𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲

Поможем Ане?)

Я думал этот метод уже вымирает. А он бодрячком 😁 Поможем Ане?

АНОНС❗️❗️❗️ Дорогие коллеги, уже СЕГОДНЯ в 20:30 на данном канале мы проведем стрим. Гостя, который будет сегодня приглашен, вы прекрасно знаете. Это Владимир Кочанов (@vladimir_sbprobiz) от нашего партнерского проекта СБ про Бизнес. Однако, ТЕМА, которую мы планируем обсудить, та, которую раньше с Владимиром никто не поднимал, а я осмелился таки) Дело в том, что Владимир - бывший сотрудник ОБЭП, и сегодня мы поговорим именно об этом! 20.06 в 20:30 по Мск вот по этой ссылочке стрим на тему: "Беседа с бывшим оперативником ОБЭП (ныне ОЭБиПК). Как работалось, когда не было СПАРКа и Контур-фокуса?" И мы обсудим следующие моменты: - как выстраивалась ОРД в далекие времена, когда нельзя было прогуглить значительную часть инфы по юр лицам? - что такое фальшивомонетничество и как это раскрывать? - да и многое другое... #объявления #мероприятия

"Забой свиней" или как все таки грязен мир криптоскама Люблю исследовать зарубежную практику преступности. Иногда замечаешь, что какие-то методы, кейсы оттуда резко становятся актуальными и в российских реалиях. Да и порой вспоминаешь, что не везде в мире безопасно и благополучно. Небольшая статья для вас с интересными выдержками и ссылками на источники. Вулкан совместно с CyberScout #кейсы #криптафинансы

Доступ к Telegram-аккаунту без открытия дополнительной сессии Звучит довольно пугающе, не так ли? Ведь мы привыкли, что можно контролировать, читает ли кто-то твою телегу наряду с тобой, проверяя вкладку "устройства". Однако, бывают и иные ситуации. Одна, к примеру, описана в интереснейшем исследовании F.A.C.C.T., которое я с удовольствием прочитал и вам советую: Еще одной из «визитных карточек» преступного синдиката стал «угон» аккаунтов Telegram с рабочих станций пользователей скомпрометированной инфраструктуры. Стоит отметить то, что среди списка устройств увидеть устройства злоумышленников не получится, т.к. ими используется украденный токен авторизованной системы. Чтобы лишить атакующих возможности доступа к вашему Telegram-аккаунту, необходимо с мобильного устройства завершить все сторонние сессии. #хацкеры

Человеческий фактор в threat intelligence или снова про IoC Коллега мне скинул просто очень и очень интересную статью, читая которую я получил массу пользы и удовольствия. В качестве затравки закину интересный (но далеко не самый) момент из нее: Давайте взглянем детально на одно из правил детектирования mimikatz (на скрине) Правило детектирует процессы, которые попытались прочитать память процесса lsass.exe. Mimikatz делает это, когда пытается получить NTLM-хеши, и правило задетектирует вредонос. Однако нам, как специалистам, которые занимаются не только детектированием, но и реагированием на инциденты, крайне важно, чтобы это был действительно mimikatz. К сожалению, на практике существует множество других легитимных процессов, которые читают память lsass.exe с этими же масками (некоторые антивирусы, например). Поэтому в реальной боевой среде подобное правило принесет больше ложных срабатываний, чем пользы. #хацкеры

IoC'и и почему они бывают "устаревшими"? Немного теории Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/) Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны. Теперь к практике Но так ли все просто? Давайте разбираться: Как мы поняли выше, IoC'ами могут быть: 1) хеши файлов 2) пути к файлам 3) URL-ки 4) Адреса электронной почты 5) IP-адреса И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов Нередко задают вопросы: Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки? Давайте разбираться: 1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы. 2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках. 3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же парикмахером из Волгограда. Такие ситуации нечастые, но имеют место быть. Вывод Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей. #хацкеры #экстренныесоветы

Об инструментах "на коленке" пост Иногда сталкиваюсь с тем, что коллеги по цеху пишут/говорят про тот или иной инструмент, что он "да ваще ниочем, любой школьник сделает, ничем не отличается от глаза, и вообще это не уровень" Возможно, да. Многие инструменты, которые использую я, используют мои знакомые, коллеги, действительно просты в исполнении. На них не нужна огромная команда кодеров, 100500 терабайтное железо и доступ к архиву ЦРУ с помощью искусственного интеллекта и машинного обучения. Какие там еще есть умные слова то? Напомните. Однако, мне кажется, все подобные разговоры пропадают тогда, когда встает нужда сделать реальный результат, получить информацию, провести анализ, выдвинуть версию, ну и, как бы банально оно не звучало, написать ОТЧЕТИК, который устроит заказчика, а главное - описать все ясным и очевидным языком. В конечном итоге, "прорыв" в расследовании чаще всего дает что-то банальное (совпадение ника, картинки), что действительно "пробивается" простыми, но надежными инструментами. Случаи, когда этот самый "прорыв" был результатом более глубокого расследования, также случаются, однако здесь все-таки решают настойчивость, внимание, аналитика и другие навыки специалиста, а не сложность инструмента. А вот мега-супер-гига решения, продающиеся за бешеные деньги, сопровождающиеся кучей пафосных слов (нейронные сети, ПАК, ИИ, машинное обучение и тд) иногда дают просто кучу мусора, собранного с огромного количества источников, которые могут только заблудить и не дать ни одной толковой версии. К примеру, Игорь (@irozysk, @tomhunter) довольно давно научил меня ряду простых приемов и методов проведения расследований. И они до сих пор дают результат в весьма сложных и неординарных кейсах. До сих пор дают "прорыв", когда расследование стопорится. Это, кстати, была не реклама. По итогу, начинающим специалистам могу посоветовать не найти как можно больше ПО, а потом пробовать применять их в реальных кейсах, а практиковаться, учиться и под конкретные задачи искать/подбирать инструментарий. Сэкономите время и нервы. #экстренныесоветы #осинт

Многое уже было сказано о данном инструменте (telegram боте), однако я уверен, что пост окажется полезен для новичков и не только. ✔️ Telegram бот "Insight", согласно его описанию, предоставляет обезличенные данные интересов на основе активности пользователей telegram в супергуппах. ✔️ Пошаговый обзор #OSINT #Insight #TelegramBot #анализданных