Когда я буду на PHD2?

24 мая 17:30 - 18:30 на секции у Володи Дмитриева в замечательной компании будем фантазировать на тему будущего SOC. Это мероприятие уже есть в программе, даю ссылку. Учитывая состав коллег, по панельке - Тимур, Антон, Теймур, уверен, дискуссия будет интересная. Так или иначе занимаясь развитием SOC, я бы точно пошел послушать и, что еще важнее, лично пообщаться со спикерами.

25 мая 12:55 - 13:15 буду рассказывать для молодежи о работе аналитика SOC. Если вы сами или ваши близкие и знакомые решают с чего начать карьерный путь в ИТ\ИБ и как он мог бы выглядеть, то приходите, обсудим. Слайдами после мероприятия обязательно поделюсь.

Я точно буду оба дня, 24 и 25 мая, поэтому можно пересечься\пообщаться\познакомиться.

28 мая, в 17:00 MSK, мой коллеги и друг, Роман Назаров, Руководитель нашего направления SOC Consulting будет проводить вебинар на Brighttalk. На мероприятии обсудим опыт реальных проектов гибридных SOC-ов для конечных заказчиков, SOC-ов, как услуг MSSP, и много чего интересного, а самое главное, можно будет задать вопросы и получить ответы!

#MDR

В апреле мы показывали вам годовые аналитические отчёты наших команд MDR и IR. Там были красивые картинки с котиками, а также много интересной статистики по инцидентам прошедшего года. Одновременно наши коллеги Сергей Солдатов и Константин Сапронов провели вебинар «Сезон киберохоты», где комментировали эту статистику и отвечали на вопросы.

Но вопросов было много, ответить на все за время вебинара не успели. Зато ответили после! Весь Q&A можно найти по ссылке. Спасибо за хорошие вопросы, вытянувшие из наших экспертов такие знания:

– Да, зиродеи – это плохо. Но большая часть атак проводится с использованием хорошо известных уязвимостей с публичными эксплоитами (1-day).
– На реальных инцидентах lsass дампят 1001 способом, включая довольно «свежие» (например, LSA Whisperer)
– Да, нужно читать угрозные отчеты (TI) и писать на их основании правила обнаружения. Но все отчёты не прочитать, все угрозы не покрыть, все правила не написать: приоритизация очень важна и считается отдельной дисциплиной – угрозный аналитик (CTI analyst). Не забывайте использовать тесты в любом BAS для проверки пула своих детектирующих правил.

И лучший вопрос с лучшим ответом:

Q: По вашим наблюдениям, существует ли феномен "фишингового вторника": преобладание начала фишинговых атак во вторник?
A: По нашим наблюдениям, существует феномен обращений за расследованием инцидентов в пятницу вечером! Даже если инцидент случился в понедельник, вечер пятницы – это самое частое время обращений за услугой.

В полном файле Q&A отмечены три лучших вопроса, которые выбрали наши эксперты, проводившие вебинар. Авторы этих вопросов могут получить подарки от экспертов, если напишут по адресу [email protected].

Как ранее отмечал, 28 мая, во вторник, в 17:00 состоится наш вебинар Brighttalk по мотивам работ на проектах SOC Consulting.
Из личного опыта знаю, что подавляющее большинство смотрит Brighttalk в записи, аналогично, и ваш покорный слуга, и нас не останавливает утрата возможности задать вопросы и тут же получить ответы.... Но в наших силах это исправить! Для читателей нашего канала я предлагаю уникальную возможность: задайте вопрос в комментариях к этому сообщению, и мы обязательно ответим!

Правила такие:
- вопросы надо задавать в комментариях к этой заметке (все читатели будут видеть все вопросы)
- вопросы должны быть релевантны контенту вебинара
- вопросы можно задавать на английском и русском языках (ответ будет дан на языке вопроса, вебинар будет на английском языке)
- все вопросы будут собраны в единый документ, документом поделюсь
- автор лучшего вопроса получит памятный приз!

До встречи на вебинаре!

Автоматизация - наше все!

При текущих объемах работ и требованиям к качеству, автоматизация - наиболее перспективный вариант масштабирования. Снижение нагрузки на аналитика SOC с помощью Автоаналитика мы используем достаточно давно. Сейчас популярность набирают большие языковые модели, однако, из-за высокой стоимости их ошибки, а также, довольно внушительный бэклог из простых автоматизаций с куда более ощутимым выхлопом , их применение в качестве какого-либо подспорья для аналитика SOC, по-прежнему находится за рамками широкого продуктивного использования. В этой связи есть большой интерес как там у коллег по цеху, дошло ли применение LLM до боевого или находится на уровне маркетинга-хайпа-эксперементов, или локального применения на полуискусственном объеме. Вот доклады, которые я запланировал посмотреть по теме:
- Применение LLM в информационной безопасности: путь к AI-ассистенту
- Уменьшение нагрузки на аналитика SOC
- Как прикормить LLM в SOC

О последнем докладе я наиболее осведомлен, даже видел слайды (после доклада, поделюсь), и прекрасно знаком с Игорем. В свое время вместе увлеклись машобучем, изучали его еще на R, где-то на заре этих увлечений я написал это. Вообще, степень увлеченности автора вопросом - хороший индикатор качества выдаваемого контента, всегда приятно слушать увлеченных людей. В общем, пока у меня есть ожидания и надежды, что удастся превратить LLM из хайповой игрушки в эффективную автоматизацию работы операционного подразделения.

#MDR

Представьте, что вы проводите Red Teaming, и уже получили сетевой доступ к контроллеру домена. Для развития атаки можно посмотреть в сторону доменных учётных записей со слабыми паролями. Но как их выявить, не привлекая внимания санитаров специалистов SOC?

Вы можете точечно проверить отдельные дефолтные аккаунты, такие как test или it-admin. Однако устроить перебор всех возможных доменных пользователей не так просто. Можно попробовать преаутентификацию в Kerberos – но это слишком шумно, и вас точно засекут.

Есть менее заметный метод. Давайте обратимся к древнему интерфейсу MS-NRPC, используя уровень доступа RPC_C_AUTHN_LEVEL_NONE (то есть без авторизации). А затем вызовем функцию Opnum 34 (DsrGetDcNameEx2) – которая проводит проверку существования указанного аккаунта в домене. Скормив этой функции дефолтный список всевозможных имён, получим список существующих доменных аккаунтов. Обнаружить такую активность совсем непросто, поскольку она не оставляет какого-либо специального типа события в журнале безопасности Windows.

Дальше остаётся только устроить перебор паролей (password spraying) по полученному списку аккаунтов. Наверняка хоть кто-нибудь использовал P@$$w0rd или May_2024.

Более подробный анализ безопасности MSRPC-интерфейсов – в исследовании Хайдара Кабибо.

Автор исследования также написал утилиту для демонстрации описанных возможностей:
https://github.com/klsecservices/NauthNRPC

Новые-старые подходы вымогателей: использование BitLocker. Это встроенное в Windows средство шифрования по идее должно защищать пользовательские данные от кражи – но может с таким же успехом защитить компьютер от его владельца! Наши эксперты проанализировали новую атаку, где злоумышленники научились ещё лучше прятать ключи криптозащиты и затруднять работу реагирования на инцидент.

Интересно, что перед шифрованием злоумышленники конфигурируют машину в очень безопасное состояние. Примерно так и нужно конфигурировать компьютер для защиты… а здесь это делают атакующие, чтобы "защитить" захваченную машину:

fDenyTSConnections = 1: отключает удалённый доступ по RDP
scforceoption = 1: требует аутентификацию по смарт-карте
UseAdvancedStartup = 1: требует BitLocker PIN для перезагрузки
UsePIN = 2: требует стартовый PIN с доверенным модулем (TPM)
... и так далее.

Отсюда удивительный совет для защитников: ловите изменения в реестре, которые выглядят как слишком хороший харденинг. Особенно подозрительно, если после такой безопасной конфигурации с компьютера перестала переходить телеметрия.

Подробности работы трояна-шифровальщика на основе BitLocker:
https://securelist.com/ransomware-abuses-bitlocker/112643/

Всем привет! Сегодня и завтра я на PHD2. Буду рад всех увидеть, пишите в личку. До встречи!

Всем привет!

В новой заметке порассуждал о карьере, руководящих позициях, ответственности за принятые решения. Я специально где-то немного обострил формулировки с целью простимулировать внимание к вопросу. Уверен, что нам всем стоит быть честными и открытыми и, когда мы работаем в компании, конечно же, стремиться находить компромиссы, но, при их отсутствии, принимать решения в интересах компании с приоритетом над своими личными, возможно, это и есть характеристика небезразличия, пассионрности, если хотите.

В комментариях можно подискутировать, я всегда рад альтернативным точкам зрения и объективной критике, поскольку переосмысление суждений - элемент нашего саморазвития, всегда надо использовать такие возможности

#управление

Игорь Гоц, Яндекс. Как приручить LLM в SOC.

Этой заметкой я открываю серию публикаций об интересных докладах с прошедшей конференции Positive Hack Days, с моей точки зрения.
Этот доклад смотивировал меня вернуться к тестированию возможности перевода нашего Автоаналитика с CatBoost на LLM (ребятам из Бизона тоже можно об этом подумать).
Я уже упражнялся в этом, как только у нас появилась лаба с локальной LLaMA от Meta, однако результат был не очень воодушевляющий. Игорь утверждает, что начинать подобные эксперементы следует с самой лучшей модели, чтобы сразу получить результаты, мотивирующие продолжать, а лучшей является именно ChatGPT. Но этот вариант не подходит, ибо ChatGPT облачная. Однако, наши ребята-датасайнтисты заверили, что новая LLaMA много лучше... что ж, посмотрим...

#mdr #phd2

Работа в SOC

Как обещал, делюсь слайдами.

Выступление происходило 25 мая в 12:55 на сцене "Спутник", в секции Научпоп, ссылка на трансляцию, очень надеюсь, что будет запись, где-нибудь здесь (если найду, обязательно поделюсь в этой же заметке).

Моей целью на выступление было рассказать о работе аналитика так, чтобы слушателям захотелось прийти на работу в SOC

#phd2 #mdr

Вижу в комментариях к заметке интерес к исследованию нашего коллеги, на всякий случай поделюсь им в канал, там, во вложении, - основное

Вообще, если у нас с вами не вызывает сомнений мониторинг, скажем, сетевых сканирований, где мы фиксируем инвентаризацию на сетевом-транспортном уровнях OSI, то сканирование на прикладном уровне с точки зрения получаемого контекста выглядит еще более привлекательным, поэтому мониторинг RPC - отличная тема. Причем, она доступнее, чем вы можете думать, поскольку дофолтная инсталляция Zeek неплохо разбирает DCE-RPC, на мой взгляд, как раз с экспериментов на Bro/Zeek - отличное начало, а в современных *DR, телеметрия RPC точно не должна казаться экзотикой

#mdr

А вот и цифры от ЦБ подоспели! Интересно, какой % реальной ситуации покрывает эта статистика?

В любом случае, выборка, скорее всего, репрезентативна, поэтому можно оценить цифры относительно друг друга, а также посмотреть типы атак... + можно посмотреть динамику, выбирая разные годы и кварталы

Помните писал про маскировку C2? Ну вот и публикация о том. где это использовалось, подоспела

#mdr

Алиса Кулишенко. ЛК. Погружение в разработку ботнетов

В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.

В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...

#mdr #phd2

Геннадий Сазонов, Антон Каргин. Солар. Распутываем змеиный клубок: по следам атак Shedding Zmiy

Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара (не только потому что один из докладчиков КМС по плаванию, а я так и не доплавал до Первого), в докладе перечисляется много техник и инструментов, может быть полезно проверить свою готовность к их обнаружению.

Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas

Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке

#mdr #phd2

Мы много говорим об атаках на цепочку поставок, и об их росте, начиная с 2021 года (помните отчет MDR за 2021, где максимальное количество High-severity инцидентов было в Телекомах?), однако, по факту - это эксплуатация доверия (trusted relationship).

В безопасности мы обречены доверять, иначе нет базы для построения нашей СУИБ, и ИБ вообще, поэтому такого рода атаки будут только увеличивать популярность, а значит, нам нужно глубже в них погружаться!

Мои коллеги выпустили отчет об атаках на Trusted relationship, с которым я предлагаю ознакомиться.
Полезного чтения!

#mdr

Сегодня, 29 мая, день рождения у моего школьного друга, Алексея Таранцева. Со времен школы Алексей был творческой личностью, свою песню, которую я предлагаю вашему вниманию, Алексей написал еще в 11-м классе, я прекрасно помню, как весной наш класс был дежурным по школе, мы стояли на центральной лестнице, и Леша дорабатывал текст.

Музыкально здесь можно услышать влияние Deep Purple, Led Zeppelin и, конечно, The Beatles (я действительно учил английский по текстам полюбившихся групп, в то время английский я выучил бы только за то, что на нем разговаривал Леннон).
Почти всю жизнь играю на гитаре, но за все это время я так и не научился играть прилично, поэтому попросил своего коллегу Андрея мне аккомпанировать. Андрей - замечательный гитарист с абсолютным слухом (да, да, как у скрипача!). Я же, опять же, не смотря на то, что всю жизнь с музыкой, пою не сильно лучше, чем играю, поэтому все мои вокальные косяки прекрасно отражаются на лице Андрея. Но, несмотря ни на что, мне нравится эта вещь, как музыкально, так и по части связанных воспоминаний, а все мои другие версии этой песни - без Андрея, а, следовательно, хуже.

Итак, поздравляю автора песни, Алексея, с днем рождения, а подарок нам всем - его песня, написанная в далеком 1996-м

#музыка