Detection is easy
Detection engineering можно описать как набор процессов, которые позволяют обнаружить потенциальные угрозы в инфраструктуре. Процессы описывают жизненный цикл: 1. сбор требований к обнаружению 2. разработка и тестирование правил и политики обнаружения…
Хабр
Detection is easy. Устанавливаем Elastiflow для поиска угроз в сети
Введение Начнем серию статей под названием Detection is easy , посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале . Один из этапов DE - определение источников событий и...
👍4❤1🥰1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
❤1👍1🔥1
Как думаете почему атакующие все еще используют cmd и bat🔤 Я думаю одна из причин, это отсутствие проверки в AMSI, как для других скриптовых-движков у Microsoft. В отчете ЛК злоумышленники, используют cmd для постэксплуатации (сбора информации о хосте, домене), закреплении в системе, и для взаимодействия с сервером управления 😒
#ttp@detectioneasy
#tools@detectioneasy
#ttp@detectioneasy
#tools@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
The EAGERBEE backdoor may be related to the CoughingDown actor
Kaspersky researchers analyze EAGERBEE backdoor modules, revealing a possible connection to the CoughingDown APT actor.
👍3
На Хакатон хакнутых сервисов для Standoff365 я с командой делал сервис с уязвимой LLM. OWASP обновил TOP10 и Hackerone провел аналитику, что изменилось) Прикольно, что OWASP включили LLM09, который был - Чрезмерная уверенность в ответе LLM, а стало Дезинформация 🚫 . При использовании генеративных моделей стоит помнить, что у них могут быть галлюцинации, и не принимать их ответы за истину
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
5HM3L
😆 Объявляем победителей хакатона hackнутых сервисов!
Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь…
Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь…
Detection is easy
Как думаете почему атакующие все еще используют cmd и bat🔤 Я думаю одна из причин, это отсутствие проверки в AMSI, как для других скриптовых-движков у Microsoft. В отчете ЛК злоумышленники, используют cmd для постэксплуатации (сбора информации о хосте, домене)…
Обнаружение подобной активности, возможно при наличии правил корреляции для:
🔤 создания новых *.cmd и *.bat файлов
🔤 выполнения команд из LOLBAS
🔤 запуска утилит для архивирования из консоли
Красная сторона может использовать обфускацию для выполнения команд cmd, чтобы сломать обнаружение)💪
#ttp@detectioneasy
#detection@detectioneasy
Красная сторона может использовать обфускацию для выполнения команд cmd, чтобы сломать обнаружение)
#ttp@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Продолжим тему Detection Engineering 🔤 🔤
В начале своего пути специалисты пытаются собрать события из каждого «утюга» в инфраструктуре, забывая о стоимости такого подхода и о задаче недопустить наступления недопустимых (критических, нежелательных) событий🤠 на ранних этапах. Иногда это происходит из-за отсутствия выстроенных процессов, отсутствия наставника, а иногда — из-за здравого интереса к новым типам событий и возможным корреляциям с ними.
Как и везде, есть одно НО 🚫: ресурсы для хранения событий не безграничны, и велика вероятность пропустить что-то важное. Стоит учитывать влияние каждой такой "хотелки" на общее состояние системы. Вспоминая составляющие SOC — люди, процессы и технологии — стоит обратить внимание на место процессов. При отсутствии у тебя выстроенных процессов определения источников событий, типов событий, их предназначения, подключения источников, разработки под них правил нормализации и т.п., скорее всего, у тебя будет некий бардак🤮
#notes@detectioneasy
#detection@detectioneasy
В начале своего пути специалисты пытаются собрать события из каждого «утюга» в инфраструктуре, забывая о стоимости такого подхода и о задаче недопустить наступления недопустимых (критических, нежелательных) событий
Как и везде, есть одно НО 🚫: ресурсы для хранения событий не безграничны, и велика вероятность пропустить что-то важное. Стоит учитывать влияние каждой такой "хотелки" на общее состояние системы. Вспоминая составляющие SOC — люди, процессы и технологии — стоит обратить внимание на место процессов. При отсутствии у тебя выстроенных процессов определения источников событий, типов событий, их предназначения, подключения источников, разработки под них правил нормализации и т.п., скорее всего, у тебя будет некий бардак
#notes@detectioneasy
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Vermilion - утилита для постэсплуатации в Linux. Основные возможности:
🔤 сбор сведений об операционной системе, имени хоста, конфигурации сети, IP-адресах, активных подключениях
🔤 сборает доступные переменные среды.
🔤 собирает каталоги и файлы о .ssh, .bash_history, .zsh_history, .aws, .docker, .kube, .azure, .gnupg, .git, /etc/passwd, /etc/shadow, /etc/group, /etc/hostname, /etc/hosts, /etc/ssl и cron
В результате работы создается архив для эксфильтрации сторонней утилитой или встроенным сопосбом POST-запросом
#tools@detectioneasy
#ttp@detectioneasy
В результате работы создается архив для эксфильтрации сторонней утилитой или встроенным сопосбом POST-запросом
#tools@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - R3DRUN3/vermilion: Linux post exploitation tool for info gathering and exfiltration 🐧📡💀
Linux post exploitation tool for info gathering and exfiltration 🐧📡💀 - R3DRUN3/vermilion
Кому интересно про использование LLM-агентов сегодня в 19:00 воркшоп) должно быть интересно
Forwarded from PWN AI (Artyom Semenov)
Напоминаю про воркшоп ). Приходите, будет интересно.
Тем, кому нужен API ключ, пожалуйста, дайте ответ в опросе - https://forms.yandex.ru/u/6776e572f47e734fd1193cf5/. На ваши email не будет потом поступать странная реклама😁 .
Тем, кому нужен API ключ, пожалуйста, дайте ответ в опросе - https://forms.yandex.ru/u/6776e572f47e734fd1193cf5/. На ваши email не будет потом поступать странная реклама
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда вы последний раз проверяли свои vps/vds на базовые требования к безопасности?) пришло время провести аудит https://github.com/vernu/vps-audit
#tools@detectioneasy
#tools@detectioneasy
GitHub
GitHub - vernu/vps-audit: lightweight, dependency-free bash script for security, performance auditing and infrastructure monitoring…
lightweight, dependency-free bash script for security, performance auditing and infrastructure monitoring of Linux servers. - vernu/vps-audit
Очередное исследование про поиск инфраструктуры злоумышленников 😂 , и почему нужно разбираться в используемых С2.
Sliver использует по умолчанию одинаковые порты:
🔤 🔤
Информация в сертификате тоже не изменяется:
#ttp@detectioneasy
Sliver использует по умолчанию одинаковые порты:
443 - Связь по https с имплантом
80 - связь по http с имплантом
8080 - связь по http с имплантом
8888 - связь по http с имплантом
31337 - порт многопользовательского сервера C&C
1337 - порт многопользовательского сервера C&CИнформация в сертификате тоже не изменяется:
ssl:"CN=operators" ssl:"CN=multiplayer"
services.tls.ja3s: 475c9302dc42b2751db9edcac3b74891 AND services.tls.certificates.leaf_data.subject_dn="CN=multiplayer"
#notes@detectioneasy #ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Substack
Sliver C2 Hunt
From default ports to JA3S fingerprints
👍2
В прошлый раз мы рассмотрели способы поиска C&C Sliver. Исследователи на GitHub озаботились защитой от абьюза их серверов и начали разработку новых возможностей в форке Sliver, нацеленном на скрытность от обнаружения better-sliver 🔤 🔤 🔤 🔤 🔤
#notes@detectioneasy
#ttp@detectioneasy
#notes@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - gsmith257-cyber/better-sliver: Adversary Emulation Framework
Adversary Emulation Framework. Contribute to gsmith257-cyber/better-sliver development by creating an account on GitHub.
Перед формированием требований к процессам обнаружения атак необходимо определить их источники.
Источниками могут выступать:
Давайте рассмотрим несколько примеров:
Результаты должны передаваться для ознакомления команде SOC.
Red Team удалось остаться незамеченными при закреплении на хосте через WMI-подписки. Рекомендация для SOC - проверить наличие правила корреляции, при его наличии, проверить корректность работы.
При выявлении новых ТТП группировок за которыми следим, передавать разработчикам правил корреляции информацию о ТТП
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
evil-go 😈 is a fork of go with some tweaks here and there to generate more stealthy binaries. It mainly includes, IAT hiding and GoReSym evasion.
https://github.com/almounah/evil-go/
#tools@detectioneasy
#ttp@detectioneasy
https://github.com/almounah/evil-go/
#tools@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - almounah/evil-go: A fork of the Go language with some tweaks
A fork of the Go language with some tweaks. Contribute to almounah/evil-go development by creating an account on GitHub.
👍3
Всегда интересно почитать вопросы на собеседования, чтобы проверить свои знания) и сделать небольшой срез, что нужно подучить)
Forwarded from README.hta
Еще в том году я неоднократно натыкалась на публикации с вопросами с реальных собеседований в различных сферах ИБ, именно на русском языке и от наших ребят (1,2)
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
Решила тоже немного накидать примеров по своему направлению, то есть вопросов, которые я могу задать кандидату ко мне в команду. И кстати, да, я - большой адепт точки зрения, что респондер - это не просто про умение форензить в масштабах энтерпрайза. Опять эта модель OSI, скажете вы, да и вообще, зачем мне знать, как админить домен?
А я вам отвечу: вы приходите не просто локализовать инцидент и залатать дыры. Вы работаете с администраторами рука об руку: как вы будете давать им рекомендации по улучшению защищенности, совсем не понимая того, что защищаете? Не говоря уже о том, что администраторы тоже не могут всего знать, и вы должны уметь технически сопровождать свои же рекомендации
Короч! Смысл вы поняли, поэтому мой примерный пул вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике - здесь
Все уже слышали про ldapnightmare 😈 в очередной раз хайповый POC, выложенный на GitHub оказался стиллером)
По TTP ничего интересного нет:
🔤 после запуска бинаря, в Temp создается ps1-скрипт
🔤 закреп через задачу
🔤 для исполнения команд используется Powershell
🔤 для загрузки очередного этапа использовался Pastebin
🔤 эксфильтрация через ftp (в большинстве случаев отработает, тк стиллер рассчитан на безопасников и админов)
IOC:
По TTP ничего интересного нет:
IOC:
ef4ba8eef919251f7502c7e66926bb3a5422065b poc.exe (UPX-packed)
d4a35487b95cc2b44395047717358bb2863a5311 Dropped PowerShell script
ftp[:]//ftp[.]drivehq[.]com/wwwhome/ FTP server
ftp[:]//ftpupload[.]net/htdocs FTP server
hxxps[:]//pastebin[.]com/raw/9TxS7Ldc Pastebin
#ttp@detectioneasyPlease open Telegram to view this post
VIEW IN TELEGRAM
Trend Micro
Information Stealer Masquerades as LDAPNightmare (CVE-2024-49113) PoC Exploit
Our blog entry discusses a fake PoC exploit for LDAPNightmare (CVE-2024-49113) that is being used to distribute information-stealing malware.
😁4
В прошлый раз мы рассмотрели примеры источников требований к обнаружению.
Давай попробуем сформулировать общее описание требований:
заказчик, соседний департамент, результат red team. с указанием контактного лица (тг, почта, чат …)
описание активности или события, которое необходимо обнаруживать (если есть возможность сразу на техническом языке)
указать причину, по которой требуется разработка нового правила обнаружения. скорее всего они будут определены заранее, исходя из источников требований
описание легитимной активности, или белых списков для правила
#detection@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2