Forwarded from T.Hunter
#OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
👍11❤1🤔1
odl.py
[https://github.com/ydkhatri/OneDrive]
маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.
[https://github.com/ydkhatri/OneDrive]
маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.
👍3
OneDriveExplorer
[https://github.com/Beercow/OneDriveExplorer]
это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\
[https://github.com/Beercow/OneDriveExplorer]
это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\
👍4
2_5217969365776866761.pdf
7.1 MB
слайды с прекрасного выступления Уважаемого @gspdnsobaka на прошедшем PHD11 про деанон злодея укравшего NFT
👍9🔥1👏1
Любая система Windows, будь то домашней или корпоративной версии, не может обойтись без систем аудита безопасности.
Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.
Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.
По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).
Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.
Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.
По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).
👍23👎1
Microsoft-eventlog-mindmap
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.
Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.
[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.
Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.
[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.
🔥15👍8
Windows EVTX Samples
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.
EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.
EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.
GitHub
GitHub - sbousseaden/EVTX-ATTACK-SAMPLES: Windows Events Attack Samples
Windows Events Attack Samples. Contribute to sbousseaden/EVTX-ATTACK-SAMPLES development by creating an account on GitHub.
👍7
FullEventLogView от NirSoft
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.
EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.
EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.
EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.
EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)
👍6
WELA (Windows Event Log Analyzer)
[https://github.com/Yamato-Security/WELA]
PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.
● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа
[https://github.com/Yamato-Security/WELA]
PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.
● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа
👍10
Chainsaw
[https://github.com/countercept/chainsaw]
мощный анализатор логов Windows, предназначенный для оперативного выявления угроз. Предлагает универсальный и быстрый способ поиска по ключевым словам, встроенной логики обнаружения и поддержки SIGMA-правил.
● Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV
● Обнаружение очистки журналов ключевых событий или остановки службы журнала событий.
● Выявление факта создания и добавления пользователей в конфиденциальные группы пользователей
● Брутфорс локальных учетных записей пользователей
● RDP-авторизация
● Экспорт в CSV, JSON
[https://github.com/countercept/chainsaw]
мощный анализатор логов Windows, предназначенный для оперативного выявления угроз. Предлагает универсальный и быстрый способ поиска по ключевым словам, встроенной логики обнаружения и поддержки SIGMA-правил.
● Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV
● Обнаружение очистки журналов ключевых событий или остановки службы журнала событий.
● Выявление факта создания и добавления пользователей в конфиденциальные группы пользователей
● Брутфорс локальных учетных записей пользователей
● RDP-авторизация
● Экспорт в CSV, JSON
🔥10👍3
Zircolite
[https://github.com/wagga40/Zircolite]
еще один очень полезный анализатор логов, который также основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon. Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.
[https://github.com/wagga40/Zircolite]
еще один очень полезный анализатор логов, который также основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon. Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.
🔥4👍3
ntTraceControl
[https://github.com/airbus-cert/ntTraceControl]
набор команд Powershell для генерации журналов Windows. ntTraceControl упрощает тестирование вариантов использования обнаружения угроз без использования сложной инфраструктуры, инструментов или тестирования уязвимостей. Позволяет эмулировать фейковые события создания процессов, сеансов входа в систему, а также записи объектов EventLogRecord.
SharpEventPersist
[https://github.com/improsec/SharpEventPersist]
немного оффтопик утилита относительно тематики последних постов, но тесно связанная с событиями Windows. Инструмент, позволяющий закрепиться в системе путем записи/чтения шелл-кода прямо из журналов событий. Любопытный способ закрепления, должно быть полезно для исследователей.
[https://github.com/airbus-cert/ntTraceControl]
набор команд Powershell для генерации журналов Windows. ntTraceControl упрощает тестирование вариантов использования обнаружения угроз без использования сложной инфраструктуры, инструментов или тестирования уязвимостей. Позволяет эмулировать фейковые события создания процессов, сеансов входа в систему, а также записи объектов EventLogRecord.
SharpEventPersist
[https://github.com/improsec/SharpEventPersist]
немного оффтопик утилита относительно тематики последних постов, но тесно связанная с событиями Windows. Инструмент, позволяющий закрепиться в системе путем записи/чтения шелл-кода прямо из журналов событий. Любопытный способ закрепления, должно быть полезно для исследователей.
👍7
Forwarded from Интернет-Розыск
Maltego Handbook for Social Media Investigations.pdf
3.7 MB
📓 Maltego Handbook for Social Media Investigations
👍4
DeepBlueCLI
[https://github.com/sans-blue-team/DeepBlueCLI]
мы добрались до инструмента от SANS, а если точнее модуля PowerShell для поиска угроз с помощью журналов событий Windows. Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz. В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.
[https://github.com/sans-blue-team/DeepBlueCLI]
мы добрались до инструмента от SANS, а если точнее модуля PowerShell для поиска угроз с помощью журналов событий Windows. Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz. В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.
👍12👎1
Hayabusa
[https://github.com/Yamato-Security/hayabusa]
мощный кроссплатформенный инструмент для построения таймлайна журнала событий Windows и инструмент поиска угроз, созданный японской группой безопасности Yamato Security. Он написан на Rust и поддерживает многопоточность, чтобы быть как можно быстрее. Также авторы разработали собственный формат правил и утилиты преобразования из SIGMA, которые активно используются в инструменте.
● может быть запущен для анализа в реальном времени, либо путем сбора журналов из нескольких систем в автономном режиме
● выходные данные будут объединены в единую временную шкалу формата CSV для удобного анализа в Excel, Timeline Explorer или Elastic Stack
● имеет более 2200 SIGMA-правил и около 125 правил hayabusa, которые регулярно добавляются
● сбор различных статистических данных, сопоставление с MITRE.
[https://github.com/Yamato-Security/hayabusa]
мощный кроссплатформенный инструмент для построения таймлайна журнала событий Windows и инструмент поиска угроз, созданный японской группой безопасности Yamato Security. Он написан на Rust и поддерживает многопоточность, чтобы быть как можно быстрее. Также авторы разработали собственный формат правил и утилиты преобразования из SIGMA, которые активно используются в инструменте.
● может быть запущен для анализа в реальном времени, либо путем сбора журналов из нескольких систем в автономном режиме
● выходные данные будут объединены в единую временную шкалу формата CSV для удобного анализа в Excel, Timeline Explorer или Elastic Stack
● имеет более 2200 SIGMA-правил и около 125 правил hayabusa, которые регулярно добавляются
● сбор различных статистических данных, сопоставление с MITRE.
👍17
windows-event-log-analyst-reference.pdf
1 MB
Мы завершаем освещать тему анализа Журнала событий Windows и напоследок напоминаем об APT-Hunter (https://t.me/forensictools/704), о котором уже немногим ранее упоминали. Тоже очень простой и эффективный в использовании инструмент, написанный на Python.
Если мы упустили какой-то очень полезный инструмент, то будем рады, если вы поделитесь им со всеми в комментариях или нашем общем чатике!
Если мы упустили какой-то очень полезный инструмент, то будем рады, если вы поделитесь им со всеми в комментариях или нашем общем чатике!
👍10🔥3👎2
Мы уже писали (https://t.me/forensictools/408) про отличный гаджет который можно собрать самому для того чтобы проверить, а не подсадил ли кто на смартфон или планшет чего-нибудь "стучащего" на вас. Отличная вещь, простая как в создание так и использование. Сегодня благодаря каналу @freedomf0x открыли для себя не менее интересный проект, но для более продвинутых пользователей:
PTS Project (ака PiRough)
[ github.com/PiRogueToolSuite ]
PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.
Может работать в трех различных режимах:
Киоск - для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.
Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов
Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:
- Определить список собираемых данных
- Оценить соответствие нормативным требованиям
- Проводить тестирование на проникновение
- Анализировать поведение вредоносных программ
- Сгенерировать отчет
В общем еще одна хорошая и нужная вещь из малинки!
PTS Project (ака PiRough)
[ github.com/PiRogueToolSuite ]
PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.
Может работать в трех различных режимах:
Киоск - для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.
Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов
Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:
- Определить список собираемых данных
- Оценить соответствие нормативным требованиям
- Проводить тестирование на проникновение
- Анализировать поведение вредоносных программ
- Сгенерировать отчет
В общем еще одна хорошая и нужная вещь из малинки!
👍9
Forwarded from 0% Privacy
|Investigating an engineering workstation|
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
👍9👎1
usbsas
[https://github.com/cea-sec/usbsas]
полезный инструмент для безопасного чтения ненадежных USB-накопителей.
● чтение файлов с USB-устройства без использования модулей ядра, таких как uas, usb_storage и файловые системы
● анализ файлов с помощью удаленного антивируса
● копирование файлов на доверенное USB-устройство
● загрузка файлов на удаленный сервер
● создание образа USB-устройства
● очистка USB-устройства
[https://github.com/cea-sec/usbsas]
полезный инструмент для безопасного чтения ненадежных USB-накопителей.
● чтение файлов с USB-устройства без использования модулей ядра, таких как uas, usb_storage и файловые системы
● анализ файлов с помощью удаленного антивируса
● копирование файлов на доверенное USB-устройство
● загрузка файлов на удаленный сервер
● создание образа USB-устройства
● очистка USB-устройства
🔥14👍2
Forwarded from Investigation & Forensic TOOLS
wazuh
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
Wazuh
Wazuh - Open Source XDR. Open Source SIEM.
Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
👍10
НАШИ УСЛУГИ:
1. Технический аудит
1.1. Аудит информационной безопасности
- Аудит сетевой инфраструктуры
- Аудит внедренных политик безопасности и их актуальность
- Тестирование на проникновение в информационную инфраструктуру
- Аудит актуальности мер защиты относительно модели угроз ИБ
1.2. Аудит технических систем безопаcности (видеонаблюдение, скуд, опс)
- Проверка проектной и рабочей документации и ее актуальность
- Проверка технического состояния установленных систем безопаности
- Проверка целесообразности размещения элементов ТСБ для эффективного решения задач безопаности относительно модели угроз
- Проверка конфигураций программной платформы ситемы безоопаности
- Проверка конфигураций аппаратных элементов системы безопасности.
2. Ситуационный аудит
- Проведение исследований на проникновение в защищенный периметр компании для тестирования эффективности противодействия к определенным моделям угроз и противодействию им.
3. Моделирование угроз
- Ситуационные симуляции для изучения поведения сотрудников компании при определенных моделях угроз информационной безопасности (фишинговый рассылки, имитация хакерских атак, имитация утечек информации)
- Ситуационные симуляции для изучения поведения сотрудников СБ при определенных моделях угроз (физическое проникновение, рейдерский захват, террористическая угроза)
4. Определение модели угроз и нарушителей
Описание существующих угроз безопасности, их актуальности, возможности реализации и последствий.
- Выявление критичных объектов информационной инфраструктуры.
- Определение перечня угроз для каждого критического объекта.
- Определение способов реализации угроз.
- Определение модели нарушителя.
- Оценка материального ущерба и других последствий возможной реализации угроз.
ФОРЕНЗИКА
1. Криминалистический анализ информационных систем на наличие определенных данных.
2. Криминалистический анализ компьютеров, смартфонов, планшетов, телефонов, дронов направленный на извлечение данных различных сервисов.
3. Восстановление данных с носителей, смартфонов, компьютеров.
4. Проведение расследований случаев промышленного шпионажа.
5. Поиск технических каналов утечки информации.
1. Технический аудит
1.1. Аудит информационной безопасности
- Аудит сетевой инфраструктуры
- Аудит внедренных политик безопасности и их актуальность
- Тестирование на проникновение в информационную инфраструктуру
- Аудит актуальности мер защиты относительно модели угроз ИБ
1.2. Аудит технических систем безопаcности (видеонаблюдение, скуд, опс)
- Проверка проектной и рабочей документации и ее актуальность
- Проверка технического состояния установленных систем безопаности
- Проверка целесообразности размещения элементов ТСБ для эффективного решения задач безопаности относительно модели угроз
- Проверка конфигураций программной платформы ситемы безоопаности
- Проверка конфигураций аппаратных элементов системы безопасности.
2. Ситуационный аудит
- Проведение исследований на проникновение в защищенный периметр компании для тестирования эффективности противодействия к определенным моделям угроз и противодействию им.
3. Моделирование угроз
- Ситуационные симуляции для изучения поведения сотрудников компании при определенных моделях угроз информационной безопасности (фишинговый рассылки, имитация хакерских атак, имитация утечек информации)
- Ситуационные симуляции для изучения поведения сотрудников СБ при определенных моделях угроз (физическое проникновение, рейдерский захват, террористическая угроза)
4. Определение модели угроз и нарушителей
Описание существующих угроз безопасности, их актуальности, возможности реализации и последствий.
- Выявление критичных объектов информационной инфраструктуры.
- Определение перечня угроз для каждого критического объекта.
- Определение способов реализации угроз.
- Определение модели нарушителя.
- Оценка материального ущерба и других последствий возможной реализации угроз.
ФОРЕНЗИКА
1. Криминалистический анализ информационных систем на наличие определенных данных.
2. Криминалистический анализ компьютеров, смартфонов, планшетов, телефонов, дронов направленный на извлечение данных различных сервисов.
3. Восстановление данных с носителей, смартфонов, компьютеров.
4. Проведение расследований случаев промышленного шпионажа.
5. Поиск технических каналов утечки информации.
👍11