ANY.run выпустили статью, как оформить отчет об анализе малваре.
Основные пункты:
Общая информация: основные результаты исследования, название, происхождение, характеристики.
Основная информация: тип малвари, имя файла, размер, возможности обнаружения AV.
Хэши: MD5, SHA1, SHA256, SSDEEP …
Характеристики: заражение, самосохранение, распространение, взаимодействие с серверами, сбор данных.
Зависимости: требуемая ОС, установленное ПО, DLL, URL-адреса, скрипты.
Поведение: какие исполняемые файлы удаляет ВПО, проверяет ли она язык системы, запускает ли внедренный код в другом процессе или изменяет какие-либо настройки.
Статическая информация: анализ кода, заголовки.
Дополнительные данные: скриншоты, логи, выдержки из строк.
IOC: индикаторы компрометации для обнаружения и предотвращения проникновения.
#notes
Основные пункты:
Общая информация: основные результаты исследования, название, происхождение, характеристики.
Основная информация: тип малвари, имя файла, размер, возможности обнаружения AV.
Хэши: MD5, SHA1, SHA256, SSDEEP …
Характеристики: заражение, самосохранение, распространение, взаимодействие с серверами, сбор данных.
Зависимости: требуемая ОС, установленное ПО, DLL, URL-адреса, скрипты.
Поведение: какие исполняемые файлы удаляет ВПО, проверяет ли она язык системы, запускает ли внедренный код в другом процессе или изменяет какие-либо настройки.
Статическая информация: анализ кода, заголовки.
Дополнительные данные: скриншоты, логи, выдержки из строк.
IOC: индикаторы компрометации для обнаружения и предотвращения проникновения.
#notes
ANY.RUN's Cybersecurity Blog
Malware Analysis Report in One Click - ANY.RUN's Cybersecurity Blog
Read how to use ANY.RUN sandbox's features to the fullest and write malware analysis report maximally informative in one click.
❤2👍2🔥2
Так о чем будет канал?) Будет обзор новостей кибербеза и трендов ТТП, правил обнаружения, буду проводить некий solo purple team)) поатакуем, постараемся обнаружить себя и попатчим известные тулы, чтобы оставаться скрытными 🙈
А для кого?) Основной упор будет на экспертов/аналитиков SOC, пентестеров и админов
А для кого?) Основной упор будет на экспертов/аналитиков SOC, пентестеров и админов
❤3👍3🔥2
Detection engineering можно описать как набор процессов, которые позволяют обнаружить потенциальные угрозы в инфраструктуре.
Процессы описывают жизненный цикл:
1. сбор требований к обнаружению
2. разработка и тестирование правил и политики обнаружения
3. внедрение результатов п.2
4. Проверка (валидация) эффективности внедренных правил
#notes@detectioneasy
#detection@detectioneasy
Процессы описывают жизненный цикл:
1. сбор требований к обнаружению
2. разработка и тестирование правил и политики обнаружения
3. внедрение результатов п.2
4. Проверка (валидация) эффективности внедренных правил
#notes@detectioneasy
#detection@detectioneasy
👍5❤1🔥1
К моему не знаю, только сейчас обнаружил ресурс https://attackrulemap.com/.
Чем он полезен? Автор смапил тесты atomic red team, правила Sigma и Splunk. Атакующие, могут изучать соответствующие способы обнаружения их атак, или использовать в отчетах для выдачи рекомендаций. Синей стороне будет полезно для разработки детектирующей логики и поиска тестов для валидации правил)
#notes
#tools
Чем он полезен? Автор смапил тесты atomic red team, правила Sigma и Splunk. Атакующие, могут изучать соответствующие способы обнаружения их атак, или использовать в отчетах для выдачи рекомендаций. Синей стороне будет полезно для разработки детектирующей логики и поиска тестов для валидации правил)
#notes
#tools
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
❤1👍1🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - SigmaHQ/sigma: Main Sigma Rule Repository
Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
❤1👍1🔥1
Вышел недельный обзор THIS WEEK IN 4N6, из интересного:
🔤 набор статей про закрепы в Linux (обсудим подробнее чуть позже)
🔤 Как найти инстансы GoPhish?) Или почему атакующим, нужно знать чем они пользуются)
🔤 обнаружение вредоносных DLL с помощью AI модели - DeepDLL
Please open Telegram to view this post
VIEW IN TELEGRAM
This Week In 4n6
Week 01 – 2025
Akash Patel SentinelOne(P7- Activity/Reports): A Practical Guide/An Practical Training SentinelOne (P8- SentinelOne Automation) : Guide / Training to Forensic Collection, KAPE… SentinelOne(P9- Sett…
👍4❤1🔥1
На Хабре статья про утилиты Didier Steven’s https://habr.com/ru/companies/ruvds/articles/869680/.
Если кто-то хотел раз хотел провести анализ вредоносных документов или pdf-файлов, сталкивались с
Если кто-то хотел раз хотел провести анализ вредоносных документов или pdf-файлов, сталкивались с
oledump, pdf-parser, rtfdumpХабр
Хакерские утилиты Дидье Стивенса
Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows , анализу документов PDF и внедрению...
👍4❤1🔥1
Detection is easy
Detection engineering можно описать как набор процессов, которые позволяют обнаружить потенциальные угрозы в инфраструктуре. Процессы описывают жизненный цикл: 1. сбор требований к обнаружению 2. разработка и тестирование правил и политики обнаружения…
Хабр
Detection is easy. Устанавливаем Elastiflow для поиска угроз в сети
Введение Начнем серию статей под названием Detection is easy , посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале . Один из этапов DE - определение источников событий и...
👍4❤1🥰1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
❤1👍1🔥1
Как думаете почему атакующие все еще используют cmd и bat🔤 Я думаю одна из причин, это отсутствие проверки в AMSI, как для других скриптовых-движков у Microsoft. В отчете ЛК злоумышленники, используют cmd для постэксплуатации (сбора информации о хосте, домене), закреплении в системе, и для взаимодействия с сервером управления 😒
#ttp@detectioneasy
#tools@detectioneasy
#ttp@detectioneasy
#tools@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
The EAGERBEE backdoor may be related to the CoughingDown actor
Kaspersky researchers analyze EAGERBEE backdoor modules, revealing a possible connection to the CoughingDown APT actor.
👍3
На Хакатон хакнутых сервисов для Standoff365 я с командой делал сервис с уязвимой LLM. OWASP обновил TOP10 и Hackerone провел аналитику, что изменилось) Прикольно, что OWASP включили LLM09, который был - Чрезмерная уверенность в ответе LLM, а стало Дезинформация 🚫 . При использовании генеративных моделей стоит помнить, что у них могут быть галлюцинации, и не принимать их ответы за истину
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
5HM3L
😆 Объявляем победителей хакатона hackнутых сервисов!
Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь…
Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь…
Detection is easy
Как думаете почему атакующие все еще используют cmd и bat🔤 Я думаю одна из причин, это отсутствие проверки в AMSI, как для других скриптовых-движков у Microsoft. В отчете ЛК злоумышленники, используют cmd для постэксплуатации (сбора информации о хосте, домене)…
Обнаружение подобной активности, возможно при наличии правил корреляции для:
🔤 создания новых *.cmd и *.bat файлов
🔤 выполнения команд из LOLBAS
🔤 запуска утилит для архивирования из консоли
Красная сторона может использовать обфускацию для выполнения команд cmd, чтобы сломать обнаружение)💪
#ttp@detectioneasy
#detection@detectioneasy
Красная сторона может использовать обфускацию для выполнения команд cmd, чтобы сломать обнаружение)
#ttp@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Продолжим тему Detection Engineering 🔤 🔤
В начале своего пути специалисты пытаются собрать события из каждого «утюга» в инфраструктуре, забывая о стоимости такого подхода и о задаче недопустить наступления недопустимых (критических, нежелательных) событий🤠 на ранних этапах. Иногда это происходит из-за отсутствия выстроенных процессов, отсутствия наставника, а иногда — из-за здравого интереса к новым типам событий и возможным корреляциям с ними.
Как и везде, есть одно НО 🚫: ресурсы для хранения событий не безграничны, и велика вероятность пропустить что-то важное. Стоит учитывать влияние каждой такой "хотелки" на общее состояние системы. Вспоминая составляющие SOC — люди, процессы и технологии — стоит обратить внимание на место процессов. При отсутствии у тебя выстроенных процессов определения источников событий, типов событий, их предназначения, подключения источников, разработки под них правил нормализации и т.п., скорее всего, у тебя будет некий бардак🤮
#notes@detectioneasy
#detection@detectioneasy
В начале своего пути специалисты пытаются собрать события из каждого «утюга» в инфраструктуре, забывая о стоимости такого подхода и о задаче недопустить наступления недопустимых (критических, нежелательных) событий
Как и везде, есть одно НО 🚫: ресурсы для хранения событий не безграничны, и велика вероятность пропустить что-то важное. Стоит учитывать влияние каждой такой "хотелки" на общее состояние системы. Вспоминая составляющие SOC — люди, процессы и технологии — стоит обратить внимание на место процессов. При отсутствии у тебя выстроенных процессов определения источников событий, типов событий, их предназначения, подключения источников, разработки под них правил нормализации и т.п., скорее всего, у тебя будет некий бардак
#notes@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Vermilion - утилита для постэсплуатации в Linux. Основные возможности:
🔤 сбор сведений об операционной системе, имени хоста, конфигурации сети, IP-адресах, активных подключениях
🔤 сборает доступные переменные среды.
🔤 собирает каталоги и файлы о .ssh, .bash_history, .zsh_history, .aws, .docker, .kube, .azure, .gnupg, .git, /etc/passwd, /etc/shadow, /etc/group, /etc/hostname, /etc/hosts, /etc/ssl и cron
В результате работы создается архив для эксфильтрации сторонней утилитой или встроенным сопосбом POST-запросом
#tools@detectioneasy
#ttp@detectioneasy
В результате работы создается архив для эксфильтрации сторонней утилитой или встроенным сопосбом POST-запросом
#tools@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - R3DRUN3/vermilion: Linux post exploitation tool for info gathering and exfiltration 🐧📡💀
Linux post exploitation tool for info gathering and exfiltration 🐧📡💀 - R3DRUN3/vermilion
Кому интересно про использование LLM-агентов сегодня в 19:00 воркшоп) должно быть интересно
Forwarded from PWN AI (Artyom Semenov)
Напоминаю про воркшоп ). Приходите, будет интересно.
Тем, кому нужен API ключ, пожалуйста, дайте ответ в опросе - https://forms.yandex.ru/u/6776e572f47e734fd1193cf5/. На ваши email не будет потом поступать странная реклама😁 .
Тем, кому нужен API ключ, пожалуйста, дайте ответ в опросе - https://forms.yandex.ru/u/6776e572f47e734fd1193cf5/. На ваши email не будет потом поступать странная реклама
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда вы последний раз проверяли свои vps/vds на базовые требования к безопасности?) пришло время провести аудит https://github.com/vernu/vps-audit
#tools@detectioneasy
#tools@detectioneasy
GitHub
GitHub - vernu/vps-audit: lightweight, dependency-free bash script for security, performance auditing and infrastructure monitoring…
lightweight, dependency-free bash script for security, performance auditing and infrastructure monitoring of Linux servers. - vernu/vps-audit
Очередное исследование про поиск инфраструктуры злоумышленников 😂 , и почему нужно разбираться в используемых С2.
Sliver использует по умолчанию одинаковые порты:
🔤 🔤
Информация в сертификате тоже не изменяется:
#ttp@detectioneasy
Sliver использует по умолчанию одинаковые порты:
443 - Связь по https с имплантом
80 - связь по http с имплантом
8080 - связь по http с имплантом
8888 - связь по http с имплантом
31337 - порт многопользовательского сервера C&C
1337 - порт многопользовательского сервера C&CИнформация в сертификате тоже не изменяется:
ssl:"CN=operators" ssl:"CN=multiplayer"
services.tls.ja3s: 475c9302dc42b2751db9edcac3b74891 AND services.tls.certificates.leaf_data.subject_dn="CN=multiplayer"
#notes@detectioneasy #ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Substack
Sliver C2 Hunt
From default ports to JA3S fingerprints
👍2
В прошлый раз мы рассмотрели способы поиска C&C Sliver. Исследователи на GitHub озаботились защитой от абьюза их серверов и начали разработку новых возможностей в форке Sliver, нацеленном на скрытность от обнаружения better-sliver 🔤 🔤 🔤 🔤 🔤
#notes@detectioneasy
#ttp@detectioneasy
#notes@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - gsmith257-cyber/better-sliver: Adversary Emulation Framework
Adversary Emulation Framework. Contribute to gsmith257-cyber/better-sliver development by creating an account on GitHub.