Всем привет 💻 ✌️
Давайте познакомимся со статьей trustedsec про использование встроенных VPN-клиентов в Windows.
Windows из коробки поддерживает клиенты для PPTP, L2TP, SSTP, IKev2 - не нужно приносить с собой сторонний клиент для организации доступа
🔭 Все не так страшно, мы можем относительно легко обнаружить такое поведение:
🔤 Доступ к файлу rasphone.pbk в:
предварительно нужно настроить DACL
🔤 Отслеживаем события:
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся со статьей trustedsec про использование встроенных VPN-клиентов в Windows.
Windows из коробки поддерживает клиенты для PPTP, L2TP, SSTP, IKev2 - не нужно приносить с собой сторонний клиент для организации доступа
%appdata%\Microsoft\Network\Connections\Pbk\
C:\Users\All Users\Microsoft\Network\Connections\Pbk\rasphone.pbk
C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk
предварительно нужно настроить DACL
Channel="Application" and ProviderName="RasClient" and (EventId = 20221 or EventId = 20222)
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6👍3🥰3🤔1
DE Q2 2025.pdf
43.7 MB
Всем привет 💻 ✌️
Журнал за Q2
Журнал за Q2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥5🤔2🍌2
Всем привет 💻 ✌️
Давайте познакомимся с C2-фреймворком OnionC2
Основное преимущество
🔭 Для формирования гипотез обнаружения и Threat Hunting обратим внимание на следующие особенности агента:
🔤 Для проверки реального IP-адреса агент использует сервис
🔤 Из коробки идет два варианта закрепа - реестр и
🔤 Для реестра, стандартно, отслеживаем создание ключей в
🔤
🔤 Для выполнения команд используется
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся с C2-фреймворком OnionC2
Основное преимущество
OnionC2 перед аналогами, по мнению автора, — это использование сети Tor для связи сервера и клиента.By utilizing the Tor network, it ensures that communications between the C2 server and remote systems remain secure, anonymous, and available
https://checkip.amazonaws.comShortcut Takeover*\Software\\Microsoft\\Windows\\CurrentVersion\Run\, имя ключа - Agent Shortcut Takeover - для изменения (или создания нового) используется ярлык %USERPROFILE%\Desktop\Microsoft Edge, целевой файл ярлыка - путь до агента, а значение аргумента - --run-lnk, укажет агенту запустить C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.execmd.exe /C#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍3🤔2
Всем привет 💻 ✌️
Сталкивались ли вы с ситуацией, когда при расследовании инцидента цепочка приводит к хосту, который уже успели переустановить?😱
Вспомнил полезное видео с PHD и решил дополнить список инструментов, которые помогут в таких случаях:
🔍 Основные из видео:
🔤 r-studio
🔤 photorec
🔤 strings
➕ Дополнение:
🔤 binwalk
🔤 Windows-Prefetch-Carver
🔤 EVTXtract
🔤 bulk_extractor
🔤 scalpel
А какие инструменты используете вы? Делитесь в комментах!👇
#dfir@detectioneasy
Сталкивались ли вы с ситуацией, когда при расследовании инцидента цепочка приводит к хосту, который уже успели переустановить?
Вспомнил полезное видео с PHD и решил дополнить список инструментов, которые помогут в таких случаях:
А какие инструменты используете вы? Делитесь в комментах!
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Ошибки при реагировании на инциденты в 2023–2024 годах
Кража данных и шифрование — две самые насущные проблемы 2023 года. Каждая компания, столкнувшаяся с ними, пыталась использовать собственные подходы к решению возникших задач, и многие успели наломать дров, учитывая, что они впервые встретились с подобными…
🔥8👍3🤔3👏1
Всем привет! 💻 ✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7👍5🤔2
Всем привет! 💻 ✌️
У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR
Уязвимости использовались для получения доступа к хостам жертв - фишинг.
Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.
🔭 Обнаружение строится достаточно легко:
Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)
#detection@detectioneasy
#ttp@detectioneasy
У коллег из BI.ZONE вышел отчет об использовании новых уязвимостей в WinRAR
Уязвимости использовались для получения доступа к хостам жертв - фишинг.
Письмо имеет вложение - rar-архив, который эксплуатирует CVE‑2025‑6218. Уязвимость позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога - значит мы можем закрепиться в папку автозагрузки текущего пользователя.
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and Image endswith "winrar.exe" and TargetFilename = ".*\Microsoft\Windows\Start Menu\Programs\Startup\"
Если атакующие продвинутые можно комбнировать несколько процедур, например заменить LNK на рабочем столе или разместить там RDP-rogue файл... Это уже будет другое правило)
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥10👍5🤔2❤1