Zircolite
[https://github.com/wagga40/Zircolite]

еще один очень полезный анализатор логов, который также основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon. Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.

ntTraceControl
[https://github.com/airbus-cert/ntTraceControl]
набор команд Powershell для генерации журналов Windows. ntTraceControl упрощает тестирование вариантов использования обнаружения угроз без использования сложной инфраструктуры, инструментов или тестирования уязвимостей. Позволяет эмулировать фейковые события создания процессов, сеансов входа в систему, а также записи объектов EventLogRecord.

SharpEventPersist
[https://github.com/improsec/SharpEventPersist]
немного оффтопик утилита относительно тематики последних постов, но тесно связанная с событиями Windows. Инструмент, позволяющий закрепиться в системе путем записи/чтения шелл-кода прямо из журналов событий. Любопытный способ закрепления, должно быть полезно для исследователей.

📓 Maltego Handbook for Social Media Investigations

DeepBlueCLI
[https://github.com/sans-blue-team/DeepBlueCLI]

мы добрались до инструмента от SANS, а если точнее модуля PowerShell для поиска угроз с помощью журналов событий Windows. Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz. В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.

Hayabusa
[https://github.com/Yamato-Security/hayabusa]

мощный кроссплатформенный инструмент для построения таймлайна журнала событий Windows и инструмент поиска угроз, созданный японской группой безопасности Yamato Security. Он написан на Rust и поддерживает многопоточность, чтобы быть как можно быстрее. Также авторы разработали собственный формат правил и утилиты преобразования из SIGMA, которые активно используются в инструменте.

● может быть запущен для анализа в реальном времени, либо путем сбора журналов из нескольких систем в автономном режиме
● выходные данные будут объединены в единую временную шкалу формата CSV для удобного анализа в Excel, Timeline Explorer или Elastic Stack
● имеет более 2200 SIGMA-правил и около 125 правил hayabusa, которые регулярно добавляются
● сбор различных статистических данных, сопоставление с MITRE.

Мы завершаем освещать тему анализа Журнала событий Windows и напоследок напоминаем об APT-Hunter (https://t.me/forensictools/704), о котором уже немногим ранее упоминали. Тоже очень простой и эффективный в использовании инструмент, написанный на Python.

Если мы упустили какой-то очень полезный инструмент, то будем рады, если вы поделитесь им со всеми в комментариях или нашем общем чатике!

Мы уже писали (https://t.me/forensictools/408) про отличный гаджет который можно собрать самому для того чтобы проверить, а не подсадил ли кто на смартфон или планшет чего-нибудь "стучащего" на вас. Отличная вещь, простая как в создание так и использование. Сегодня благодаря каналу @freedomf0x открыли для себя не менее интересный проект, но для более продвинутых пользователей:

PTS Project (ака PiRough)

[ github.com/PiRogueToolSuite ]

PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.

Может работать в трех различных режимах:

Киоск -  для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.

Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов

Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:

- Определить список собираемых данных

- Оценить соответствие нормативным требованиям

- Проводить тестирование на проникновение

- Анализировать поведение вредоносных программ

- Сгенерировать отчет

В общем еще одна хорошая и нужная вещь из малинки!

|Investigating an engineering workstation|

🤙Шизо на связи.
🕵️‍♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.

Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).

Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.

Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.

Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3

🤙The Shizo is in touch.
🕵️‍♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.

By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).

As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.

According to the author, a new article about the analysis of network traffic during activity research will be published soon.

Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3

#forensic #investigation

usbsas
[https://github.com/cea-sec/usbsas]

полезный инструмент для безопасного чтения ненадежных USB-накопителей.

● чтение файлов с USB-устройства без использования модулей ядра, таких как uas, usb_storage и файловые системы
● анализ файлов с помощью удаленного антивируса
● копирование файлов на доверенное USB-устройство
● загрузка файлов на удаленный сервер
● создание образа USB-устройства
● очистка USB-устройства

wazuh
[https://wazuh.com/]

бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.

• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии

#dfir #elk #security #platform

НАШИ УСЛУГИ:
1. Технический аудит

1.1. Аудит информационной безопасности
- Аудит сетевой инфраструктуры
- Аудит внедренных политик безопасности и их актуальность
- Тестирование на проникновение в информационную инфраструктуру
- Аудит актуальности мер защиты относительно модели угроз ИБ

1.2. Аудит технических систем безопаcности (видеонаблюдение, скуд, опс)
- Проверка проектной и рабочей документации и ее актуальность
- Проверка технического состояния установленных систем безопаности
- Проверка целесообразности размещения элементов ТСБ для эффективного решения задач безопаности относительно модели угроз
- Проверка конфигураций программной платформы ситемы безоопаности
- Проверка конфигураций аппаратных элементов системы безопасности.

2. Ситуационный аудит
- Проведение исследований на проникновение в защищенный периметр компании для тестирования эффективности противодействия к определенным моделям угроз и противодействию им.

3. Моделирование угроз
- Ситуационные симуляции для изучения поведения сотрудников компании при определенных моделях угроз информационной безопасности (фишинговый рассылки, имитация хакерских атак, имитация утечек информации)
- Ситуационные симуляции для изучения поведения сотрудников СБ при определенных моделях угроз (физическое проникновение, рейдерский захват, террористическая угроза)

4. Определение модели угроз и нарушителей
Описание существующих угроз безопасности, их актуальности, возможности реализации и последствий.
- Выявление критичных объектов информационной инфраструктуры.
- Определение перечня угроз для каждого критического объекта.
- Определение способов реализации угроз.
- Определение модели нарушителя.
- Оценка материального ущерба и других последствий возможной реализации угроз.

ФОРЕНЗИКА

1. Криминалистический анализ информационных систем на наличие определенных данных.
2. Криминалистический анализ компьютеров, смартфонов, планшетов, телефонов, дронов направленный на извлечение данных различных сервисов.
3. Восстановление данных с носителей, смартфонов, компьютеров.
4. Проведение расследований случаев промышленного шпионажа.
5. Поиск технических каналов утечки информации.

Atomic Red Team
[https://github.com/redcanaryco/atomic-red-team/]

библиотека тестов безопасности на базе MITRE ATT&CK, эмулирующих действия Red Team команды. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой матрицы. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает защитникам эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак.

atomic-operator
[https://github.com/swimlane/atomic-operator]

позволяет специалистам по безопасности проверить свои возможности обнаружения и защиты в соответствии с предписанными методами, определенными в atomic-red-team. Поддерживает локальное и удаленное выполнение тестов в системах Windows, macOS и Linux, может быть автоматизирован на основе конфигурационного файла, работает в командной строке и в Python-скриптах.

Концепция информационной безопасности, представленная в виде удобной диаграммы - [https://www.xmind.net/embed/enin/]

Forensic7z
[https://www.tc4shell.com/en/7zip/forensic7z/]

старенький плагин для популярного архиватора 7-Zip. Позволяет представить в виде архивов образы дисков, создаваемые специализированным программным обеспечением, используемым при судебной экспертизе, таким как Encase или FTK Imager.

Control Validation Compass
[https://controlcompass.github.io/]

база 9000+ правил обнаружения (Sigma, Splunk Security Content и других) и 2100+ тестов эмуляции вторжений (Atomic Red Team, Prelude Community и других). Очень удобно и наглядно, просто вводите номер тактики и получаете исчерпывающую информацию с ссылками на стандарты и правила.

Отличная демонстрация возможностей использования Maltego для анализа данных детализации мобильного оператора в рамках ОРД.
▶️ https://youtu.be/cjCQBYld_wM

Для подобной работы пригодятся:
1️⃣ Программный комплекс Maltego
2️⃣ Сервис Google Earth (сойдет Google Maps или Яндекс Карты)
3️⃣ Сервис Map Developers (получение GPS-координат мест)
4️⃣ Сервисы SMSC или Xinit (привязка номеров к оператору и региону)
5️⃣ Любой сервис пакетной проверки телефонных номеров для установления данных их фактических владельцев

‼️ Дополнительные источники: пример таблицы Excel, предназначенной для анализа "гражданской" версии детализации мобильного оператора (загружается через личный кабинет на сайте оператора связи). Подробнее о ее применении можно узнать из видеоролика. После внесения небольших правок и дополнений, таблица может быть вполне пригодна для применения в оперативно-следственной деятельности.

[https://dfircheatsheet.github.io/]
Коллекция инструментов по расследованию и реагированию на инциденты. Похоже на все известный - https://osintframework.com/

Запись стрима

|Network Infrastructure Security Guide|

🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.

🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.

#NSA #security #network

​​OnCall

OnCall — система реагирования на инциденты от Grafana Labs, теперь с открытым исходным кодом.

🔻Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем.

Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix.

🔻Из полученной от систем мониторинга информации отфильтровываются второстепенные и малозначительные события, агрегируются дубликаты и исключаются проблемы, которые могут быть решены без участия человека.

🔻Очищенные от лишнего информационного шума значительные события поступают в подсистему отправки оповещений, которая выделяет сотрудников, ответственных за решения выявленных категорий проблем, и отправляет уведомления с учётом графика их работы и степени занятости (оцениваются данные из календаря-планировщика).

🔻В зависимости от степени важности инцидента уведомления могут отправляться через телефонные звонки, SMS, электронную почту, создание событий в календаре-планировщике, мессенджеры Slack и Telegram. При этом в Slack могут автоматически создаваться каналы для обсуждения вопросов, связанных с решением инцидента, к которым автоматически подключаются как отдельные сотрудники, так и целые команды.

Управление работой осуществляется через web-интерфейс.

https://github.com/grafana/oncall

Сайт: https://grafana.com/oss/oncall/