⚡️Как искать признаки использования Sliver?

Лаборатория кибербезопасности компании AP Security подготовила для вас статью про способы обнаружения C2-фреймворка Sliver. Любому аналитику SOC или цифровому криминалисту важно знать и уметь находить следы работы различных инструментов хакеров🧑‍💻

📣Ссылка на статью:
https://habr.com/ru/articles/781478/

#forensics #tools #soc #byapsecurity

#forensics #soc #tools

Forensictools - это набор инструментов, предназначенный для цифровой криминалистики и предлагающий широкий спектр возможностей для сотрудника расследования инцидентов 🔍

Его основная цель - упростить создание виртуальной среды для проведения криминалистических экспертиз.

➡️ Это своего рода чемоданчик, собранный в готовый exe, в котором лежат базовые инструменты криминалиста: от hex editor до работы с хэшем, анализ бинарных файлов ( знаменитый detect it easy) и обработка артефактов windows, а также многое и многое другое.

Скачать данный набор и изучить весь его спектр можно по ссылочке на GitHub.

📶 Поделиться мнением о данном инструменте или обсудить волнующий вопрос с единомышленниками можно в чате канала AP Security.

#forensics #soc

Легитимные процессы Windows: страшно ли это и как начать разбираться?✅

➡️ Коротко, ясно, с внимание к деталям автор делится базой, расширяет кругозор обычного пользователя и приучает к анализу системных процессов Windows ( в том числе речь заходит и про пресловутый svchost.exe 🖥)

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Приятного прочтения 📌

#redteam #pentest #forensics

Bypass UAC: эксплуатация и детектирование🎭

UAC bypass - один из важнейших шагов для выполнения функций с повышенными привилегиями для достижения целей пентеста. Этот механизм как раз предотвращает такие действия

Статья опишет не только методы и способы выполнения данной техники, но и также расскажет как детектировать данные действия злоумышленника

UAC Bypass

#pentest #redteam #forensics

UAC Bypass: эксплуатация и детектирование. Часть 2🔍

Продолжение статьи, затрагивающей эксплуатацию и обнаружение данной техники. На этот раз тема будет касаться таких методик как Shell API, UIPI bypass, APIINFO command line spoofing и другие

UAC Bypass Part 2

Навигация по каналу AP Security🔍

https://t.me/ap_security_chat - чат канала

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Red Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - Bug Bounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#application - материалы из области безопасной разработки

#realcase - реальные кейсы из практики специалистов

#soc #forensics #windows

Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket🖥

В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации

DCOMExec

#forensics #linux

Цифровая криминалистика под Linux🐥

В статье содержатся основные приемы расследования инцидентов для ОС семейства Linux. Вы узнаете, какие контрольные точки нужно проверять для успешного поиска артефактов и следов компрометации системы

Linux Forensics

#forensics #soc #windows

Что такое RPC и как отслеживать его использование🖥

RPC - Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия IPC

В статье будут освещены основные протоколы, использующие технологию IPC, а также нахождение следов их применения в системе

RPC

#forensics #soc

🐺Обзор атаки хакеров Sticky Werewolf

F.A.C.C.T подготовила отчет о действиях проукраинской хакерской группировки Sticky Werewolf, действия которой были направлены против государственных учреждений России, Беларуси и Польши

Общая цепочка атаки выглядит следующим образом: после загрузки и запуска исполняемого файла происходит запуск архива, содержащего обфусцированный BAT-скрипт с именем Grave и 10 файлов. Данный скрипт собирает из них легитимный AutoIt интерпретатор и AutoIt скрипт, а затем запускает собранный скрипт при помощи собранного интерпретатора. Затем в процесс Recognition.pif внедряется полезная нагрузка – Rhadamanthys Stealer (основной модуль), отвечающая за разворачивание в памяти различных модулей Rhadamanthys, а также внедрение своего кода в процесс dialer.exe, загрузку с C2-сервера модуля стилера и его запуск в памяти процесса dialer.exe

Хабр 🖥

#soc #forensics

⏺Digital Forensics and Incident Response

📌 В представленном файле собраны разнообразные команды и понятия, сгруппированные автором на основе опыта, учебных пособий, интернет-блогов, видеороликов на YouTube, чтения руководства и многого другого.
💬 Данный документ служит в качестве краткого справочника по командам, инструментам и общим вопросам, представляющим интерес при при проведении расследования инцидентов.

Привет 👋, ты на канале компании AP Security, интегратора услуг информационной безопасности.

Меня зовут B0zm4n, и я талисман лаборатории инновационных технологий и кибербезопасности.

Располагайся поудобнее, я расскажу тебе, как у меня всё устроено ☕️

https://t.me/ap_security_chat - чат канала, где можно пообщаться с комьюнити на интересующие вопросы (главное не стесняться)

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Red Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - Bug Bounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#application - материалы из области безопасной разработки

#realcase - реальные кейсы из практики специалистов

➡️ Если ты хочешь стать частью нашего коллектива, пообщаться с представителями лаборатории, либо же обсудить сотрудничество, то мы с радостью ответим по следующим адресам 📞:

@ap_security_admin
zdm@apsecurity.ru

Я очень рад, что мы познакомились🔥 Не забывай поставить уведомление о новых постах!

With love, B0zm4n😏

#forensics

📡 Kdrill

Инструмент на Python для проверки руткитов в ядре Windows.

Kdrill получает доступ к физической памяти и декодирует внутренние структуры ОС, чтобы исследовать их и проверить целостность.