Солдатов_ed 25_n1_s1.pdf
5.7 MB
Работа в SOC
Как обещал, делюсь слайдами.
Выступление происходило 25 мая в 12:55 на сцене "Спутник", в секции Научпоп, ссылка на трансляцию, очень надеюсь, что будет запись, где-нибудь здесь (если найду, обязательно поделюсь в этой же заметке).
Моей целью на выступление было рассказать о работе аналитика так, чтобы слушателям захотелось прийти на работу в SOC
#phd2 #mdr
Как обещал, делюсь слайдами.
Выступление происходило 25 мая в 12:55 на сцене "Спутник", в секции Научпоп, ссылка на трансляцию, очень надеюсь, что будет запись, где-нибудь здесь (если найду, обязательно поделюсь в этой же заметке).
Моей целью на выступление было рассказать о работе аналитика так, чтобы слушателям захотелось прийти на работу в SOC
#phd2 #mdr
👍15🔥4🥰1🤣1
A-journey-into-forgotten-Null-Session-and-MS-RPC-interfaces.pdf
1.7 MB
Вижу в комментариях к заметке интерес к исследованию нашего коллеги, на всякий случай поделюсь им в канал, там, во вложении, - основное
Вообще, если у нас с вами не вызывает сомнений мониторинг, скажем, сетевых сканирований, где мы фиксируем инвентаризацию на сетевом-транспортном уровнях OSI, то сканирование на прикладном уровне с точки зрения получаемого контекста выглядит еще более привлекательным, поэтому мониторинг RPC - отличная тема. Причем, она доступнее, чем вы можете думать, поскольку дофолтная инсталляция Zeek неплохо разбирает DCE-RPC, на мой взгляд, как раз с экспериментов на Bro/Zeek - отличное начало, а в современных *DR, телеметрия RPC точно не должна казаться экзотикой
#mdr
Вообще, если у нас с вами не вызывает сомнений мониторинг, скажем, сетевых сканирований, где мы фиксируем инвентаризацию на сетевом-транспортном уровнях OSI, то сканирование на прикладном уровне с точки зрения получаемого контекста выглядит еще более привлекательным, поэтому мониторинг RPC - отличная тема. Причем, она доступнее, чем вы можете думать, поскольку дофолтная инсталляция Zeek неплохо разбирает DCE-RPC, на мой взгляд, как раз с экспериментов на Bro/Zeek - отличное начало, а в современных *DR, телеметрия RPC точно не должна казаться экзотикой
#mdr
🔥5👍1
А вот и цифры от ЦБ подоспели! Интересно, какой % реальной ситуации покрывает эта статистика?
В любом случае, выборка, скорее всего, репрезентативна, поэтому можно оценить цифры относительно друг друга, а также посмотреть типы атак... + можно посмотреть динамику, выбирая разные годы и кварталы
В любом случае, выборка, скорее всего, репрезентативна, поэтому можно оценить цифры относительно друг друга, а также посмотреть типы атак... + можно посмотреть динамику, выбирая разные годы и кварталы
👍2🔥2
Алиса Кулишенко. ЛК. Погружение в разработку ботнетов
В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.
В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...
#mdr #phd2
В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.
В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...
#mdr #phd2
YouTube
Погружение в разработку ботнетов: Комплексный анализ
👍6🔥5🤣1
Геннадий Сазонов, Антон Каргин. Солар. Распутываем змеиный клубок: по следам атак Shedding Zmiy
Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара(не только потому что один из докладчиков КМС по плаванию, а я так и не доплавал до Первого) , в докладе перечисляется много техник и инструментов, может быть полезно проверить свою готовность к их обнаружению.
Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas
Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке
#mdr #phd2
Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара
Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas
Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке
#mdr #phd2
YouTube
Распутываем змеиный клубок: по следам атак Shedding Zmei
В 2022 году мировая геополитическая обстановка накалилась до предела, что не могло не оказать влияния на активность крупнейших APT-группировок в регионе. Одна из ключевых группировок, известная команде Solar 4RAYS как Shedding Zmiy, не только участила свои…
🔥9👍1
Мы много говорим об атаках на цепочку поставок, и об их росте, начиная с 2021 года (помните отчет MDR за 2021, где максимальное количество High-severity инцидентов было в Телекомах?), однако, по факту - это эксплуатация доверия (trusted relationship).
В безопасности мы обречены доверять, иначе нет базы для построения нашей СУИБ, и ИБ вообще, поэтому такого рода атаки будут только увеличивать популярность, а значит, нам нужно глубже в них погружаться!
Мои коллеги выпустили отчет об атаках на Trusted relationship, с которым я предлагаю ознакомиться.
Полезного чтения!
#mdr
В безопасности мы обречены доверять, иначе нет базы для построения нашей СУИБ, и ИБ вообще, поэтому такого рода атаки будут только увеличивать популярность, а значит, нам нужно глубже в них погружаться!
Мои коллеги выпустили отчет об атаках на Trusted relationship, с которым я предлагаю ознакомиться.
Полезного чтения!
#mdr
securelist.ru
Атаки через доверительные отношения (Trusted Relationship)
Разбираем тактики и техники злоумышленников, атакующих организации через доверительные отношения (Trusted Relationship), а именно — через подрядчиков и внешних поставщиков IT-услуг.
❤2👍1🔥1
Вчера прошел наш вебинар по мотивам проектов команды SOC Consulting.
Как обещал, у читателей этого канала есть возможность задать вопросы, возникшие при просмотре вебинара, и получить ответы. Правила этого Q&A я публиковал здесь.
Пишите, пожалуйста, ваши вопросы в комментариях к этой заметке, мы будем стремиться ответить все. Автору лучшего вопроса достанется вот такой милый Midori Kuma. Успехов!
#mdr
Как обещал, у читателей этого канала есть возможность задать вопросы, возникшие при просмотре вебинара, и получить ответы. Правила этого Q&A я публиковал здесь.
Пишите, пожалуйста, ваши вопросы в комментариях к этой заметке, мы будем стремиться ответить все. Автору лучшего вопроса достанется вот такой милый Midori Kuma. Успехов!
#mdr
👍8🔥7
Сегодня, 29 мая, день рождения у моего школьного друга, Алексея Таранцева. Со времен школы Алексей был творческой личностью, свою песню, которую я предлагаю вашему вниманию, Алексей написал еще в 11-м классе, я прекрасно помню, как весной наш класс был дежурным по школе, мы стояли на центральной лестнице, и Леша дорабатывал текст.
Музыкально здесь можно услышать влияние Deep Purple, Led Zeppelin и, конечно, The Beatles (я действительно учил английский по текстам полюбившихся групп, в то время английский я выучил бы только за то, что на нем разговаривал Леннон ).
Почти всю жизнь играю на гитаре, но за все это время я так и не научился играть прилично, поэтому попросил своего коллегу Андрея мне аккомпанировать. Андрей - замечательный гитарист с абсолютным слухом (да, да, как у скрипача! ). Я же, опять же, не смотря на то, что всю жизнь с музыкой, пою не сильно лучше, чем играю, поэтому все мои вокальные косяки прекрасно отражаются на лице Андрея. Но, несмотря ни на что, мне нравится эта вещь, как музыкально, так и по части связанных воспоминаний, а все мои другие версии этой песни - без Андрея, а, следовательно, хуже.
Итак, поздравляю автора песни, Алексея, с днем рождения, а подарок нам всем - его песня, написанная в далеком 1996-м
#музыка
Музыкально здесь можно услышать влияние Deep Purple, Led Zeppelin и, конечно, The Beatles (я действительно учил английский по текстам полюбившихся групп,
Почти всю жизнь играю на гитаре, но за все это время я так и не научился играть прилично, поэтому попросил своего коллегу Андрея мне аккомпанировать. Андрей - замечательный гитарист с абсолютным слухом (
Итак, поздравляю автора песни, Алексея, с днем рождения, а подарок нам всем - его песня, написанная в далеком 1996-м
#музыка
Дзен | Видео
She's the leader of the storm clouds | REPLY-TO-ALL Information Security Blog | Дзен
Видео автора «REPLY-TO-ALL Information Security Blog» в Дзене 🎦: Сергей Солдатов - вокал, гитара
Андрей Дюкарев - гитара
Алексей Таранцев - музыка, текст
Запись сделана на мобильный телефон для...
Андрей Дюкарев - гитара
Алексей Таранцев - музыка, текст
Запись сделана на мобильный телефон для...
🔥8🤗3❤2
Forwarded from purple shift
Уязвимость CVE-2024-21378 позволяет выполнить произвольный код в системе, где установлен MS Outlook. А всё потому, что Exchange и Outlook, общаясь по протоколу MAPI, могут пересылать друг другу всякое разное и вообще немыслимое.
Например, можно создать собственный тип сообщения и указать клиенту Outlook, что для отрисовки этого сообщения следует использовать некую особую форму. И эту форму тоже можно передать адресату: такому сообщению соответствует класс
Чтобы эксплуатировать уязвимость, злоумышленник отправляет жертве форму, которая открывает определённый класс сообщений. А затем отправляет письмо-триггер, принадлежащее к этому классу сообщений. В результате Outlook загружает вредоносную форму (см. скриншот).
Наш эксперт Александр Родченко проанализировал процесс эксплуатации этой уязвимости и написал утилиту, которая сканирует скрытые сообщения и выявляет попытки атаки. Подробности – по ссылке.
Например, можно создать собственный тип сообщения и указать клиенту Outlook, что для отрисовки этого сообщения следует использовать некую особую форму. И эту форму тоже можно передать адресату: такому сообщению соответствует класс
IPM.Microsoft.FolderDesign.FormsDescription. А сама форма представляет собой DLL-библиотеку, которая хранится как вложение в сообщении. Чтобы эксплуатировать уязвимость, злоумышленник отправляет жертве форму, которая открывает определённый класс сообщений. А затем отправляет письмо-триггер, принадлежащее к этому классу сообщений. В результате Outlook загружает вредоносную форму (см. скриншот).
Наш эксперт Александр Родченко проанализировал процесс эксплуатации этой уязвимости и написал утилиту, которая сканирует скрытые сообщения и выявляет попытки атаки. Подробности – по ссылке.
🔥12👍1👏1
Отличная статья от Стэнтфорда про относительно новую тему с Machine unlearning и отравление данных. Чем больше мы полагаемся на ML/DL, тем лучше нам надо понимать их слабости. Всем кто занимается ML/DL/AI обязательно для ознакомления!
#mdr
#mdr
👍4🔥2
Солдатов в Телеграм
Отличная статья от Стэнтфорда про относительно новую тему с Machine unlearning и отравление данных. Чем больше мы полагаемся на ML/DL, тем лучше нам надо понимать их слабости. Всем кто занимается ML/DL/AI обязательно для ознакомления! #mdr
А помните я говорил, что критерий профессионализма - это способность корректного предсказания?
Не заметил, что наши коллеги писали об этом аж в 2021.
Спасибо подписчику про напоминание!
Не заметил, что наши коллеги писали об этом аж в 2021.
Спасибо подписчику про напоминание!
🔥5❤2👍1
За годы работы заметил следующее: если кто-то из C-level начал много внимания уделять "личному бренду", т.е. рассказывать о своих достижениях и всчески намекать на то, какой он высокоэффективный, супер успешный менеджер, это значит, что он собирается покинуть текущее место работы. Далее здесь развилка: (а) либо он решил сам, либо (б) благодаря его эффективным решениям, у компании начались проблемы, и пришла ему пора катапультироваться.
Конкретный вариант (а) или (б) можно распознать, отслеживая карьреный путь нашего героя: если он постоянно прыгает из контры в контору, то мы имеем вариант (а). Если же наш герой не замечен в частой смене работодателя, то, скорее всего, мы столкнулись с вариантом (б).
#пятница #управление
Конкретный вариант (а) или (б) можно распознать, отслеживая карьреный путь нашего героя: если он постоянно прыгает из контры в контору, то мы имеем вариант (а). Если же наш герой не замечен в частой смене работодателя, то, скорее всего, мы столкнулись с вариантом (б).
#пятница #управление
🤣7😁6🔥4❤2
👍3🔥3
SeTrustedCredmanAccessPrivilege - удивительная привилегия, я не знал
Надо отслеживать ее присвоение наряду со «стандартными» debug, backup, takeOwnership, restore, loadDriver, createToken, impersonate и т.п.
#mdr
Надо отслеживать ее присвоение наряду со «стандартными» debug, backup, takeOwnership, restore, loadDriver, createToken, impersonate и т.п.
#mdr
Telegram
RedTeam brazzers
Продолжаем тему с извлечением учетных данных без взаимодействия с LSASS. Знали ли вы, что в системе Windows присутствует привилегия, которая позволяет извлекать учетные данные в открытом виде?
И имя её: ⠚⠑⠚⠔⡅⠦⠆⠑⢃⡰⠤⡰⣁⢆⡃⠴⣁⢈⡑⡡⡤⢔⠅⠥⠬⠚⡠⠎⡐⠰⠌
Если открыть документацию…
И имя её: ⠚⠑⠚⠔⡅⠦⠆⠑⢃⡰⠤⡰⣁⢆⡃⠴⣁⢈⡑⡡⡤⢔⠅⠥⠬⠚⡠⠎⡐⠰⠌
Если открыть документацию…
🔥4
В новой заметке порассуждал о сценариях использования BAS: в каких сценариях он неэффективен и даже вреден, а в каких он полезен.
Уровень ожиданий относительно этой технологии, как мне кажется, неоправданно завышен, да и сами ожидания часто удивляют так, что нет слов: кто-то произносит BAS в одном предложении с пентестами и red team, а, как известно, странные вещи, сказанные много раз, перестают казаться странными - так сдвигается наше понимание "нормальности", "адекватности" и т.п.
Есть риск, что мне не удалось "вспомнить все", пройтись по всем сценариям, поэтому, комментируйте, критикуйте, по мотивам ваших возражений, вполне возможно, напишу продолжение.
#vCISO
Уровень ожиданий относительно этой технологии, как мне кажется, неоправданно завышен, да и сами ожидания часто удивляют так, что нет слов: кто-то произносит BAS в одном предложении с пентестами и red team, а, как известно, странные вещи, сказанные много раз, перестают казаться странными - так сдвигается наше понимание "нормальности", "адекватности" и т.п.
Есть риск, что мне не удалось "вспомнить все", пройтись по всем сценариям, поэтому, комментируйте, критикуйте, по мотивам ваших возражений, вполне возможно, напишу продолжение.
#vCISO
Дзен | Статьи
Мнимая уверенность
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Силачом слыву недаром - семерых одним ударом Братья Гримм "Храбрый портняжка" Уже достаточно давно, в замечательной статье Психология
🔥3👍1
Захожу я в Ютьюб и вижу своё интервью про гибридные SOC-и!
Смотрите, критикуйте, предлагайте альтернативные мнения!
Интервью записывалось в начале апреля, до эфира этого AM live, тогда я ещё не знал, что гибридный SOC - это когда SIEM - заказчика, а команда - MSSP, обсуждение этого постулата, безусловно, оживило бы беседу... Но буду надеяться, что и без обсуждения этого любопытного взгляда интервью не будет бесполезным
#vCISO #mdr
Смотрите, критикуйте, предлагайте альтернативные мнения!
Интервью записывалось в начале апреля, до эфира этого AM live, тогда я ещё не знал, что гибридный SOC - это когда SIEM - заказчика, а команда - MSSP, обсуждение этого постулата, безусловно, оживило бы беседу... Но буду надеяться, что и без обсуждения этого любопытного взгляда интервью не будет бесполезным
#vCISO #mdr
YouTube
Почему любой SOC – гибридный? / Интервью с Сергеем Солдатовым
Гибридный SOC - единственное решение, позволяющее соблюсти оптимальный баланс инвестиций в операционную ИБ и результативности. Сочетание внутренних и внешних команд позволяет комбинировать ресурсы, знания об угрозах и об особенностях ИТ-инфраструктуры.
Как…
Как…
🔥15👍2😍1