? Или снова было найдено 5 подозрительных штук, а всего их 10?
В общем, как будто бы в рамках DFIR пока что участие человека непомерно высоко: ведь машина не несет ответственности за свои ошибки — ответственность несет эксперт. Да, можно использовать чтобы подсобрать мысли в кучу или как продвинутый гугл, но и тут, как мы выяснили, тонкости в стиле этого вопроса уже не потянет
Я пока присматриваюсь, вот даже тетя с последнего DFIR Summit меня не переубедила. А что думаете вы?
Дисклеймер. Есть AI как общее понятие (чаще в разговорах подразумевается именно GenAI, генеративный искусственный интеллект, который способен на основе фундаментальных знаний создавать нечто релевантное), а есть ML как одна из его областей, цель которого изучать и выявлять паттерны из данных. Это два разных понятия
Этот текст лежат у меня в заметках пару месяцев. За это время мы обсудили тему со многими, но от публикации что-то все равно останавливало меня. И я поняла что: компании наперебой заявляют о внедрении AI, это стало маркером прогрессивности, в то же время, я — та еще бабка-консерватор. Тот же ML давно и успешно задействован в процессах SOC, а нейросети помогают в отладке инструментов с условного GitHub. Вопрос в другом: где граница применимости в криминалистике, когда цена ошибки так высока? И я сейчас не про риски облачных инстансов. Давайте посмотрим, что у нас на практике:
В общем, как будто бы в рамках DFIR пока что участие человека непомерно высоко: ведь машина не несет ответственности за свои ошибки — ответственность несет эксперт. Да, можно использовать чтобы подсобрать мысли в кучу или как продвинутый гугл, но и тут, как мы выяснили, тонкости в стиле этого вопроса уже не потянет
Я пока присматриваюсь, вот даже тетя с последнего DFIR Summit меня не переубедила. А что думаете вы?
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Keynote | DFIR AI-ze Your Workflow
Keynote | DFIR AI-ze Your Workflow
🎙️ Mari DeGrazia, SANS Certified Instructor
📍 Presented at SANS DFIR Summit 2025
Beyond all the AI hype, how can you leverage AI in your DFIR life? Take a journey with me as I discuss AI and how we can start applying…
🎙️ Mari DeGrazia, SANS Certified Instructor
📍 Presented at SANS DFIR Summit 2025
Beyond all the AI hype, how can you leverage AI in your DFIR life? Take a journey with me as I discuss AI and how we can start applying…
2❤20
А, не, отбой, я нашла применение
Всегда бы так на работу приезжать, еще ина коне с конём!
Всегда бы так на работу приезжать, еще и
😁29❤11🔥8