Помните писал про маскировку C2? Ну вот и публикация о том. где это использовалось, подоспела

#mdr

Алиса Кулишенко. ЛК. Погружение в разработку ботнетов

В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.

В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...

#mdr #phd2

Геннадий Сазонов, Антон Каргин. Солар. Распутываем змеиный клубок: по следам атак Shedding Zmiy

Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара (не только потому что один из докладчиков КМС по плаванию, а я так и не доплавал до Первого), в докладе перечисляется много техник и инструментов, может быть полезно проверить свою готовность к их обнаружению.

Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas

Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке

#mdr #phd2

Мы много говорим об атаках на цепочку поставок, и об их росте, начиная с 2021 года (помните отчет MDR за 2021, где максимальное количество High-severity инцидентов было в Телекомах?), однако, по факту - это эксплуатация доверия (trusted relationship).

В безопасности мы обречены доверять, иначе нет базы для построения нашей СУИБ, и ИБ вообще, поэтому такого рода атаки будут только увеличивать популярность, а значит, нам нужно глубже в них погружаться!

Мои коллеги выпустили отчет об атаках на Trusted relationship, с которым я предлагаю ознакомиться.
Полезного чтения!

#mdr

Сегодня, 29 мая, день рождения у моего школьного друга, Алексея Таранцева. Со времен школы Алексей был творческой личностью, свою песню, которую я предлагаю вашему вниманию, Алексей написал еще в 11-м классе, я прекрасно помню, как весной наш класс был дежурным по школе, мы стояли на центральной лестнице, и Леша дорабатывал текст.

Музыкально здесь можно услышать влияние Deep Purple, Led Zeppelin и, конечно, The Beatles (я действительно учил английский по текстам полюбившихся групп, в то время английский я выучил бы только за то, что на нем разговаривал Леннон).
Почти всю жизнь играю на гитаре, но за все это время я так и не научился играть прилично, поэтому попросил своего коллегу Андрея мне аккомпанировать. Андрей - замечательный гитарист с абсолютным слухом (да, да, как у скрипача!). Я же, опять же, не смотря на то, что всю жизнь с музыкой, пою не сильно лучше, чем играю, поэтому все мои вокальные косяки прекрасно отражаются на лице Андрея. Но, несмотря ни на что, мне нравится эта вещь, как музыкально, так и по части связанных воспоминаний, а все мои другие версии этой песни - без Андрея, а, следовательно, хуже.

Итак, поздравляю автора песни, Алексея, с днем рождения, а подарок нам всем - его песня, написанная в далеком 1996-м

#музыка

Уязвимость CVE-2024-21378 позволяет выполнить произвольный код в системе, где установлен MS Outlook. А всё потому, что Exchange и Outlook, общаясь по протоколу MAPI, могут пересылать друг другу всякое разное и вообще немыслимое.

Например, можно создать собственный тип сообщения и указать клиенту Outlook, что для отрисовки этого сообщения следует использовать некую особую форму. И эту форму тоже можно передать адресату: такому сообщению соответствует класс IPM.Microsoft.FolderDesign.FormsDescription. А сама форма представляет собой DLL-библиотеку, которая хранится как вложение в сообщении.

Чтобы эксплуатировать уязвимость, злоумышленник отправляет жертве форму, которая открывает определённый класс сообщений. А затем отправляет письмо-триггер, принадлежащее к этому классу сообщений. В результате Outlook загружает вредоносную форму (см. скриншот).

Наш эксперт Александр Родченко проанализировал процесс эксплуатации этой уязвимости и написал утилиту, которая сканирует скрытые сообщения и выявляет попытки атаки. Подробности – по ссылке.

Отличная статья от Стэнтфорда про относительно новую тему с Machine unlearning и отравление данных. Чем больше мы полагаемся на ML/DL, тем лучше нам надо понимать их слабости. Всем кто занимается ML/DL/AI обязательно для ознакомления!

#mdr

А помните я говорил, что критерий профессионализма - это способность корректного предсказания?

Не заметил, что наши коллеги писали об этом аж в 2021.

Спасибо подписчику про напоминание!

За годы работы заметил следующее: если кто-то из C-level начал много внимания уделять "личному бренду", т.е. рассказывать о своих достижениях и всчески намекать на то, какой он высокоэффективный, супер успешный менеджер, это значит, что он собирается покинуть текущее место работы. Далее здесь развилка: (а) либо он решил сам, либо (б) благодаря его эффективным решениям, у компании начались проблемы, и пришла ему пора катапультироваться.
Конкретный вариант (а) или (б) можно распознать, отслеживая карьреный путь нашего героя: если он постоянно прыгает из контры в контору, то мы имеем вариант (а). Если же наш герой не замечен в частой смене работодателя, то, скорее всего, мы столкнулись с вариантом (б).

#пятница #управление

Неплохая подборка техник на AD CS , полезно сделать review своих «хантов»

#mdr

SeTrustedCredmanAccessPrivilege - удивительная привилегия, я не знал

Надо отслеживать ее присвоение наряду со «стандартными» debug, backup, takeOwnership, restore, loadDriver, createToken, impersonate и т.п.

#mdr

В новой заметке порассуждал о сценариях использования BAS: в каких сценариях он неэффективен и даже вреден, а в каких он полезен.

Уровень ожиданий относительно этой технологии, как мне кажется, неоправданно завышен, да и сами ожидания часто удивляют так, что нет слов: кто-то произносит BAS в одном предложении с пентестами и red team, а, как известно, странные вещи, сказанные много раз, перестают казаться странными - так сдвигается наше понимание "нормальности", "адекватности" и т.п.
Есть риск, что мне не удалось "вспомнить все", пройтись по всем сценариям, поэтому, комментируйте, критикуйте, по мотивам ваших возражений, вполне возможно, напишу продолжение.

#vCISO

Захожу я в Ютьюб и вижу своё интервью про гибридные SOC-и!

Смотрите, критикуйте, предлагайте альтернативные мнения!

Интервью записывалось в начале апреля, до эфира этого AM live, тогда я ещё не знал, что гибридный SOC - это когда SIEM - заказчика, а команда - MSSP, обсуждение этого постулата, безусловно, оживило бы беседу... Но буду надеяться, что и без обсуждения этого любопытного взгляда интервью не будет бесполезным

#vCISO #mdr

Хорошая подборка базовых сценариев атак на контейнеры. Да и вообще, ресурс неплохой

#mdr

Когда-то мы говорили об Vulnerability Management, но для реализации атаки не всегда требуется наличие уязвимости, поэтому стали оперировать более широким понятием - Attack Surface Management (ASM), которое, лично мне нравится больше, так как лучше отражает все эти сценарии с легитимным доступом с помощью легитимных инструментов с нелегитимными намерениями. Но вот мне на глаза попался док с новым для меня словосочетанием - Exposure Management, что похоже на ASM, но немного другими словами. Говоря об ASM мы обычно имеем в виду про атаки с периметра (хотя, я не видел явно такого ограничения этого понятия), Exposure management рассматривает и сценарии развития по локальной сети, например, в AD, что более чем популярно, тем более в парадигме Assume breach, и с учетом того, что T1078 уже который год в топе по статистикам MDR и DFIR.

В доке много маркетинга и рекламы продукта, собственно, автора доки, однако, есть и ряд интересных цифр.

#vCISO

M-Trends Executive Edition 2024

Коротко, на 4 страницах, для тех у кого нет возможности читать огромные отчеты

- основные числа: dwell time - 10, а для шифровальщиков dwell time - 5 дней; в 70% случаях шифровальщиков не заметили сами; основные вектора: эксплоиты - 38%, фишинг - 17%, не дочистили старые взломы - 15%, ворованные креды - 10%; 52% - финансовая мотивация, 10% - шпионаж

- что надо делать: проактивный threat hunting, red teaming, TTX и традиционная кибергигиена

- бояться: китайцев, зеродеев, фишинга, облаков, ИИ

#vCISO

Прямо сейчас проходит конференция Бекон. Если я ничего не путаю, ребята из Luntry обещали, что видео будет, но слайды уже сейчас публикуются в канале. Я планирую отсмотреть их все, а по интересным\не понятным позже посмотреть запись (если действительно будет)

#mdr