Hirdetés

2021. április 13., kedd

Gyorskeresés

Hozzászólások

(#1) inf3rno


inf3rno
veterán
LOGOUT blog

Manapság egyre inkább a kibertérben megy már az adok-kapok az államok között, és a bűnözők egy jelentős része is ide tette át a tevékenységét. A titkosszolgálatoknak, hadseregeknek, bankoknak, állami szerveknek, önkormányzatoknak és magáncégeknek is elemi érdekévé vált, hogy foglalkozzanak az információbiztonsággal, és ez szülte meg az olyan szakmákat, mint kiberkatona, etikus hacker, információbiztonsági vezető, adatvédelmi felelős, stb. A topik nagyjából ezekről a témakörökről szól, illetve szeretném, hogyha megosztanánk a tapasztalatainkat egymással az aktuális trendekről, hogy mindenki egy kicsit felkészültebben tudjon ellenük védekezni.

(#2) inf3rno


inf3rno
veterán
LOGOUT blog

Kezdésnek itt van, hogy lekapcsolták végre valahára az emotet-et. [link], ami a banki adatainkat lopkodta.

(#3) inf3rno


inf3rno
veterán
LOGOUT blog

Azért csak óvatosan az együttműködéssel is. [link] :K

(#4) sh4d0w


sh4d0w
nagyúr
LOGOUT blog

Mentettem a topicot. Azt hiszem, bőven ideje volt létrehozni.

[ Szerkesztve ]

https://coreinfinity.tech

(#5) inf3rno


inf3rno
veterán
LOGOUT blog

Van most egy SOC analyst alap kurzus, amin akár ingyenesen is részt lehet venni, ha valaki emailben indokolja, hogy neki ez miért jár. Automatikusan küldik a kódot, nem tudom valaha elolvassák e, hogy mit írunk. Ha valaki fizetne, akkor $20 a minimum összeg, de lehet többel is támogatni őket. Kedden indul, nem tudom mi a jelentkezési határidő: [link]

This 16-hour (4-days, 4-hour sessions) information security training course will cover the core security skills all Security Operation Center (SOC) analysts need to have. These are the skills that all Black Hills Information Security (BHIS) SOC team members need to have.

We thought we would like to share.

Topics to include:

Core networking skills
Live Windows Forensics
Live Linux Forensics
Memory Forensics
Active Directory Analysis
Network Threat Hunting
Basics of Vulnerability Management
The Incident Response Process

[ Szerkesztve ]

(#6) inf3rno


inf3rno
veterán
LOGOUT blog

Fejlett kibertámadás-sorozat ért több hazai kormányzati portált [link]

(#7) sh4d0w válasza inf3rno (#6) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Ezt lehozta a Café is, de vannak kétségek...

https://coreinfinity.tech

(#8) inf3rno válasza sh4d0w (#7) üzenetére


inf3rno
veterán
LOGOUT blog

Ja hát nincs túl sok konkrétum a hírben.

(#9) inf3rno válasza inf3rno (#5) üzenetére


inf3rno
veterán
LOGOUT blog

Eddig baromi jó ez a képzés. Az NKE-s képzésem elég elméleti, ez meg jól kiegészíti a gyakorlati résszel is. Ment tegnap a malware és backdoor keresés CLI-ből Windows és Linux oprendszereken. Ajánlottak egy másik képzést is, ami csak 4 óra, de teljesen ingyenes mindenkinek: Cyber Threat Hunting Level 1 [link]

[ Szerkesztve ]

(#10) sh4d0w válasza inf3rno (#9) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Kíváncsi leszek az aktuális tréningre, mi lesz a végső véleményed.

https://coreinfinity.tech

(#11) inf3rno


inf3rno
veterán
LOGOUT blog

Good News: SANS Virtual Summits Will Be FREE for the Community in 2021 [link]

Lassan már annyi minden van, hogy kevés lesz az időm rá.

(#12) inf3rno válasza sh4d0w (#10) üzenetére


inf3rno
veterán
LOGOUT blog

Szerintem baromi jó. Bemutatják az eszközöket, utána meg élesben ki lehet próbálni őket. A lab-hez a kép fájlt bármeddig lehet használni, nem korlátozzák le időben. Azt mondta a fazon, hogy sok képzésnél csak egy rövid ideig lehet használni, és annak nem sok értelme van, hogy egy hétig napi 1-2 órában gyakorolgatok, utána meg teljesen elfelejtem az egészet. Teszt nincsen, alapból megkapod az oklevelet vagy mit, viszont elvárja, hogy gyakorolj. Nagyjából ennyi, ami lejött.

Maga a tananyag közepesen mély, a szükséges minimumot adja ahhoz, hogy el tudj kezdeni eszközöket használni és úgy értsd is, hogy mit csinálsz velük, szóval erősen a gyakorlatra koncentrál, és nem az elméletre. Ma a Wireshark használata előtt ledarálta, hogy hogy néz ki egy IP header, és mik a biztonsági szempontból fontos részei, aztán lehetett malwaret vadászni Wiresharkkal. Most meg éppen memory forensics gyakorlat megy volatility-vel.

(#13) sh4d0w válasza inf3rno (#12) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Köszi.

https://coreinfinity.tech

(#14) inf3rno


inf3rno
veterán
LOGOUT blog

Ma volt szó a Ritáról: [link] Azt hiszem az anyjáról nevezte el, aki valszeg meghalt. Mondott valamit röviden róla, hogy kórházban voltak, és onnan streamelt, aztán amikor az anyja látta, hogy mennyien nézik a streamjét, akkor azt mondta, hogy maradjon ingyenes a cucc. Úgyhogy azért az. Aztán lehet, hogy nem így volt, de jó sztori. Igazából annyi mindenről szó volt ma, hogy csak kapkodtam a fejem. A végén majd megpróbálom összeszedni, hogy milyen eszközökről volt szó, vagy legalább csinálok egy copy-paste-et a linkekről.

[ Szerkesztve ]

(#15) sh4d0w válasza inf3rno (#14) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Az Active Countermeasures hírlevélre érdemes feliratkozni, gyakran mutatnak be ingyenes eszközöket threat hunting közben.

https://coreinfinity.tech

(#16) inf3rno válasza sh4d0w (#15) üzenetére


inf3rno
veterán
LOGOUT blog

-

[ Szerkesztve ]

(#17) inf3rno


inf3rno
veterán
LOGOUT blog

Ma viszonylag hamar lement. Antivirusokról volt szó, leginkább arról, hogy mindegyiket meg lehet hekkelni. Inkább csak arra jók, hogy a nagyját megfogják, de alapból nem a legjobb maga az elképzelés, hogy mindent beazonosítanak, és csinálnak róla egy hash-t, mert célzott támadásnál elég egy kicsit módosítani a kódon, hogy átmenjen a vírusirtón. Leszólt párat, pl a CrowdStrike-ot és a McAfee-t. Az elsőt, mert drága, és mégis van egy csomó, amit az Elastic megtalál, de a CrowdStrike nem úgy, hogy az Elastic ingyenes. A másikat azért, mert volt valami ügyük vele, amikor bemutatták, hogy 10 perc alatt hogyan lehet áthekkelni magad rajta, aztán egyből küldött egy csapat jogászt a cég, hogy rontják a hírnevüket ahelyett, hogy próbáltak volna tákolni a terméken. Itt lehet nézegetni teszt eredményeket rájuk. [link]

Volt még szó az EDR-ekről, amik ha jól értettem arra valók, hogy sok gépen meg tudják csinálni egyszerre azt, amit egyesével csináltunk eddig, pl egy netstattot vagy ilyesmiket. Itt a velociraptor [link], amit kipróbáltunk. Ez is ingyenes, opensource és elég jó dolgokat tud fizetősökhöz képest is.

Volt még szó egy kis vulnerability management-ről, meg úgy management-ről általában. Pl ha végigmegyünk egy cég teljes hálózaton, és mondjuk 1000 gépnél találunk 25 sebezhetőséget, akkor a sebezhetőségek szerint érdemes csoportosítani, és úgy automatikusan patchelni őket, ahelyett, hogy IP címenként csoportosítanánk, és egyesével néznénk végig az IP címeket, mert az emberek felvágják az ereiket a végére.

Aztán volt szó webalkalmazás tesztelésről. Itt azt mondja, hogy a burp a legjobb eszköz, bár fizetős. A zap az ingyenes alternatíva. Illetve, hogy érdemes az olyanokra is odafigyelni, ami nem critical meg high besorolású, mert sokszor azokon keresztül törik fel a szervert. Pl telnetnél sokszor nincs beállítva jelszó, vagy ha lehet listázni könyvtárakat, ekkor előfordulhatnak bennük érdekes fájlok, password.doc, installguide.pdf, de ezek mellett sok helyen vannak fent backup fájlok tele forráskóddal. Persze ott vannak a komolyabb sebezhetőségek, amikkel foglalkozni kell, de ezeket sem szabad elhanyagolni.

Volt még olyanról szó, hogy általában a cryptoanalysis-nél nem az titkosítási algoritmust szokták támadni, hanem a rossz implementációt. Pl szerinte a WEP-nél sem az algoritmus volt rossz, hanem az implementáció.

Úgy nagyjából ilyesmik voltak ma.

(#18) inf3rno


inf3rno
veterán
LOGOUT blog

Úgy összességében én elégedett vagyok vele. Így utólag azt mondom, hogy megéri a pénzt is, ki mennyit tud rászánni. Tényleg egy jó bevezető a gyakorlati részébe az incidens kezelésnek. Pont ma volt incidensmenedzsment órám, és elég jól el tudtam helyezni az itt tanultakat, szóval jól kiegészítette a másik képzésem. A fazon is jó előadó, gondolom nem először csinálja, meg úgy tűnik inkább arra fókuszál, hogy közösséget teremtsen, és nem arra, hogy lehúzza az embereket. Ha van egy fix célközönség, akkor úgyis egy idő után dől a lé. Ez az annyit fizetsz amennyit gondolsz dolog is szerintem benne van az üzlettervében, mert részben jótékonyság, részben meg hosszú távon, ha valaki ebben helyezkedik el, akkor úgyis megszedi magát annyira, hogy tudjon legalább egy minimális összeget kifizetni. Én pl ránézek most, hogy van e log analysis kurzusuk, ami abba a témába mélyebben belemegy, mert kell a szakdolgozatomhoz, és valamennyit hajlandó is vagyok fizetni érte, hogy legyen valami gyorstalpaló, és kapjak valami képet arról, hogy mit csinálnak, mi a szaknyelv, és milyen kontextusba helyezzem a szakdolgozatot. A mostanit ingyen csináltam. Elvileg 6 hónapig tudom megnézni a videokat, a labor vmware fájlja bármeddig használható, de gondolom 6 hónap után letiltják majd a frissítést rá. Úgy nagyjából ennyi. Én így kezdőként ajánlom ezt a wild west hackin' fest / SOC core skills-et. Azt mondta, hogy talán majd egyszer jönnek Budapestre is élőben. [link]

[ Szerkesztve ]

(#19) inf3rno


inf3rno
veterán
LOGOUT blog

Pont most néztem egy 2016-os videot az activecountermeasures-ön arról, hogy a McAffiet hogyan lehet átverni, ha a vírust becsomagolod egy amúgy valid alkalmazásba, pl androidon a wifi analyzer-be. Az egész negyed óra. Szóval ja, tényleg meg lehet(ett) csinálni.

(#20) sh4d0w válasza inf3rno (#17) üzenetére


sh4d0w
nagyúr
LOGOUT blog

EDR: valójában nem csak az a lényege, hogy több endpointon egyszerre tudod futtatni az analizálást, hanem hogy a különböző események között korrelációkat lehet felállítani, pl.: user elindítja a wordöt, ami kapcsolódik egy külső IP-hez, majd elindul a powershell, ami elindítja a vssadmint, aztán hirtelen megugrik a disk aktivitás és a CPU load.

https://coreinfinity.tech

(#21) inf3rno válasza sh4d0w (#20) üzenetére


inf3rno
veterán
LOGOUT blog

Köszi! Ezek szerint akkor a hálózaton több gép között is lehet korrelációt megállapítani, mondjuk ha megfertőzött 3 gépet ugyanaz a malware, akkor a tünetek hasonlóak lesznek.

(#22) sh4d0w válasza inf3rno (#21) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.

Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.

[ Szerkesztve ]

https://coreinfinity.tech

(#23) inf3rno válasza sh4d0w (#22) üzenetére


inf3rno
veterán
LOGOUT blog

A lateral movement az micsoda? Volt róla szó már érintőlegesen, de annyi új dolog van most, hogy nehéz most követni.

(#24) sh4d0w válasza inf3rno (#23) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.

Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/

https://coreinfinity.tech

(#25) inf3rno válasza sh4d0w (#24) üzenetére


inf3rno
veterán
LOGOUT blog

Köszi! Mindjárt elolvasom.

(#26) RoyalFlush válasza inf3rno (#1) üzenetére


RoyalFlush
őstag

Kedvencekhez adva.

“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein

(#27) RoyalFlush válasza inf3rno (#17) üzenetére


RoyalFlush
őstag

Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el... :U Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.

[ Szerkesztve ]

“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein

(#28) sh4d0w válasza RoyalFlush (#27) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Azt gondolom, hogy a választ mindenféleképpen ketté kell bontani.

1. A false positive riasztások a legnagyobb probléma minden monitorozó rendszerben, mert a túl sok ilyen túlterheli a staffot.
2. Ha szándékosan van ilyen, az valószínűleg törvénytelen, ebben az esetben a megfelelő szerveknél ezt jelezni kell.

https://coreinfinity.tech

(#29) sh4d0w válasza inf3rno (#17) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Kicsit visszatértem ehhez a hsz-hez.

A Burp Suite-ból van ingyenes community edition, aminek a licence biztosítja, hogy cégen belül használd.

https://coreinfinity.tech

(#30) RoyalFlush válasza sh4d0w (#28) üzenetére


RoyalFlush
őstag

Köszönöm! Napi 200 feletti esetszám, de a router behatolásvédelme szerint semmi, azaz nulla.

“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein

(#31) sh4d0w válasza RoyalFlush (#30) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Ez lehet beállítási hiba is a routeren. Láttam olyan Cisco ASA eszközt, ami nem riasztott, amikor kellett volna, mert csak a VPN hálózatot figyelte.

https://coreinfinity.tech

(#32) inf3rno válasza RoyalFlush (#30) üzenetére


inf3rno
veterán
LOGOUT blog

Itt a lényeg az lenne, hogy megvizsgáld, hogy mi váltotta ki a riasztást, és ha fals pozitívnak ítéled, akkor fel kell venni szabályt rá, hogy legközelebb ilyen esetben ne riasszon. Viszont itt azért elég alaposnak kell lenni, mert ha benézed, akkor a támadó a szabály felvétele után feltűnés nélkül csinálhatja tovább a dolgait. Szóval egy kicsit kétélű fegyver. Nekem az jött le, hogy érdemes egyszerre többféle szoftverrel figyelni a hálózatot, és az alapján talán könnyebb eldönteni, hogy mi a fals pozitív és mi nem az, mert eleve több információ áll rendelkezésre.

(#33) inf3rno válasza sh4d0w (#29) üzenetére


inf3rno
veterán
LOGOUT blog

Na ezt jó tudni, majd ránézek.

SyslogNG-t ismered? Lenne néhány alap kérdésem vele kapcsolatban.

[ Szerkesztve ]

(#34) Egon


Egon
nagyúr

Nocsak, micsoda topic. Lehet hogy itt a helyem? ;]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#35) inf3rno válasza Egon (#34) üzenetére


inf3rno
veterán
LOGOUT blog

Egyértelmű. :-)

(#36) sh4d0w válasza Egon (#34) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Egészen biztosan :DDD

https://coreinfinity.tech

(#37) sh4d0w válasza inf3rno (#33) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Nem, sosem használtam.

https://coreinfinity.tech

(#38) inf3rno válasza sh4d0w (#37) üzenetére


inf3rno
veterán
LOGOUT blog

Elvileg valami magyar log rendszer. Megkérdem akkor majd a fejlesztőit, csak attól tartok RTFM lesz belőle. :D

(#39) inf3rno


inf3rno
veterán
LOGOUT blog

Black Hills Infosec: Sacred Cash Cow Tipping 2021 w/ John Strand & Testers (1-Hour) Thu, Feb 11, 2021 7:00 PM - 8:00 PM CET +/- 1 óra a téli időszámítás miatt [link]

[ Szerkesztve ]

(#40) sh4d0w


sh4d0w
nagyúr
LOGOUT blog

Bakker...
Pythonban írt kb 10 soros keyloggert VT-re feltöltve összesen 10 engine detektálja...
Még meglepőbb, hogy olyanok, mint Crowdstrike, Cylance, FireEye nem...

https://coreinfinity.tech

(#41) Egon válasza sh4d0w (#40) üzenetére


Egon
nagyúr

Mi az ami detektálja? Inkább erre lennék kíváncsi. Eset, Avira?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#42) sh4d0w válasza Egon (#41) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Eset, mcafee, microsoft, yandex, zillya, antiy-avl, cynet, jiangmin, securage apex, mcafee-gw-edition.

Azért meglepő, mert a viselkedés analízisnek ki kéne szúrnia.

https://coreinfinity.tech

(#43) Egon válasza sh4d0w (#42) üzenetére


Egon
nagyúr

Nekem volt olyan trójaival fertőzött fájlom, amit anno kb. 2 engine ha érzékelt (pedig egy gépet sz*rrá fertőzött a családban sajna, tehát valid kártevő volt). Az egyik az Avira volt, azért is szerettem azt a programot. Manapság már sajnos kb. használhatatlan.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#44) sh4d0w válasza Egon (#43) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Basszus, másik Windows-on még csak a forrást kalimpáltam be, a Defender meg beriasztott :DDD

https://coreinfinity.tech

(#45) sztanozs válasza sh4d0w (#44) üzenetére


sztanozs
addikt

forrás megvan valahol publikusban? :DDD

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#46) sh4d0w válasza sztanozs (#45) üzenetére


sh4d0w
nagyúr
LOGOUT blog

https://medium.com/analytics-vidhya/python-keylogger-tutorial-ef178d02f24a

Ez hasonlít rá.

https://coreinfinity.tech

(#47) sztanozs válasza sh4d0w (#46) üzenetére


sztanozs
addikt

Kénytelen leszek akkor megkeresni VT-ben :D

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#48) sh4d0w válasza sztanozs (#47) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Már az is eszembe jutott, ha nem ilyen baltának készítem el, akkor talán több engine fújt volna riadót. Tényleg nem csinál mást, mint rögzíti a keystroke-ot egy text file-ba. Nem indul automatikusan, nem regisztrál kamu service-t, nem kommunikál sehova :DDD

https://coreinfinity.tech

(#49) inf3rno válasza sh4d0w (#48) üzenetére


inf3rno
veterán
LOGOUT blog

Még tegyél bele annyit, hogy megosztod a fájlt a helyi hálón, aztán ha arra sem jelez, akkor teljes értékű.

(#50) sztanozs válasza sh4d0w (#48) üzenetére


sztanozs
addikt

:D
inferno - csak meg kell változtatni a path-t a kódban és már is helyi hálóra ment :)

amúgy a keyloggerek gyakran mentek lokális gépre, hogy ne legyen annyira gyanús - sőt gyakran megy cache-be is, hogy ne akkor legyen a diszkre írás, amikor a billentyű leütés van, hanem, mint egy alkalmazás log esetében pl percenként, vagy 5 percenként.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Copyright © 2000-2021 PROHARDVER Informatikai Kft.