Вулкан Динамитович

IoC'и и почему они бывают "устаревшими"? Немного теории Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/) Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны. Теперь к практике Но так ли все просто? Давайте разбираться: Как мы поняли выше, IoC'ами могут быть: 1) хеши файлов 2) пути к файлам 3) URL-ки 4) Адреса электронной почты 5) IP-адреса И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов Нередко задают вопросы: Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки? Давайте разбираться: 1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы. 2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках. 3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же парикмахером из Волгограда. Такие ситуации нечастые, но имеют место быть. Вывод Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей. #хацкеры #экстренныесоветы

А я говорил про это Уже начинал подумывать, что я крейзи, но нет же 😁 Крокодилы бизнеса продают "попиты" через помойку ВБ (роскомздрав не запретит??) Надо будет, конечно, понять насколько это правда. Но проверить, пожалуй, оставим полицаям 👮‍♀️

Об обучении OSINT ЭТО НЕ ПРОДАЖА МОИХ КУРСОВ! У МЕНЯ ИХ НЕТ (ПОКА ЧТО, ПО КРАЙНЕЙ МЕРЕ). Я ОБУЧАЮ ТОЛЬКО В РАМКАХ КОНКРЕТНОЙ ТЕМЫ И ТОЛЬКО КОГДА ПРИГЛАШАЮТ!) Часто спрашивают: как обучаться OSINT? Коротко, на личном опыте, сложилось следующее мнение: для начала нужно определиться, с какой целью и чему именно ты хочешь обучаться? Сбор технической информации о веб-приложениях, серверах, сервисах? Это одно. Искать злодеев? Уже другое. Проверять на благонадежность контрагентов и кандидатов? Третье. Хочешь быть универсальным специалистом, чтобы уметь всё это? Замечательно, но это уже совсем другая история. Я полагаю, что тот, кто задает вопрос "Как обучиться OSINT?", имеет ввиду именно последний вариант, а именно - стать универсальным специалистом. В таком случае, я советую как можно скорее переходить к практике, параллельно найдя какой-нибудь общий курс по OSINT, в котором коротко обозреваются все эти темы. А уже выполняя конкретные задачи, сложится понимание, где надо углубиться, какую тему подтянуть, по какому направлению взять уже отдельный курс. И нужно учесть несколько пунктов: 1) Самый важный инструмент OSINT-специалиста - это умение грамотно анализировать информацию, делать правильные выводы и не торопиться с ними до проведения максимально тщательного исследования. Со временем еще и вырабатывается интуиция. 2) Технические знания, при чем неплохие, пусть и неуглубленные - необходимы. Модель OSI, компьютерные сети, работа веб-приложений, технология NAT, виды кибератак и методов и средств противодействия им, сотовая связь и т.д. - все эти темы нужно изучить, если вы хотите быть универсалом. 3) Все равно вы не сможете быть максимально опытным специалистом абсолютно во всех сферах. Со временем сложится конкретное направление, в котором и пройдет большая часть ваших исследований. Возможно, потому что наиболее интересное для вас, а возможно, потому что больше всего денег приносит. И вот в этом направлении нужно еще и развивать кругозор и общую осведомленность. #экстренныесоветы #осинт

Ну наконец-то, теперь время браться за запросы. Мошенникам же тоже надо как-то выводить крипту мамонтов 👌

Нашел два неплохих сервиса по поиску людей в забугорных соцсетях: pimeyes.com facecheck.id Не панацея, но при поиске вне РФ лишним не будет. Удобно, что можно кинуть сразу несколько фото, поэтому можно искать по стоп-кадрам с видео 👌

⬆️ Почитал программу, выглядит очень неплохо. Пусть повисит, может кому пригодится

#RPPAedu #education 🧡Privacy Fundamentals - рекомендуемый для всех специалистов по приватности от начинающих до профи. Детали: июнь, онлайн, 2 месяца, 45к, второй поток. РЕГИСТРАЦИЯ А там ниже и отзывы🌷 Образовательная лицензия РППА Офис - № Л035-01298-77/01030105 от 22 января 2024. RPPA.pro | PPCP.pro | Чат