🔬Blue Team Labs
Completed
✅Log Analysis- Privilege Escalation
✅ATT&CK
In Progress
☑Phishing Analysis #email #url2png #whois
☑The Planet's Prestige #email
🛡CyberDefenders
In Progress
☑Qradar101 #siem #investigation
☑Intel101 #osint
💻TryHackMe
In Progress
☑Cyber Defense - Threat and Vulnerability Management - MITRE #study
Completed
✅Log Analysis- Privilege Escalation
✅ATT&CK
In Progress
☑Phishing Analysis #email #url2png #whois
☑The Planet's Prestige #email
🛡CyberDefenders
In Progress
☑Qradar101 #siem #investigation
☑Intel101 #osint
💻TryHackMe
In Progress
☑Cyber Defense - Threat and Vulnerability Management - MITRE #study
👍1
Интересное наблюдение, которое можно использоваться для запоминания:
В Cyber Kill Chain 7 этапов, а в MITRE ATT&CK рассматриваются 14 тактик, то есть ровно в 2 раза больше (напомню, что тактика = цель атакующего, objective).
А ещё MITRE изначально (2013) собирали TTP только для Windows.
В Cyber Kill Chain 7 этапов, а в MITRE ATT&CK рассматриваются 14 тактик, то есть ровно в 2 раза больше (напомню, что тактика = цель атакующего, objective).
А ещё MITRE изначально (2013) собирали TTP только для Windows.
🔺TCP/IP vs OSI🔻
TCP/IP | OSI
Год создания: 1982 | 1984
Разработан: DoD | ISO
Отличия: real-world | for learning purposes
Уровни OSI
7️⃣Приложения
6️⃣Представления - переводит данные в формат, который будет понятен принимающей стороне, а также шифрует и сжимает.
5️⃣Сеансовый - устанавливает соединение с другим хостов. Если этого не удаётся сделать, то данные не опускаются ниже по модели.
4️⃣Транспортный - здесь выбирает протокол, с помощью которого будут передаваться данные (TCP/UDP)/
3️⃣Сетевой - определяет назначение (в смысле адреса) посылки: логическая адресация, выбор IP-адреса назначения. Данные оформляются в пакеты.
2️⃣Канальный - это про физическую адресацию. Добавляет к IP-адресу MAC-адресу (который, кстати, буквально выжигается на каждой сетевой карте; впрочем, это не мешает его спуфить). Также именно тут данные переводят в формат, подходящий для передачи. И ещё тут проверяется, не были ли данные повреждены при передаче на физическом уровне. Это происходит путём добавления в конец передачи "трейлера": он используется для проверки целостности. Передача происходит в виде фреймов.
1️⃣Физический
📌Мнемо-правило:
Футбольный Клуб Спартак: Только Слабых Привыкли Побеждать
Ну а TCP/IP - это про three-way handshake.
TCP/IP | OSI
Год создания: 1982 | 1984
Разработан: DoD | ISO
Отличия: real-world | for learning purposes
Уровни OSI
7️⃣Приложения
6️⃣Представления - переводит данные в формат, который будет понятен принимающей стороне, а также шифрует и сжимает.
5️⃣Сеансовый - устанавливает соединение с другим хостов. Если этого не удаётся сделать, то данные не опускаются ниже по модели.
4️⃣Транспортный - здесь выбирает протокол, с помощью которого будут передаваться данные (TCP/UDP)/
3️⃣Сетевой - определяет назначение (в смысле адреса) посылки: логическая адресация, выбор IP-адреса назначения. Данные оформляются в пакеты.
2️⃣Канальный - это про физическую адресацию. Добавляет к IP-адресу MAC-адресу (который, кстати, буквально выжигается на каждой сетевой карте; впрочем, это не мешает его спуфить). Также именно тут данные переводят в формат, подходящий для передачи. И ещё тут проверяется, не были ли данные повреждены при передаче на физическом уровне. Это происходит путём добавления в конец передачи "трейлера": он используется для проверки целостности. Передача происходит в виде фреймов.
1️⃣Физический
📌Мнемо-правило:
Футбольный Клуб Спартак: Только Слабых Привыкли Побеждать
Ну а TCP/IP - это про three-way handshake.
👍1
Для форензик-анализа "живой" Винды (особенно если есть права администратора) может хватить обычной командной строки и журнала событий. Или Powershell - для продвинутых.
Полезные команды:
📍net user - перечисляет пользователей системы и даёт информацию по каждому, если указать имя. Можно также активировать/деактивировать УЗ, указать разрешённое время для входа и список рабочих станций, расширять описание и т.д.
📍schtasks - выводит все имеющиеся задачи, которые можно фильтровать (например, по статусу: запущен или нет) с помощью findstr. На самом деле не особо удобно, так как строки заворачиваются и получается какая-то каша, поэтому проще залезть в С:/Windows/System32/Tasks и увидеть там xml-файлы, соответствующие всем ныне активным задачам. В файлах также можно найти их подробное описание: что, когда, на какой порт и т.д.
С помощью schtasks также можно управлять задачами, но опять, зачем извращаться, если можно запустить Task Scheduler.
Полезные команды:
📍net user - перечисляет пользователей системы и даёт информацию по каждому, если указать имя. Можно также активировать/деактивировать УЗ, указать разрешённое время для входа и список рабочих станций, расширять описание и т.д.
📍schtasks - выводит все имеющиеся задачи, которые можно фильтровать (например, по статусу: запущен или нет) с помощью findstr. На самом деле не особо удобно, так как строки заворачиваются и получается какая-то каша, поэтому проще залезть в С:/Windows/System32/Tasks и увидеть там xml-файлы, соответствующие всем ныне активным задачам. В файлах также можно найти их подробное описание: что, когда, на какой порт и т.д.
С помощью schtasks также можно управлять задачами, но опять, зачем извращаться, если можно запустить Task Scheduler.
🔎Как работает DNS
1. Сначала хост проверяет свой собственный локальный кэш - не осталось ли там сведений об обращении по аналогичной ссылке.
2. Если в кэше нет, то идёт обращение к рекурсивному DNS-серверу. О нём обязательно знает местный роутер. Владеют ими обычно интернет-провайдеры, но Гугл, например, тоже. У такого сервера тоже есть свой кэш, но если в нём пусто, то:
3. В мире есть некоторое количество корневых DNS-серверов. Когда-то их было всего 13, и хотя число их значительно возросло, они всё ещё доступны под теми же 13 адресами (и ты всегда обращаешься к географически ближайшему).
4. Эти корневые серверы знают всё о top-level доменных серверах. Каждый TLD отвечает за своё расширение: .com, .ru, .co.uk и т.д.
Бывают gTLD (generic) и ссTLD (country code). Всего существуют >2000 различных TLD.
5. Далее запрос от соответствующего TLD адресуется authoritative серверу. На них хранятся непосредственно DNS-записи о доменах.
В итоге, если сами мы данные не располагаем, то получается такой путь:
recursive —> root —> top-level —> authoritative.
Утилита dig немного показывает, как всё это работает.
⚙️Устройство доменного имени
Top-level domain - это .com, .gov, .ua, .club и т.д.
Second-level domain - это одно(!) слова слева от TLD.
Subdomain - всё, что левее second-level domain.
Всего длина домена не должны превышать 253 символа.
Пример: jupiter[.]servers[.]tryhackme[.]com
1. Сначала хост проверяет свой собственный локальный кэш - не осталось ли там сведений об обращении по аналогичной ссылке.
2. Если в кэше нет, то идёт обращение к рекурсивному DNS-серверу. О нём обязательно знает местный роутер. Владеют ими обычно интернет-провайдеры, но Гугл, например, тоже. У такого сервера тоже есть свой кэш, но если в нём пусто, то:
3. В мире есть некоторое количество корневых DNS-серверов. Когда-то их было всего 13, и хотя число их значительно возросло, они всё ещё доступны под теми же 13 адресами (и ты всегда обращаешься к географически ближайшему).
4. Эти корневые серверы знают всё о top-level доменных серверах. Каждый TLD отвечает за своё расширение: .com, .ru, .co.uk и т.д.
Бывают gTLD (generic) и ссTLD (country code). Всего существуют >2000 различных TLD.
5. Далее запрос от соответствующего TLD адресуется authoritative серверу. На них хранятся непосредственно DNS-записи о доменах.
В итоге, если сами мы данные не располагаем, то получается такой путь:
recursive —> root —> top-level —> authoritative.
Утилита dig немного показывает, как всё это работает.
⚙️Устройство доменного имени
Top-level domain - это .com, .gov, .ua, .club и т.д.
Second-level domain - это одно(!) слова слева от TLD.
Subdomain - всё, что левее second-level domain.
Всего длина домена не должны превышать 253 символа.
Пример: jupiter[.]servers[.]tryhackme[.]com
📎📎📎Полезные ссылки на будущее
📎https://github.com/stuxnet999/MemLabs - можно потренировать в #dfir в стиле CTF. Всего 6 лаб. #volatility
📎https://volatility-labs.blogspot.com/ - ещё больше лаб по #volatility Но пока не разобралась, где можно посмотреть задания завершившихся контестов.
📎https://github.com/stuxnet999/MemLabs - можно потренировать в #dfir в стиле CTF. Всего 6 лаб. #volatility
📎https://volatility-labs.blogspot.com/ - ещё больше лаб по #volatility Но пока не разобралась, где можно посмотреть задания завершившихся контестов.
GitHub
GitHub - stuxnet999/MemLabs: Educational, CTF-styled labs for individuals interested in Memory Forensics
Educational, CTF-styled labs for individuals interested in Memory Forensics - stuxnet999/MemLabs
👍1
💻TryHackMe
Completed
✅How the Web works - HTTP in detail
✅How the Web works - DNS in detail
✅Linux Fundamentals - Part 1
In Progress
☑️Linux Fundamentals - Part 2
Completed
✅How the Web works - HTTP in detail
✅How the Web works - DNS in detail
✅Linux Fundamentals - Part 1
In Progress
☑️Linux Fundamentals - Part 2
По итогам этого кейса:
1. Установила на Kali xeuledoc (https://github.com/Malfrats/xeuledoc) - собирает информацию о любом публичном Гугл-документе.
2. Узнала, что вот так: https://calendar.google.com/calendar/htmlembed?src=ВВОДИМ_АДРЕС_ПОЧТЫ - можно получить доступ к чужому Гугл-календарю
3. https://tools.epieos.com/email.php - узнаёт Google ID по Гугл-почте
4. https://www.google.com/maps/contrib/ВВЕДИТЕ_GOOGLE_ID - получить все метки пользователя на Гугл-карте (Google ID состоит из 21 цифры).
5. На Гугл-диске можно покопаться в исходном коде, ища последовательности из 21 цифры, предваряемые кавычкой (\х22). И да, скорее всего ID начинается с "10" или "11"
6. Если на руках есть ID Яндекс Метрики, что можно узнать, данные о сайте, где эта метрика используется: https://metrika.yandex.ru/dashboard?id=ID_ЯМЕТРИКИ. Там есть отчёты, можно поизучать.
#osint
1. Установила на Kali xeuledoc (https://github.com/Malfrats/xeuledoc) - собирает информацию о любом публичном Гугл-документе.
2. Узнала, что вот так: https://calendar.google.com/calendar/htmlembed?src=ВВОДИМ_АДРЕС_ПОЧТЫ - можно получить доступ к чужому Гугл-календарю
3. https://tools.epieos.com/email.php - узнаёт Google ID по Гугл-почте
4. https://www.google.com/maps/contrib/ВВЕДИТЕ_GOOGLE_ID - получить все метки пользователя на Гугл-карте (Google ID состоит из 21 цифры).
5. На Гугл-диске можно покопаться в исходном коде, ища последовательности из 21 цифры, предваряемые кавычкой (\х22). И да, скорее всего ID начинается с "10" или "11"
6. Если на руках есть ID Яндекс Метрики, что можно узнать, данные о сайте, где эта метрика используется: https://metrika.yandex.ru/dashboard?id=ID_ЯМЕТРИКИ. Там есть отчёты, можно поизучать.
#osint
👍2