|Investigating an engineering workstation|
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
👍3❤2
Forwarded from Investigation & Forensic TOOLS
Мы уже писали (https://t.me/forensictools/408) про отличный гаджет который можно собрать самому для того чтобы проверить, а не подсадил ли кто на смартфон или планшет чего-нибудь "стучащего" на вас. Отличная вещь, простая как в создание так и использование. Сегодня благодаря каналу @freedomf0x открыли для себя не менее интересный проект, но для более продвинутых пользователей:
PTS Project (ака PiRough)
[ github.com/PiRogueToolSuite ]
PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.
Может работать в трех различных режимах:
Киоск - для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.
Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов
Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:
- Определить список собираемых данных
- Оценить соответствие нормативным требованиям
- Проводить тестирование на проникновение
- Анализировать поведение вредоносных программ
- Сгенерировать отчет
В общем еще одна хорошая и нужная вещь из малинки!
PTS Project (ака PiRough)
[ github.com/PiRogueToolSuite ]
PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.
Может работать в трех различных режимах:
Киоск - для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.
Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов
Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:
- Определить список собираемых данных
- Оценить соответствие нормативным требованиям
- Проводить тестирование на проникновение
- Анализировать поведение вредоносных программ
- Сгенерировать отчет
В общем еще одна хорошая и нужная вещь из малинки!
👍4
0% Privacy
🔥Это второй проект. В нём буду публиковать то, что не подходит под тематику этого канала + свежие эксплоиты/вредоносы, а также тема анализа вредоносов, крякинг, реверс инжиниринг и взлом/обход всякой всячины. Иногда будут весьма специфические материалы, поэтому…
💾 В связи с некоторыми событиями во второй канал теперь просто так не попасть. Поставил временную ссылку до 17 июня. Следующее обновление ссылки будет только осенью. Тематика отличается от основного: там выкладываю свежие сплоиты/мануалы, инструменты для упрощения процесса разработки/реверс инжиниринга и много интересного, что не подходит под тематику основного канала, да и по некоторым соображениям, чтобы не заблокировали.
💾Due to some events, it's not easy to get into the second channel now. I put a temporary link until June 17. The next update of the link will be only in the fall. The subject is different from the main one: there I post fresh exploits / manuals, tools to simplify the development process / reverse engineering and a lot of interesting things that do not fit the subject of the main channel, and for some reasons, so as not to be blocked.
💾Due to some events, it's not easy to get into the second channel now. I put a temporary link until June 17. The next update of the link will be only in the fall. The subject is different from the main one: there I post fresh exploits / manuals, tools to simplify the development process / reverse engineering and a lot of interesting things that do not fit the subject of the main channel, and for some reasons, so as not to be blocked.
👍2🔥1😢1
|Субъекты КНР, спонсируемые государством эскплуатируют сетевых провайдеров и устройства |
😉Шизо доволен
🇺🇸АНБ, CISA и ФБР выкатили новую работу(бюллетень) из серии CSA про кибепрестуников КНР, которых спонсирует государство и использующие сетевых провайдеров и устройства для своих нужд, являющаяся логическим продолжением работ АНБ "Кибероперации, спонсируемые китайским государством: Наблюдаемые ТТП" и "Китайские Государственные Субъекты Используют Общеизвестные Уязвимости".
В бюллетене описывается процесс нацеливания субъектами КНР на телеком компании первого звена и сопутствующих поставщиков сетевых услуг, затем воспользовавшись уязвимости, которые являются повсеместно известными и скомпрометировали оных.
Также, после эксплуатации известных уязвимостей, удалось создать большие инфраструктурные цели для эксплуатации широкого спектра целей, начиная от частного и заканчивая государственными секторами. Причём ещё был задеты и телекоммуникационные провайдеры.
Ещё в работе описывается команды, выполняемые злоумышленника для создания инфраструктуры, и что не мало важно - рассказывается каким образом смягчить последствия путём: применение патчей безопасности, отключение неиспользуемых(ненужных) портов/протоколов и избавление от старого барахла в лице отслужившей свой срок сетевой инфраструктуре. После выполнения этих базовых вещей не стоит забывать про логинизирование интернет-служб и доступов к сетевой инфраструктуре. Можно ещё отметить про использование MFA для всех пользователей без исключения, а также использовать её для подключения к VPN, либо генерировать криптосойкие пароли, причём меняя их периодически.
Вроде бы советы и простые, однако даже их не придерживаются не только простые пользователи, но и крупные компании, в России с этим очень плохо, конечно, есть игроки, соблюдающие простейшие меры безопасности, но в большинстве своём используются слабые пароли, софт не обновляется вовремя, VPN настроен ужасно(заводские конфигурации), вообщем, можно до бесконечности говорить.
Вот выходят не рекомендации, а призывы к действию от CISA, при не выполнении которых компания теряет деньги вследствие полученных штрафов/временный запрет на осуществление всяких действий с оказанием услуг и не только, как пример можно привести
#FBI #CISA #NSA #CVE #router #PRC
😉Шизо доволен
🇺🇸АНБ, CISA и ФБР выкатили новую работу(бюллетень) из серии CSA про кибепрестуников КНР, которых спонсирует государство и использующие сетевых провайдеров и устройства для своих нужд, являющаяся логическим продолжением работ АНБ "Кибероперации, спонсируемые китайским государством: Наблюдаемые ТТП" и "Китайские Государственные Субъекты Используют Общеизвестные Уязвимости".
В бюллетене описывается процесс нацеливания субъектами КНР на телеком компании первого звена и сопутствующих поставщиков сетевых услуг, затем воспользовавшись уязвимости, которые являются повсеместно известными и скомпрометировали оных.
Также, после эксплуатации известных уязвимостей, удалось создать большие инфраструктурные цели для эксплуатации широкого спектра целей, начиная от частного и заканчивая государственными секторами. Причём ещё был задеты и телекоммуникационные провайдеры.
Ещё в работе описывается команды, выполняемые злоумышленника для создания инфраструктуры, и что не мало важно - рассказывается каким образом смягчить последствия путём: применение патчей безопасности, отключение неиспользуемых(ненужных) портов/протоколов и избавление от старого барахла в лице отслужившей свой срок сетевой инфраструктуре. После выполнения этих базовых вещей не стоит забывать про логинизирование интернет-служб и доступов к сетевой инфраструктуре. Можно ещё отметить про использование MFA для всех пользователей без исключения, а также использовать её для подключения к VPN, либо генерировать криптосойкие пароли, причём меняя их периодически.
Вроде бы советы и простые, однако даже их не придерживаются не только простые пользователи, но и крупные компании, в России с этим очень плохо, конечно, есть игроки, соблюдающие простейшие меры безопасности, но в большинстве своём используются слабые пароли, софт не обновляется вовремя, VPN настроен ужасно(заводские конфигурации), вообщем, можно до бесконечности говорить.
Вот выходят не рекомендации, а призывы к действию от CISA, при не выполнении которых компания теряет деньги вследствие полученных штрафов/временный запрет на осуществление всяких действий с оказанием услуг и не только, как пример можно привести
директиву 22-03 (🖱тык🖱) от CISA.#FBI #CISA #NSA #CVE #router #PRC
👍1
|PRC State-Sponsored Exploitation of Network Providers, Devices|
😉The schizo is happy.
🇺🇸The NSA, CISA and the FBI have rolled out a new work (bulletin) from the CSA series about Chinese cybercriminals sponsored by the state and using network providers and devices for their needs, which is a logical continuation of the NSA's work "Chinese State-Sponsored Cyber Operations: Observed TTPs " and "Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities"
The bulletin describes the process of targeting first-tier telecom companies and related network service providers by the subjects of the PRC, then taking advantage of vulnerabilities that are universally known and have compromised them.
Also, after exploiting known vulnerabilities, it was possible to create large infrastructure targets for exploiting a wide range of targets, ranging from private to public sectors. Moreover, telecommunications providers were also affected.
The work also describes the commands executed by an attacker to create an infrastructure, and what is not a little important - it tells how to mitigate the consequences by: applying security patches, disabling unused (unnecessary) ports/protocols and getting rid of old junk in the face of a network infrastructure that has served its time. After completing these basic things, do not forget about logging in Internet services and access to the network infrastructure. You can also mention the use of MFA for all users without exception, as well as use it to connect to a VPN, or generate cryptographic passwords, and changing them periodically.
It seems that the tips are simple, but even they are not followed not only by ordinary users, but also by large companies, this is very bad in Russia, of course, there are players who observe the simplest security measures, but for the most part weak passwords are used, software is not updated on time, VPN is configured terribly (factory configurations), in general, you can talk endlessly.
Here are not recommendations, but calls to action from CISA, in case of non-fulfillment of which the company loses money due to fines received / a temporary ban on performing any actions with the provision of services and not only, as an example,
#FBI #CISA #NSA #CVE #router #PRC
😉The schizo is happy.
🇺🇸The NSA, CISA and the FBI have rolled out a new work (bulletin) from the CSA series about Chinese cybercriminals sponsored by the state and using network providers and devices for their needs, which is a logical continuation of the NSA's work "Chinese State-Sponsored Cyber Operations: Observed TTPs " and "Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities"
The bulletin describes the process of targeting first-tier telecom companies and related network service providers by the subjects of the PRC, then taking advantage of vulnerabilities that are universally known and have compromised them.
Also, after exploiting known vulnerabilities, it was possible to create large infrastructure targets for exploiting a wide range of targets, ranging from private to public sectors. Moreover, telecommunications providers were also affected.
The work also describes the commands executed by an attacker to create an infrastructure, and what is not a little important - it tells how to mitigate the consequences by: applying security patches, disabling unused (unnecessary) ports/protocols and getting rid of old junk in the face of a network infrastructure that has served its time. After completing these basic things, do not forget about logging in Internet services and access to the network infrastructure. You can also mention the use of MFA for all users without exception, as well as use it to connect to a VPN, or generate cryptographic passwords, and changing them periodically.
It seems that the tips are simple, but even they are not followed not only by ordinary users, but also by large companies, this is very bad in Russia, of course, there are players who observe the simplest security measures, but for the most part weak passwords are used, software is not updated on time, VPN is configured terribly (factory configurations), in general, you can talk endlessly.
Here are not recommendations, but calls to action from CISA, in case of non-fulfillment of which the company loses money due to fines received / a temporary ban on performing any actions with the provision of services and not only, as an example,
directive 22-03(🖱click🖱) from CISA can be cited.#FBI #CISA #NSA #CVE #router #PRC
|DFTimewolf |
🕵️♂️Довольно удобная во всех смыслах платформа для форензик - специалиста, позволяющая не затрачивая много сил, собирать, обрабатывать и экспортировать данные в ходе криминалистического анализа.
Есть статья про исследование GKE контейнера, где в одном из этапов используется dftimewolf, так что можно посмотреть как используется в рабочем процессе.
💥Установка донельзя простая:
загружаем, как и любой другой репозиторий к себе на машину в нужную дерикторию
🕵️♂️A fairly convenient platform for a forensic specialist in every sense, which allows you to collect, process and export data during forensic analysis without spending a lot of effort.
There is an article about the Investigating a GKE Container, where dftimewolf is used in one of the stages, so you can see how it is used in the workflow.
💥Installation is extremely simple:
upload, like any other repository to your machine in the right directory
#forensics
🕵️♂️Довольно удобная во всех смыслах платформа для форензик - специалиста, позволяющая не затрачивая много сил, собирать, обрабатывать и экспортировать данные в ходе криминалистического анализа.
Есть статья про исследование GKE контейнера, где в одном из этапов используется dftimewolf, так что можно посмотреть как используется в рабочем процессе.
💥Установка донельзя простая:
загружаем, как и любой другой репозиторий к себе на машину в нужную дерикторию
git clone https://github.com/log2timeline/dftimewolf.git
&& cd dftimewolf
затем устанавливаем необходимые модули/пакеты с помощью питоновского пакетного менеджераpip3 install -r requirements.txtЛибо в одну команду:
pip install -e .
python3 setup.py install
Воспользуемся распространенным флагом "-h" и получим информацию о рецептахdftimewolf -hИли можем получить информацию по конкретному рецепту:
dftimewolf имя_рецепта -hОбычно рецепт запускается с несколькими аргументами:
dftimewolf название_рецепта аргумент1 аргумент2 аргумент3 --optarg1 optvalue1Пример со сбором активности в браузере:
dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistoryПро архитектуру фреймворка можно почитать 🔘тут🔘
🕵️♂️A fairly convenient platform for a forensic specialist in every sense, which allows you to collect, process and export data during forensic analysis without spending a lot of effort.
There is an article about the Investigating a GKE Container, where dftimewolf is used in one of the stages, so you can see how it is used in the workflow.
💥Installation is extremely simple:
upload, like any other repository to your machine in the right directory
git clone https://github.com/log2timeline/dftimewolf.git
&& cd dftimewolf
then install the necessary modules/packages using Python package managerpip3 install -r requirements.txtOr in one command:
pip install -e .
python3 setup.py installLet's use the common flag "-h" and get information about the recipes
dftimewolf -hOr we can get information on a specific recipe:
dftimewolf prescription name -hUsually a recipe is run with several arguments:
dftimewolf recipe_name argument1 argument2 argument3 --optarg1 optvalue1Example with collecting activity in the browser:
dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistoryYou can read about the architecture of the framework 🔘here🔘
#forensics
👍1