Please open Telegram to view this post
VIEW IN TELEGRAM
Навигация по каналу
(будет дополняться)
#de@memorydmp
#dfir
#mitre
#ti
#th
#ctf
#event
#meme
#own
❤️ | memory.DMP
(будет дополняться)
#de@memorydmp
#dfir
#mitre
#ti
#th
#ctf
#event
#meme
#own
Please open Telegram to view this post
VIEW IN TELEGRAM
CyberCamp 2025
Сегодня выступаю на CyberCamp 2025 с докладом на тему: "DDLC глазами заказчика: как выбрать оптимальный стек инструментов". Буду рассказывать про инструменты на всех этапах процесса построения детектирующих правил. Также подготовил задание для всех зрителей, советую перед его решением посмотреть доклад)
#de #event
❤️ | memory.DMP
Сегодня выступаю на CyberCamp 2025 с докладом на тему: "DDLC глазами заказчика: как выбрать оптимальный стек инструментов". Буду рассказывать про инструменты на всех этапах процесса построения детектирующих правил. Также подготовил задание для всех зрителей, советую перед его решением посмотреть доклад)
#de #event
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
В продолжение доклада прикрепляю скринкаст с эмуляцией части описанного сценария (запуск файла
P.S. Для установки агента OpenBAS на Windows требуется PowerShell не ниже версии 7.0, дальнейшее управление и выполнение командлетов осуществляется через популярную версию PowerShell 5.1.
#de
❤️ | memory.DMP
Договор_РН83_изменения.pdf.lnk (test.pdf.lnk)) в докладе: OpenCTI + OpenBAS + Windows 10 20H2 (агент OpenBAS).P.S. Для установки агента OpenBAS на Windows требуется PowerShell не ниже версии 7.0, дальнейшее управление и выполнение командлетов осуществляется через популярную версию PowerShell 5.1.
#de
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Итоги CyberCamp 2025
Сегодня опубликовали итоговые результаты командных киберучений в рамках конференции CyberCamp 2025. В корпоративной лиге нашей команде HotLog удалось занять почётное 1-ое место, это был классный опыт🔥🏆
#ctf #event
❤️ | memory.DMP
Сегодня опубликовали итоговые результаты командных киберучений в рамках конференции CyberCamp 2025. В корпоративной лиге нашей команде HotLog удалось занять почётное 1-ое место, это был классный опыт🔥🏆
#ctf #event
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12🎉1
Обновление MITRE ATT&CK (v18)
28 октября 2025 года вышло очередное крупное обновление одного из главных проектов организации MITRE — матрицы MITRE ATT&CK (v18). Я считаю её базой знаний и стандартом по практической безопасности, особенно в направлении Detection Engineering.
Давайте начнём с главных изменений:
- обновление затронуло разделы Techniques, Groups, Campaigns и Software для всех типов матриц (Enterprise, Mobile и ICS) - тактики без изменений, техник и подтехник стало больше;
- новый раздел Detection Strategies и к нему подраздел Analytics, который был анонсирован в июле 2025 года в блоге ATT&CK;
- удалён раздел Data Sources, но сохранен его подраздел Data Components, который связали с Detection Strategies и Analytics, и к нему добавил подраздел Log Source;
- обновлены слои для MITRE ATT&CK Navigator.
Цифры:
- All: 910 Software, 176 Groups и 55 Campaigns;
- Enterprise: 14 Tactics, 216 Techniques, 475 Sub-Techniques, 172 Groups, 784 Software, 52 Campaigns, 44 Mitigations, 691 Detection Strategies, 1739 Analytics и 106 Data Components;
- Mobile: 12 Tactics, 77 Techniques, 47 Sub-Techniques, 17 Groups, 122 Software, 3 Campaigns, 13 Mitigations, 124 Detection Strategies, 211 Analytics и 17 Data Components;
- ICS: 12 Tactics, 83 Techniques, 14 Groups, 23 Software, 7 Campaigns, 52 Mitigations, 18 Assets, 83 Detection Strategies, 82 Analytics и 36 Data Components.
Новые техники/подтехники:
- T1059.013 Command and Scripting Interpreter: Container CLI/API — наконец-то добрались до полноценного описания использования контейнеров атакующими;
- T1213.006 Data from Information Repositories: Databases — подход не новый, но решили сбор данных из БД выделить отдельно;
- T1678 Delay Execution — чаще всего используется в запланированных задачах, приведён интересный пример с утилитой ping;
- T1546.018 Event Triggered Execution: Python Startup Hooks — мало описания и нет примеров, но по тактикам можно понять для каких целей используется, здесь нашёл больше информации;
- T1562.013 Impair Defenses: Disable or Modify Network Device Firewall — тут про отключение/модицификацию FW в виде сетевых устройств, не путать с T1562.004 про системные FW;
- T1680 Local Storage Discovery — в примерах в основном enumeration, больше похоже на искусственное отделение от T1082;
- T1036.012 Masquerading: Browser Fingerprint — мало примеров, по аналогии с T1680 больше похоже на искусственное отделение от T1071.001;
- T1677 Poisoned Pipeline Execution — вот это что-то новенькое для матрицы, уверен, что AppSec'и ликуют;
- T1681 Search Threat Vendor Data — зачем выделять это в отдельную технику – не совсем понятно, т.к. это известный факт, что злоумышленники так же исследуют нас, как и мы их;
- T1679 Selective Exclusion — пусть будет, но и так понятно, что могут быть приоритеты в шифровании популярных расширений или тех, которые будут выявлены на этапе Discovery;
- T1518.002 Software Discovery: Backup Software Discovery — логичное выделение, но пока примеров мало;
- T1204.005 User Execution: Malicious Library — в целом это про уже имеющуюся технику T1204.002 и большой намёк на использование стратегии typosquatting в атаках (тут @hexadec1mal упоминает про это в своём канале).
Мои мысли:
- добавление Detection Strategies и Analytics: выглядит хорошо, без лишней информационной нагрузки(которой и так хватает) в следующем формате: Detection Strategy (+ связь с техниками атакующих) -> Analytics (краткое описание Detection Strategy) -> Data Components + Log Source (конкретные события с источников данных, которые помогут в составлении детектирующих правил);
- удаление Data Sources: уже можно сделать вывод, что инструмент MITRE DeTT&CT, который я упоминал в докладах на SOC-Forum 2024 и CyberCamp 2025 (тут), получит изменения или присоединится к кладбищу идей/проектов по ИБ в стиле Google, но появление замены в виде новых разделов выглядит более практически применимым;
- новые техники и подтехники — плановый пересмотр детектирующих правил.
#de #mitre #own #ti
❤️ | memory.DMP
28 октября 2025 года вышло очередное крупное обновление одного из главных проектов организации MITRE — матрицы MITRE ATT&CK (v18). Я считаю её базой знаний и стандартом по практической безопасности, особенно в направлении Detection Engineering.
Давайте начнём с главных изменений:
- обновление затронуло разделы Techniques, Groups, Campaigns и Software для всех типов матриц (Enterprise, Mobile и ICS) - тактики без изменений, техник и подтехник стало больше;
- новый раздел Detection Strategies и к нему подраздел Analytics, который был анонсирован в июле 2025 года в блоге ATT&CK;
- удалён раздел Data Sources, но сохранен его подраздел Data Components, который связали с Detection Strategies и Analytics, и к нему добавил подраздел Log Source;
- обновлены слои для MITRE ATT&CK Navigator.
Цифры:
- All: 910 Software, 176 Groups и 55 Campaigns;
- Enterprise: 14 Tactics, 216 Techniques, 475 Sub-Techniques, 172 Groups, 784 Software, 52 Campaigns, 44 Mitigations, 691 Detection Strategies, 1739 Analytics и 106 Data Components;
- Mobile: 12 Tactics, 77 Techniques, 47 Sub-Techniques, 17 Groups, 122 Software, 3 Campaigns, 13 Mitigations, 124 Detection Strategies, 211 Analytics и 17 Data Components;
- ICS: 12 Tactics, 83 Techniques, 14 Groups, 23 Software, 7 Campaigns, 52 Mitigations, 18 Assets, 83 Detection Strategies, 82 Analytics и 36 Data Components.
Новые техники/подтехники:
- T1059.013 Command and Scripting Interpreter: Container CLI/API — наконец-то добрались до полноценного описания использования контейнеров атакующими;
- T1213.006 Data from Information Repositories: Databases — подход не новый, но решили сбор данных из БД выделить отдельно;
- T1678 Delay Execution — чаще всего используется в запланированных задачах, приведён интересный пример с утилитой ping;
- T1546.018 Event Triggered Execution: Python Startup Hooks — мало описания и нет примеров, но по тактикам можно понять для каких целей используется, здесь нашёл больше информации;
- T1562.013 Impair Defenses: Disable or Modify Network Device Firewall — тут про отключение/модицификацию FW в виде сетевых устройств, не путать с T1562.004 про системные FW;
- T1680 Local Storage Discovery — в примерах в основном enumeration, больше похоже на искусственное отделение от T1082;
- T1036.012 Masquerading: Browser Fingerprint — мало примеров, по аналогии с T1680 больше похоже на искусственное отделение от T1071.001;
- T1677 Poisoned Pipeline Execution — вот это что-то новенькое для матрицы, уверен, что AppSec'и ликуют;
- T1681 Search Threat Vendor Data — зачем выделять это в отдельную технику – не совсем понятно, т.к. это известный факт, что злоумышленники так же исследуют нас, как и мы их;
- T1679 Selective Exclusion — пусть будет, но и так понятно, что могут быть приоритеты в шифровании популярных расширений или тех, которые будут выявлены на этапе Discovery;
- T1518.002 Software Discovery: Backup Software Discovery — логичное выделение, но пока примеров мало;
- T1204.005 User Execution: Malicious Library — в целом это про уже имеющуюся технику T1204.002 и большой намёк на использование стратегии typosquatting в атаках (тут @hexadec1mal упоминает про это в своём канале).
Мои мысли:
- добавление Detection Strategies и Analytics: выглядит хорошо, без лишней информационной нагрузки
- удаление Data Sources: уже можно сделать вывод, что инструмент MITRE DeTT&CT, который я упоминал в докладах на SOC-Forum 2024 и CyberCamp 2025 (тут), получит изменения или присоединится к кладбищу идей/проектов по ИБ в стиле Google, но появление замены в виде новых разделов выглядит более практически применимым;
- новые техники и подтехники — плановый пересмотр детектирующих правил.
#de #mitre #own #ti
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍1
Экспертные консультации
В рамках CyberCamp 2025 была возможность попасть на онлайн-консультации к топовым экспертам по ИБ и пообщаться на самые разные темы — от трудоустройства до ИБ&PR. Сначала я скептически отнёсся к этой затее, особенно, учитывая факт, что они проводились в дни командных киберучений, но потом решил не упускать такую возможность😎
И да, по итогу я записался на консультации😁
Обсудили с Ладой Антиповой (автор канала README.hta) актуальность разработки собственных инструментов для форензики, AI и её топ-3 инсайта в DFIR, а с Владом Азерским (автор канала Garden Detective) поговорили про развитие процесса Purple Teaming🔵
Если вы вдруг читаете этот пост — ещё раз спасибо большое вам за уделённое время, предварительную подготовку по вопросам, советы и просто приятное знакомство и общение, это очень ценно!🫰
В чём же ценность таких встреч?
Во-первых, у топовых экспертов мало свободного времени, поэтому обычно такое общение происходит очно в кулуарах на конференциях, форумах и т.д. Во-вторых, консультация тет-а-тет — это возможность разобрать конкретные кейсы, получить по ним обратную связь и общие советы, которые можно применить на практике. В-третьих, ... а первых двух аргументов недостаточно?!😁
Вот мой чек-лист по подготовке заявки:
1. Deep Dive: посмотрите весь список экспертов и их возможные темы для обсуждения.
2. Выберите для себя несколько экспертов, с которыми вам потенциально было бы интересно пообщаться по их области интересов.
3. Цените время эксперта: продумайте список вопросов, исходя из того, что 1 вопрос = 10-15 минут обсуждения. Учитывайте то, что вопросы должны быть интересны и понятны не только вам, но и эксперту, тогда шанс получить такой же интересный и полный ответ будет выше🙃
4. Подготовьте несколько дополнительных вопросов: вдруг у эксперта будет возможность уделить вам больше времени, чем на это отведено организаторами — у меня было именно так🤫
5. Дополнительно кратко опишите ваш опыт и навыки (до 3-ёх предложений), чтобы у эксперта сложилось примерное понимание о вас, и вы смогли общаться на одном языке.
#event #own
❤️ | memory.DMP
В рамках CyberCamp 2025 была возможность попасть на онлайн-консультации к топовым экспертам по ИБ и пообщаться на самые разные темы — от трудоустройства до ИБ&PR. Сначала я скептически отнёсся к этой затее, особенно, учитывая факт, что они проводились в дни командных киберучений, но потом решил не упускать такую возможность😎
И да, по итогу я записался на консультации😁
Обсудили с Ладой Антиповой (автор канала README.hta) актуальность разработки собственных инструментов для форензики, AI и её топ-3 инсайта в DFIR, а с Владом Азерским (автор канала Garden Detective) поговорили про развитие процесса Purple Teaming
Если вы вдруг читаете этот пост — ещё раз спасибо большое вам за уделённое время, предварительную подготовку по вопросам, советы и просто приятное знакомство и общение, это очень ценно!🫰
В чём же ценность таких встреч?
Во-первых, у топовых экспертов мало свободного времени, поэтому обычно такое общение происходит очно в кулуарах на конференциях, форумах и т.д. Во-вторых, консультация тет-а-тет — это возможность разобрать конкретные кейсы, получить по ним обратную связь и общие советы, которые можно применить на практике. В-третьих, ... а первых двух аргументов недостаточно?!😁
Вот мой чек-лист по подготовке заявки:
1. Deep Dive: посмотрите весь список экспертов и их возможные темы для обсуждения.
2. Выберите для себя несколько экспертов, с которыми вам потенциально было бы интересно пообщаться по их области интересов.
3. Цените время эксперта: продумайте список вопросов, исходя из того, что 1 вопрос = 10-15 минут обсуждения. Учитывайте то, что вопросы должны быть интересны и понятны не только вам, но и эксперту, тогда шанс получить такой же интересный и полный ответ будет выше🙃
4. Подготовьте несколько дополнительных вопросов: вдруг у эксперта будет возможность уделить вам больше времени, чем на это отведено организаторами — у меня было именно так🤫
5. Дополнительно кратко опишите ваш опыт и навыки (до 3-ёх предложений), чтобы у эксперта сложилось примерное понимание о вас, и вы смогли общаться на одном языке.
#event #own
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥3
SOC Forum 2025
Думаю, мероприятие в представлении не нуждается, поэтому сразу перейдём к тому, что можно послушать:
1️⃣ 18 ноября (Государство)
10:30 – 11:00, зал 3
IDFKA Backdoor: скрытая угроза Rust-имплантов в современных APT-атаках, Степанов Владимир, Мазуркевич Анна (Солар)
11:30 – 12:00, зал 3
20 самых интересных техник из публичных исследований киберугроз, Скулкин Олег (BI.ZONE)
2️⃣ 19 ноября (Бизнес)
16:30 – 17:00, зал 4
EDR в мире Linux и контейнеров: вызовы и лучшие практики для хайлоад-инфраструктуры, Куценко Петр (BI.ZONE)
(продолжение в комментариях🔽 )
#event
❤️ | memory.DMP
Думаю, мероприятие в представлении не нуждается, поэтому сразу перейдём к тому, что можно послушать:
10:30 – 11:00, зал 3
IDFKA Backdoor: скрытая угроза Rust-имплантов в современных APT-атаках, Степанов Владимир, Мазуркевич Анна (Солар)
Весной 2025 года мы расследовали APT-кампанию, в ходе которой через уязвимость в PostgreSQL был развернут ранее неизвестный Rust-имплант с поддержкой множества сетевых режимов и сложной инфраструктурой C2. Группа действовала более года и атаковала крупные организации.
В рамках доклада разберем ход расследования, архитектуру импланта и поделимся выводами по реверсу Rust и детектированию угроз.
11:30 – 12:00, зал 3
20 самых интересных техник из публичных исследований киберугроз, Скулкин Олег (BI.ZONE)
Весь 2025 год докладчик изучал публичные исследования киберугроз, стараясь найти в них что-то редкое и интересное. Об этих исследованиях он ежедневно, в рамках The Zeltser Challenge, писал в своем персональном блоге — Know Your Adversary. На сессии узнаем о двадцати наиболее интересных из этих киберугроз и о возможности обнаружения их реализации.
16:30 – 17:00, зал 4
EDR в мире Linux и контейнеров: вызовы и лучшие практики для хайлоад-инфраструктуры, Куценко Петр (BI.ZONE)
Разберем особенности внедрения и эксплуатации EDR на Linux. Обсудим, как минимизировать влияние EDR на производительность систем и избежать деградации сервисов. Особое внимание уделим специфике мониторинга в контейнерном окружении.
(продолжение в комментариях
#event
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7✍1
CTI Meetup #4
29 ноября состоялся очередной CTI Meetup от Inseca, на нём выступал с докладом на тему: "Практический CTI: от индикаторов до цифровых артефактов". Поделился кейсами применения данных CTI на практике и представил portable-инструмент (ioc-dfir-scanner), который позволяет оперативно сканировать распаршенные форензик-артефакты на наличие IoCs. Чуть позже выложу его на Github и сделаю пост в канале, следите за анонсами📣
#ti #event
❤️ | memory.DMP
29 ноября состоялся очередной CTI Meetup от Inseca, на нём выступал с докладом на тему: "Практический CTI: от индикаторов до цифровых артефактов". Поделился кейсами применения данных CTI на практике и представил portable-инструмент (ioc-dfir-scanner), который позволяет оперативно сканировать распаршенные форензик-артефакты на наличие IoCs. Чуть позже выложу его на Github и сделаю пост в канале, следите за анонсами
#ti #event
Please open Telegram to view this post
VIEW IN TELEGRAM
inseca.tech
CTI meetup
Практические CTI-митапы: технический разбор угроз, обмен опытом, LLM в аналитике и тактики противодействия злоумышленникам.
🔥3👍1
Практический CTI.pdf
9.7 MB
Презентация выше⬆️
Запись доклада: будет позже, обновлю здесь.
P.S. Лучше дождаться запись доклада, потому что по пдфке мало, что понятно будет😾
#ti #event
❤️ | memory.DMP
Запись доклада: будет позже, обновлю здесь.
P.S. Лучше дождаться запись доклада, потому что по пдфке мало, что понятно будет
#ti #event
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7