Пользуясь случаем хочу передать БОЛЬШОЕ спасибо всем вендорам и компаниям рынка кибербезопасности, которые при маппинге тактик, техник и процедур по MITRE ATT&CK хотя бы как-то разделяют те техники, которые реализуются атакующими hands-on-keyboard, и те, что заложены в функционал используемого ими ВПО
Вы делаете этот мир чуточку прекраснее
Вы делаете этот мир чуточку прекраснее
❤37🔥4
Так и что в итоге, почему важно описывать процедуры нормально?
Второй день у меня душа болит, что моя мысль осталась недопонятой. Так дела не делаются, поэтому рассказываю
Когда мы пишем клиенту по результатам работ или публичный репорт, всю хронологию инцидента мы также маппим на небезызвестную матрицу. Для чего? Не просто потому, что она считается стандартом де-факто и красивенько выглядит, а потому что упрощает жизнь технически погруженным специалистам и позволяет не читать весь отчет в 40-60+ страниц, заглянув лишь в таблицу понять, в чем собственно сыр-бор. Теперь давайте на примере рассмотрим, как процедура может выглядеть (случай, когда процедуры не описываются совсем, мы уж брать не будем - мы же с вами не такие, да?):
Это для кого описание? Для C-level - да, там не нужны детали. Но раздел для инженеров, и вот это - ни о чем
Получше, но намешаны две тактики, а конкретики все равно нет
Во, нормально. Знаем, что и где будем искать, а там уже с hunting possibilities разберемся сами
Тоже все предельно ясно, пусть и возможно чуть сложнее для поиска
Кхм. Какое ВПО? Мне нужно знать весь тулсет? Есть признаки очистки в итоге или нет? Очень интересно, но ничего непонятно
Может да, а может и нет. Все мы помним про ошибку с использованием старых вызовов WinAPI в 3.0 и неполную очистку журналов
Я про эту разницу. Я читаю маппинг, чтобы не читать полностью репорт. Я строю ханты по описанным процедурам и понимаю, что и где мне нужно искать, при помощи каких инструментов. Еще я упоминала про разделение действий хэндс-он и функционала ВПО и не просто так: это про расстановку приоритетов при поиске. Экспертно и правда классно, когда указаны те же используемые программой вызовы WinAPI, но камон, если вы когда-то реагировали в энтерпрайзе, к сожалению, понимаете, что логирует такие вещи одна компания из десяти, да и искать в первую очередь в скомпрометированной инфре вы это точно не будете. Поэтому своих ребят я прошу не только оформлять процедуры адекватно, но еще и выделять цветом в таблице, где актор что-то делал ручками, а где - тонкости работы ВПО. Ну, это просто нагляднее и в дальнейшем удобнее в работе
Такое вот утро понедельника
Всем продуктивной рабочей недели :)
Второй день у меня душа болит, что моя мысль осталась недопонятой. Так дела не делаются, поэтому рассказываю
Когда мы пишем клиенту по результатам работ или публичный репорт, всю хронологию инцидента мы также маппим на небезызвестную матрицу. Для чего? Не просто потому, что она считается стандартом де-факто и красивенько выглядит, а потому что упрощает жизнь технически погруженным специалистам и позволяет не читать весь отчет в 40-60+ страниц, заглянув лишь в таблицу понять, в чем собственно сыр-бор. Теперь давайте на примере рассмотрим, как процедура может выглядеть (случай, когда процедуры не описываются совсем, мы уж брать не будем - мы же с вами не такие, да?):
❌ «Атакующие очищали журналы безопасности»
Это для кого описание? Для C-level - да, там не нужны детали. Но раздел для инженеров, и вот это - ни о чем
❌ «Атакующие очищали журналы безопасности с использованием PowerShell-интепретатора»
Получше, но намешаны две тактики, а конкретики все равно нет
✔️ «Атакующие очищали журналы безопасности с использованием PowerShell-командлета Clear-EventLog»
Во, нормально. Знаем, что и где будем искать, а там уже с hunting possibilities разберемся сами
✔️ «Атакующие очищали журналы безопасности посредством eventvwr.msc»
Тоже все предельно ясно, пусть и возможно чуть сложнее для поиска
❌ «ВПО имело возможность очищать журналы безопасности после выполнения полезной нагрузки»
Кхм. Какое ВПО? Мне нужно знать весь тулсет? Есть признаки очистки в итоге или нет? Очень интересно, но ничего непонятно
❌ «Программа-вымогатель семейства LockBit может очищать журналы»
Может да, а может и нет. Все мы помним про ошибку с использованием старых вызовов WinAPI в 3.0 и неполную очистку журналов
✔️ «Используемый экземпляр программы-вымогателя семейства LockBit очищал журналы»
Я про эту разницу. Я читаю маппинг, чтобы не читать полностью репорт. Я строю ханты по описанным процедурам и понимаю, что и где мне нужно искать, при помощи каких инструментов. Еще я упоминала про разделение действий хэндс-он и функционала ВПО и не просто так: это про расстановку приоритетов при поиске. Экспертно и правда классно, когда указаны те же используемые программой вызовы WinAPI, но камон, если вы когда-то реагировали в энтерпрайзе, к сожалению, понимаете, что логирует такие вещи одна компания из десяти, да и искать в первую очередь в скомпрометированной инфре вы это точно не будете. Поэтому своих ребят я прошу не только оформлять процедуры адекватно, но еще и выделять цветом в таблице, где актор что-то делал ручками, а где - тонкости работы ВПО. Ну, это просто нагляднее и в дальнейшем удобнее в работе
Такое вот утро понедельника
Всем продуктивной рабочей недели :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥70❤15😁1
В этом году, кажется, я превзошла саму себя: не только за счет кликбейтных и вызывающих названий, но и потому что один из них оказался в бизнес-секции вместо заявленного научпопа
Даже чуть волнительно, это же надо как-то посерьезнее быть, чтоли🤓
Думаю, ближе к делу опубликуют расписание с аннотациями. See ya!
Даже чуть волнительно, это же надо как-то посерьезнее быть, чтоли
Думаю, ближе к делу опубликуют расписание с аннотациями. See ya!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤35🔥30😁1
Утром — пишу посты, вечером —нагуливаю выгуливаю свои щеки в районах Токио. Скоро все будет シ
🔥67❤26😁5
Атаки с использованием программ-вымогателей. Никакого rocket science: вот список первоочередных вопросов, который перед вами поставит любая внешняя команда по реагированию
😐 Записка с требованием о выкупе (если злоумышленники ее оставили, а клиент - ее нашел) и информацию о добавляемом расширении. Можно запросить примеры зашифрованных файлов небольшого размера и дополнительно просмотреть их содержимое: возможно, есть специфичные и повторяющиеся заголовки или строки
На основе этих данных пробуем провести атрибуцию угрозы, группировки или семейства используемой программы: это поможет нам приоритезировать поиск и анализ, а также выбирать конкретные действия по реагированию. Для поиска нам в помощь гугол, данные TI(странно, что никто из TI-поставщиков еще не догадался сохранять и обрабатывать обезличенные примеры записок с привязкой к профилю🤔) , иногда помогает репозиторий F6 или тот же твиттер. Еще информация может быть тут и даже на самых обычных форумах
1️⃣ Общие вопросы. Кратко:
— как именно был обнаружен инцидент (сами, кто-то сообщил, сработка средств мониторинга/безопасности и так далее)? Что вообще фиксировали? Есть ли какие-то временные рамки, конкретные дата/время?
— какие хосты подверглись атаке (сколько от общего количества конечных узлов, сервера, пользовательские рабочие станции)? Какая операционная система задействована (Windows, nix-based, если виртуализация, то какая именно)? Какие сервисы? Есть ли то, что их объединяет (прикладное назначение, сетевой сегмент)?
— какие действия уже были предприняты?
— имеются ли резервные копии, остался ли доступ к ним? Есть ли план по восстановлению работоспособности?
— с прицелом на будущее:
а) уточнить по активам, опубликованным в сеть Интернет. Что по демилитаризованной зоне? Мы же с вами знаем, что в случае с шифровальщиками у нас по факту три основных вектора: фишинг, экспулатация уязвимостей и сервисы удаленного доступа, в частности - RDP
б) имеется ли возможность централизованного сбора данных? Функционирует ли доменная среда?
Проработка этих вопросов сразу может позволить существенно сократить время расследования
2️⃣ Имеется ли файл самого шифровальщика? Другое найденное ВПО? Если да, то файл программы-вымогателя мы отдаем на реверс.
Нужно выяснить, как работает вредонос, какое шифрование использует, как распространяется (если заложено функционалом), возможные алгоритмические ошибки, при которых все же есть шанс расшифровать данные или какую-либо их часть, и так далее
Отдельно проговариваем:
🔵 Ни во время, ни после шифрования НЕ отключать от питания хосты повсеместно, а если речь о виртуализации, то ставить машины на паузу. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования. А может страшного ничего и не произойти, но это всегда про риски
🔵 Не восстанавливаем зараженные машины из бэкапов, если еще нет понимания картины инцидента и данных о первичном проникновении злоумышленника в сеть. Навосстанавливаем себе тех же самых бэкдоров
🔵 Не перезаливаем хосты, даже если «работа стоит» и «ну очень надо». В случае острой необходимости, важно перед этим снять с него данные. А вдруг этот хост окажется основной точкой активности или нулевым пациентом, а значит, будет содержать самую ценную информацию для расследования?
🔵 А какой срок ротации журналов? На время расследования лучше сразу приостановить данные процессы, особенно в случаях малой глубины хранения или критических систем. Будет не очень хорошо, если через сутки мы поймем, что нужны журналы, которые хранятся пару часов
Дальше уходим в анализ, разбираемся, какие источники данных есть, а все решения - в зависимости от полученных результатов. Нет единого пути для всего: иногда первым и лучшим решением будет в принципе отключиться от Интернета на какое-то время или строить все с нуля
Главное, не построить с нуля с теми же ошибками, что были до
На основе этих данных пробуем провести атрибуцию угрозы, группировки или семейства используемой программы: это поможет нам приоритезировать поиск и анализ, а также выбирать конкретные действия по реагированию. Для поиска нам в помощь гугол, данные TI
— как именно был обнаружен инцидент (сами, кто-то сообщил, сработка средств мониторинга/безопасности и так далее)? Что вообще фиксировали? Есть ли какие-то временные рамки, конкретные дата/время?
— какие хосты подверглись атаке (сколько от общего количества конечных узлов, сервера, пользовательские рабочие станции)? Какая операционная система задействована (Windows, nix-based, если виртуализация, то какая именно)? Какие сервисы? Есть ли то, что их объединяет (прикладное назначение, сетевой сегмент)?
— какие действия уже были предприняты?
— имеются ли резервные копии, остался ли доступ к ним? Есть ли план по восстановлению работоспособности?
— с прицелом на будущее:
а) уточнить по активам, опубликованным в сеть Интернет. Что по демилитаризованной зоне? Мы же с вами знаем, что в случае с шифровальщиками у нас по факту три основных вектора: фишинг, экспулатация уязвимостей и сервисы удаленного доступа, в частности - RDP
б) имеется ли возможность централизованного сбора данных? Функционирует ли доменная среда?
Проработка этих вопросов сразу может позволить существенно сократить время расследования
Нужно выяснить, как работает вредонос, какое шифрование использует, как распространяется (если заложено функционалом), возможные алгоритмические ошибки, при которых все же есть шанс расшифровать данные или какую-либо их часть, и так далее
Отдельно проговариваем:
Дальше уходим в анализ, разбираемся, какие источники данных есть, а все решения - в зависимости от полученных результатов. Нет единого пути для всего: иногда первым и лучшим решением будет в принципе отключиться от Интернета на какое-то время или строить все с нуля
Главное, не построить с нуля с теми же ошибками, что были до
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥31❤15😁2
Как же часто мне попадается эта картинка…
Еще один представитель «лучших» читшитов. Или снова душню? Вам как?
Еще один представитель «лучших» читшитов. Или снова душню? Вам как?
Forwarded from ESCalator
Yara Yara Daze
Всем, кто занимается malware analysis, точно знаком такой инструмент, как YARA😉 . С помощью него во многих компаниях 🔴 составляют наборы сигнатурных правил для определения и классификации вредоносов.
🤔 So, что такое хорошие YARA-правила? Это правила, которые могут детектировать предназначенный им класс или семейство ВПО, не детектируют ничего лишнего (false positive) и способны сохранять актуальность, даже если ВПО подвергается небольшим изменениям.
😏 Нет общего совета, как сделать хорошее YARA-правило — это зависит от сампла к самплу. Мы поделимся некоторыми Tips&Tricks про детект строк, которые будут полезны начинающим:
🔹 Не стоит забывать
🔹
🔹 Лучше избегать сигнатур длиной в 3-4 символа.
🔹 Иногда очень полезно прописывать условие расстояния между строками. Например, если в файле есть какие-нибудь white- / blacklist, как имена процессов, можно ограничить их расположение в окне конкретной длины:
🔹 Строки логирования лучше не разбивать на подстроки длиной 4-5 символов, если там общие слова, которые могут встретиться в любом контексте: детект подстроки
🔹 Чтобы детект строк пережил различные кодировки, чередование заглавных и строчных букв, можно использовать три модификатора
И, конечно, главное — не забывать смотреть в документацию YARA 👀, следить за обновлениями иподсматривать на рули коллег.
Успехов в работе.
#tips #malware #YARA
@ptescalator
Всем, кто занимается malware analysis, точно знаком такой инструмент, как YARA
🔹 Не стоит забывать
fullword — этот модификатор на строки гарантирует, что сигнатурная строка не будет находиться между буквенно-цифровыми символами (осторожнее с golang).🔹
filesize выручает в тех случаях, когда сампл маленький и кроме общих сигнатур в нем ничего нет: rule CustomSocksProxy {
strings:
$a_1 = "SOCKS5 Proxy listening" wide
$a_2 = "New connection from" wide
condition:
uint16(0) == 0x5a4d and filesize < 100KB and all of ($a_*)
}
🔹 Лучше избегать сигнатур длиной в 3-4 символа.
🔹 Иногда очень полезно прописывать условие расстояния между строками. Например, если в файле есть какие-нибудь white- / blacklist, как имена процессов, можно ограничить их расположение в окне конкретной длины:
rule CheckProcessList {
strings:
$base = "\\system32\\cmd.exe" wide
$str2 = "\\task.exe" wide
$str3 = "cmd.exe" wide
$str4 = "\\alg.exe" wide
$str5 = "powershell.exe" wide
condition:
for all of ($str*): (@ - @base < 100) and for all of ($str*): (@base - @ < 100)
}
🔹 Строки логирования лучше не разбивать на подстроки длиной 4-5 символов, если там общие слова, которые могут встретиться в любом контексте: детект подстроки
\\\\dc2 в строке \nUsing:\n\t session_enum.exe \\\\dc1 \\\\dc2 \n — плохой детект.🔹 Чтобы детект строк пережил различные кодировки, чередование заглавных и строчных букв, можно использовать три модификатора
wide ascii nocase: rule SomeAPTScript {
strings:
$a1 = "GetRef(" ascii wide
$a2 = " & ChrW(\"&H\" &" ascii wide
$a3 = "Mid(" ascii wide
$a4 = "Join(" ascii wide
$a5 = "=0 Step -2" ascii wide
$a6 = "Function [" ascii wide
$a7 = "MSXML2.ServerXMLHTTP" ascii wide
$v1 = "<Script " ascii nocase wide
$v2 = "VBSCript" ascii nocase wide
$v3 = "JSCript" ascii nocase wide
$wscript = "WScript.CreateObject(\"WScript.Shell\")" ascii nocase wide
condition:
filesize < 30KB and $wscript and 2 of ($v*) and 5 of ($a*)
}
И, конечно, главное — не забывать смотреть в документацию YARA 👀, следить за обновлениями и
Успехов в работе.
#tips #malware #YARA
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤5
Недавно у нас тут был вопрос для обсуждения из разряда как отличить хорошее yara-правило от плохого. Как раз к теме, у ребят из эска вышел даже пост⬆️
Я хоть и не особо являюсь здесь профи, но тоже отмечу:
— при всей моей безудержной любви к регулярным выражениям, с ними нужно быть аккуратными и лучше использовать либо более четкие, либо вместе с другими условиями/атомами/подстроками
— еще раз подумайте о том, с каким ВПО вы работаете и что хотите найти: если ограничиваете все только хешами, рискуете многое потерять
— важно не забывать про порядок условий: идем от общего к более частному, чтобы максимально разграничивать поиск
— лучше удалять метаданные при обширном сканировании, чтобы не загружать оперативную память еще и этой информацией
Может, и вам есть, чего добавить? Соберем все бест практис в одном месте :)
Я хоть и не особо являюсь здесь профи, но тоже отмечу:
— при всей моей безудержной любви к регулярным выражениям, с ними нужно быть аккуратными и лучше использовать либо более четкие, либо вместе с другими условиями/атомами/подстроками
— еще раз подумайте о том, с каким ВПО вы работаете и что хотите найти: если ограничиваете все только хешами, рискуете многое потерять
— важно не забывать про порядок условий: идем от общего к более частному, чтобы максимально разграничивать поиск
— лучше удалять метаданные при обширном сканировании, чтобы не загружать оперативную память еще и этой информацией
Может, и вам есть, чего добавить? Соберем все бест практис в одном месте :)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20🔥10
Как обещала, отдаю презентации. Но у меня есть условие! Давайте после этих трех насыщенных дней мы соберем всю волю в кулак и хотя бы немного просто отдохнем 😁
P.S. Я никак не ожидала, что этот пхдейс пройдет настолько тепло, в прямом и переносном смысле этого слова. Спасибо организаторам за продуманное до мелочей мероприятие, а вам - за поддержку, внимание и абсолютно каждую встречу!
P.S. Я никак не ожидала, что этот пхдейс пройдет настолько тепло, в прямом и переносном смысле этого слова. Спасибо организаторам за продуманное до мелочей мероприятие, а вам - за поддержку, внимание и абсолютно каждую встречу!
4❤64🔥32
Но это случилось и на подкаст меня все же позвали 😁
В начале мая собрались с коллегами по цеху обсудить ключевые моменты реагирования на инциденты с применением данных киберразведки. Если вам лень (??) читать всеми признанную и горячо любимую книгу по данной теме, то по этой ссылке 🔗 - ее краткое содержание, только уже переложенное на наши реалии и с практическими примерами из жизни
А с этой биполярочкой из предыдущих постов нужно бы разобраться, конечно
В начале мая собрались с коллегами по цеху обсудить ключевые моменты реагирования на инциденты с применением данных киберразведки. Если вам лень (??) читать всеми признанную и горячо любимую книгу по данной теме, то по этой ссылке 🔗 - ее краткое содержание, только уже переложенное на наши реалии и с практическими примерами из жизни
🔥45