rezerv

❤️ | memory.DMP

Навигация по каналу

(будет дополняться)

#de@memorydmp
#dfir
#mitre
#ti
#th

#ctf
#event
#meme
#own

❤️ | memory.DMP

Запись доклада: ©️тут и 💙 тут

#de #event

❤️ | memory.DMP

В продолжение доклада прикрепляю скринкаст с эмуляцией части описанного сценария (запуск файла Договор_РН83_изменения.pdf.lnk (test.pdf.lnk)) в докладе: OpenCTI + OpenBAS + Windows 10 20H2 (агент OpenBAS).

P.S. Для установки агента OpenBAS на Windows требуется PowerShell не ниже версии 7.0, дальнейшее управление и выполнение командлетов осуществляется через популярную версию PowerShell 5.1.

#de

❤️ | memory.DMP

Итоги CyberCamp 2025

Сегодня опубликовали итоговые результаты командных киберучений в рамках конференции CyberCamp 2025. В корпоративной лиге нашей команде HotLog удалось занять почётное 1-ое место, это был классный опыт🔥🏆

#ctf #event

❤️ | memory.DMP

Обновление MITRE ATT&CK (v18)

28 октября 2025 года вышло очередное крупное обновление одного из главных проектов организации MITRE — матрицы MITRE ATT&CK (v18). Я считаю её базой знаний и стандартом по практической безопасности, особенно в направлении Detection Engineering.

Давайте начнём с главных изменений:
- обновление затронуло разделы Techniques, Groups, Campaigns и Software для всех типов матриц (Enterprise, Mobile и ICS) - тактики без изменений, техник и подтехник стало больше;
- новый раздел Detection Strategies и к нему подраздел Analytics, который был анонсирован в июле 2025 года в блоге ATT&CK;
- удалён раздел Data Sources, но сохранен его подраздел Data Components, который связали с Detection Strategies и Analytics, и к нему добавил подраздел Log Source;
- обновлены слои для MITRE ATT&CK Navigator.

Цифры:
- All: 910 Software, 176 Groups и 55 Campaigns;
- Enterprise: 14 Tactics, 216 Techniques, 475 Sub-Techniques, 172 Groups, 784 Software, 52 Campaigns, 44 Mitigations, 691 Detection Strategies, 1739 Analytics и 106 Data Components;
- Mobile: 12 Tactics, 77 Techniques, 47 Sub-Techniques, 17 Groups, 122 Software, 3 Campaigns, 13 Mitigations, 124 Detection Strategies, 211 Analytics и 17 Data Components;
- ICS: 12 Tactics, 83 Techniques, 14 Groups, 23 Software, 7 Campaigns, 52 Mitigations, 18 Assets, 83 Detection Strategies, 82 Analytics и 36 Data Components.

Новые техники/подтехники:
- T1059.013 Command and Scripting Interpreter: Container CLI/API — наконец-то добрались до полноценного описания использования контейнеров атакующими;
- T1213.006 Data from Information Repositories: Databases — подход не новый, но решили сбор данных из БД выделить отдельно;
- T1678 Delay Execution — чаще всего используется в запланированных задачах, приведён интересный пример с утилитой ping;
- T1546.018 Event Triggered Execution: Python Startup Hooks — мало описания и нет примеров, но по тактикам можно понять для каких целей используется, здесь нашёл больше информации;
- T1562.013 Impair Defenses: Disable or Modify Network Device Firewall — тут про отключение/модицификацию FW в виде сетевых устройств, не путать с T1562.004 про системные FW;
- T1680 Local Storage Discovery — в примерах в основном enumeration, больше похоже на искусственное отделение от T1082;
- T1036.012 Masquerading: Browser Fingerprint — мало примеров, по аналогии с T1680 больше похоже на искусственное отделение от T1071.001;
- T1677 Poisoned Pipeline Execution — вот это что-то новенькое для матрицы, уверен, что AppSec'и ликуют;
- T1681 Search Threat Vendor Data — зачем выделять это в отдельную технику – не совсем понятно, т.к. это известный факт, что злоумышленники так же исследуют нас, как и мы их;
- T1679 Selective Exclusion — пусть будет, но и так понятно, что могут быть приоритеты в шифровании популярных расширений или тех, которые будут выявлены на этапе Discovery;
- T1518.002 Software Discovery: Backup Software Discovery — логичное выделение, но пока примеров мало;
- T1204.005 User Execution: Malicious Library — в целом это про уже имеющуюся технику T1204.002 и большой намёк на использование стратегии typosquatting в атаках (тут @hexadec1mal упоминает про это в своём канале).

Мои мысли:
- добавление Detection Strategies и Analytics: выглядит хорошо, без лишней информационной нагрузки (которой и так хватает) в следующем формате: Detection Strategy (+ связь с техниками атакующих) -> Analytics (краткое описание Detection Strategy) -> Data Components + Log Source (конкретные события с источников данных, которые помогут в составлении детектирующих правил);
- удаление Data Sources: уже можно сделать вывод, что инструмент MITRE DeTT&CT, который я упоминал в докладах на SOC-Forum 2024 и CyberCamp 2025 (тут), получит изменения или присоединится к кладбищу идей/проектов по ИБ в стиле Google, но появление замены в виде новых разделов выглядит более практически применимым;
- новые техники и подтехники — плановый пересмотр детектирующих правил.

#de #mitre #own #ti

❤️ | memory.DMP

Экспертные консультации

В рамках CyberCamp 2025 была возможность попасть на онлайн-консультации к топовым экспертам по ИБ и пообщаться на самые разные темы — от трудоустройства до ИБ&PR. Сначала я скептически отнёсся к этой затее, особенно, учитывая факт, что они проводились в дни командных киберучений, но потом решил не упускать такую возможность😎

И да, по итогу я записался на консультации😁
Обсудили с Ладой Антиповой (автор канала README.hta) актуальность разработки собственных инструментов для форензики, AI и её топ-3 инсайта в DFIR, а с Владом Азерским (автор канала Garden Detective) поговорили про развитие процесса Purple Teaming 🔵
Если вы вдруг читаете этот пост — ещё раз спасибо большое вам за уделённое время, предварительную подготовку по вопросам, советы и просто приятное знакомство и общение, это очень ценно!🫰

В чём же ценность таких встреч?
Во-первых, у топовых экспертов мало свободного времени, поэтому обычно такое общение происходит очно в кулуарах на конференциях, форумах и т.д. Во-вторых, консультация тет-а-тет — это возможность разобрать конкретные кейсы, получить по ним обратную связь и общие советы, которые можно применить на практике. В-третьих, ... а первых двух аргументов недостаточно?!😁

Вот мой чек-лист по подготовке заявки:
1. Deep Dive: посмотрите весь список экспертов и их возможные темы для обсуждения.
2. Выберите для себя несколько экспертов, с которыми вам потенциально было бы интересно пообщаться по их области интересов.
3. Цените время эксперта: продумайте список вопросов, исходя из того, что 1 вопрос = 10-15 минут обсуждения. Учитывайте то, что вопросы должны быть интересны и понятны не только вам, но и эксперту, тогда шанс получить такой же интересный и полный ответ будет выше🙃
4. Подготовьте несколько дополнительных вопросов: вдруг у эксперта будет возможность уделить вам больше времени, чем на это отведено организаторами — у меня было именно так🤫
5. Дополнительно кратко опишите ваш опыт и навыки (до 3-ёх предложений), чтобы у эксперта сложилось примерное понимание о вас, и вы смогли общаться на одном языке.

#event #own

❤️ | memory.DMP

SOC Forum 2025

Думаю, мероприятие в представлении не нуждается, поэтому сразу перейдём к тому, что можно послушать:

1️⃣18 ноября (Государство)

10:30 – 11:00, зал 3
IDFKA Backdoor: скрытая угроза Rust-имплантов в современных APT-атаках, Степанов Владимир, Мазуркевич Анна (Солар)

Весной 2025 года мы расследовали APT-кампанию, в ходе которой через уязвимость в PostgreSQL был развернут ранее неизвестный Rust-имплант с поддержкой множества сетевых режимов и сложной инфраструктурой C2. Группа действовала более года и атаковала крупные организации.
В рамках доклада разберем ход расследования, архитектуру импланта и поделимся выводами по реверсу Rust и детектированию угроз.

11:30 – 12:00, зал 3
20 самых интересных техник из публичных исследований киберугроз, Скулкин Олег (BI.ZONE)

Весь 2025 год докладчик изучал публичные исследования киберугроз, стараясь найти в них что-то редкое и интересное. Об этих исследованиях он ежедневно, в рамках The Zeltser Challenge, писал в своем персональном блоге — Know Your Adversary. На сессии узнаем о двадцати наиболее интересных из этих киберугроз и о возможности обнаружения их реализации.

2️⃣19 ноября (Бизнес)

16:30 – 17:00, зал 4
EDR в мире Linux и контейнеров: вызовы и лучшие практики для хайлоад-инфраструктуры, Куценко Петр (BI.ZONE)

Разберем особенности внедрения и эксплуатации EDR на Linux. Обсудим, как минимизировать влияние EDR на производительность систем и избежать деградации сервисов. Особое внимание уделим специфике мониторинга в контейнерном окружении.

(продолжение в комментариях🔽)

#event

❤️ | memory.DMP

CTI Meetup #4

29 ноября состоялся очередной CTI Meetup от Inseca, на нём выступал с докладом на тему: "Практический CTI: от индикаторов до цифровых артефактов". Поделился кейсами применения данных CTI на практике и представил portable-инструмент (ioc-dfir-scanner), который позволяет оперативно сканировать распаршенные форензик-артефакты на наличие IoCs. Чуть позже выложу его на Github и сделаю пост в канале, следите за анонсами📣

#ti #event

❤️ | memory.DMP

Презентация выше⬆️
Запись доклада: будет позже, обновлю здесь.

P.S. Лучше дождаться запись доклада, потому что по пдфке мало, что понятно будет😾

#ti #event

❤️ | memory.DMP

Используем IoC нестандартно. Часть 2. Ландшафт угроз 🧘‍♀️

Ранее мы рассказывали про то, как использовать индикаторы компрометации для Threat Hunting. В этот раз поговорим про ландшафт угроз и о том, как можно использовать IOC-фиды для его построения. Напомним, что ландшафт угроз ИБ — это совокупность фактических и потенциальных угроз, уязвимостей и рисков, которые могут повлиять на безопасность информационных систем организации.

Рассматривая связь между IOC-фидами и построением ландшафта угроз ИБ, можно предложить следующий подход. В течение заданного периода времени вы можете отслеживать поступающие срабатывания по индикаторам в рамках всех типов СЗИ. Далее, получив перечень срабатываний, вы можете провести над ними аналитику: с какими семействами и группировками связаны выявленные индикаторы, какие уязвимости они эксплуатируют и т. д. Изучив эти данные, вы получите первичное представление о том, кто и как таргетит конкретно вас. Дополнительно изучив, какие техники реализуют выявленные группировки и семейства, вы получите актуальный на данный момент времени ландшафт угроз.

Основные преимущества этого подхода — опора на подтвержденные события и возможность предсказать следующие шаги конкретных злоумышленников. Но есть и недостатки: привязка к существующим детектам и сокращение покрытия анализа до срабатываний на СЗИ. Если для конкретной техники или угрозы детект отсутствует или он не отработал, то такая активность может остаться незамеченной.

🤔 В рамках анализа реальных сработок аналитик может ответить на ряд вопросов на основании наблюдаемой активности:

🔵 Какие группировки таргетят нашу организацию? Релевантны ли для нас связанные с ними угрозы?

🔵 Какие семейства ВПО уже были зафиксированы в нашей инфраструктуре и какие техники они реализуют?

🔵 Какие техники атак применялись против нас на разных этапах Cyber Kill Chain?

🔵 Какие уязвимости злоумышленники пытались эксплуатировать? Актуальны ли они для нас?

Существует и второй подход к его построению. Он предполагает поиск потенциальных угроз без ожидания срабатываний, с опорой на данные TI-систем и аналитические отчеты. В этом случае фокус смещается: отслеживаются не конкретные атаки на организацию, а актуальные варианты атак на компании конкретного сектора экономики или региона. Логика в том, что если ваша организация функционирует в рамках определенной отрасли в определенной стране, то атаки, характерные для этой отрасли и этой страны, будут опасны и для вас.

Объем данных при таком подходе значительно больше, однако вместе с этим расширяется и видимость — как фактических, так и потенциальных рисков. Аналитик получает возможность выявлять угрозы заранее, до появления инцидентов в собственной инфраструктуре. И тут он может ответить практически на те же вопросы, но более широкие:

🔴 Какие группировки, релевантные для нашего сектора экономики/региона, наиболее активны?

🔴Какие семейства ВПО входят в арсенал этих группировок и потенциально могут быть использованы против нас в будущем?

🔴Какие вредоносные техники характерны для данных группировок на разных этапах атаки? Насколько они пересекаются с нашим текущим покрытием детектирования СЗИ?

🔴Какие уязвимости активно эксплуатируются в нашем секторе экономики/регионе? Актуальны ли они для нас?

На практике оба подхода не противопоставляются друг другу, а используются совместно. Совмещая фактические срабатывания с информацией об угрозах для отрасли / региона, аналитик может:

🔴 Выявить, какие вредоносные техники релевантны для организации;

🔴 Определить, какие техники остаются недетектируемыми и требуют покрытия;

🔴 Оценить, какие угрозы уже актуальны, а какие с высокой вероятностью могут проявиться в будущем;

🔴 Сопоставить эксплуатируемые группировками уязвимости с реальным состоянием инфраструктуры.

Построение и анализ ландшафта угроз — хороший способ предусмотреть проактивные меры для защиты информационных систем, разработать качественную стратегию управления рисками и повысить общий уровень информационной безопасности организации.

#ioc #detect #tip
@ptescalator

⚡️ Главные киберугрозы 2026 года⚡️Компания F6 представила ежегодный аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26».

Подробный отчет послужит практическим руководством для планирования проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting.

Валерий Баулин, CEO F6:

В России фокус сместился с массовых атак на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов, кражу чувствительных данных.

В отличие от общемирового тренда, когда атакующие стараются без лишнего шума закрепиться в инфраструктуре, прошлогодние атаки на российские транспортные компании и торговые сети были очень громкими. Они сопровождались публикацией утечек данных, информационными вбросами и кампаниями по дискредитации пострадавших.

В 2026 году будет расти количество групп атакующих, ущерб от их деятельности, в том числе суммы выкупов за расшифровку данных.

Ключевые тезисы из отчета ⬇️

▪️ В 2025 году аналитики Threat Intelligence компании F6 зафиксировали 250 новых случаев публичных утечек баз данных стран СНГ. Суммарно утечки баз данных за 2025 год содержали 760+ млн строк с данными российских пользователей. Из них 315 млн записей содержали электронные адреса и 156 млн — пароли.

▪️ Раскрыты 7️⃣новых APT-групп: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081. Из 27 выявленных прогосударственных групп, нацеленных на СНГ, 24 атаковали Россию, 8 — Беларусь.

▪️ Количество атак программ-вымогателей выросло на 15% год к году. Рекорд по сумме первоначального выкупа поставила группировка CyberSec’s, потребовавшая 50 BTC (около 500 млн руб.). В среднем суммы первоначального выкупа за расшифровку данных колебались от 4 млн до 40 млн руб. Также 10+ хактивистских группировок отметились хотя бы одной атакой с использованием программы-вымогателя. В 2026 году эта тенденция продолжится.

Уникальные данные об активности атакующих, их тактиках и инструментах были получены благодаря данным киберразведки F6 Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F6 Managed XDR, работе аналитиков Центра кибербезопасности F6, реагирований на инциденты информационной безопасности специалистов Лаборатории цифровой криминалистики F6, функционалу платформы F6 для защиты цифровых активов Digital Risk Protection.

⤵️ СКАЧАТЬ ОТЧЕТ