Hirdetés
Hozzászólok Aktív témák
-
Manapság egyre inkább a kibertérben megy már az adok-kapok az államok között, és a bűnözők egy jelentős része is ide tette át a tevékenységét. A titkosszolgálatoknak, hadseregeknek, bankoknak, állami szerveknek, önkormányzatoknak és magáncégeknek is elemi érdekévé vált, hogy foglalkozzanak az információbiztonsággal, és ez szülte meg az olyan szakmákat, mint kiberkatona, etikus hacker, információbiztonsági vezető, adatvédelmi felelős, stb. A topik nagyjából ezekről a témakörökről szól, illetve szeretném, hogyha megosztanánk a tapasztalatainkat egymással az aktuális trendekről, hogy mindenki egy kicsit felkészültebben tudjon ellenük védekezni.
-
Kezdésnek itt van, hogy lekapcsolták végre valahára az emotet-et. [link], ami a banki adatainkat lopkodta.
-
Azért csak óvatosan az együttműködéssel is. [link]
-
Mentettem a topicot. Azt hiszem, bőven ideje volt létrehozni.
[ Szerkesztve ]
https://coreinfinity.tech
-
Van most egy SOC analyst alap kurzus, amin akár ingyenesen is részt lehet venni, ha valaki emailben indokolja, hogy neki ez miért jár. Automatikusan küldik a kódot, nem tudom valaha elolvassák e, hogy mit írunk. Ha valaki fizetne, akkor $20 a minimum összeg, de lehet többel is támogatni őket. Kedden indul, nem tudom mi a jelentkezési határidő: [link]
This 16-hour (4-days, 4-hour sessions) information security training course will cover the core security skills all Security Operation Center (SOC) analysts need to have. These are the skills that all Black Hills Information Security (BHIS) SOC team members need to have.
We thought we would like to share.
Topics to include:
Core networking skills
Live Windows Forensics
Live Linux Forensics
Memory Forensics
Active Directory Analysis
Network Threat Hunting
Basics of Vulnerability Management
The Incident Response Process[ Szerkesztve ]
-
Fejlett kibertámadás-sorozat ért több hazai kormányzati portált [link]
-
Eddig baromi jó ez a képzés. Az NKE-s képzésem elég elméleti, ez meg jól kiegészíti a gyakorlati résszel is. Ment tegnap a malware és backdoor keresés CLI-ből Windows és Linux oprendszereken. Ajánlottak egy másik képzést is, ami csak 4 óra, de teljesen ingyenes mindenkinek: Cyber Threat Hunting Level 1 [link]
[ Szerkesztve ]
-
Good News: SANS Virtual Summits Will Be FREE for the Community in 2021 [link]
Lassan már annyi minden van, hogy kevés lesz az időm rá.
-
Szerintem baromi jó. Bemutatják az eszközöket, utána meg élesben ki lehet próbálni őket. A lab-hez a kép fájlt bármeddig lehet használni, nem korlátozzák le időben. Azt mondta a fazon, hogy sok képzésnél csak egy rövid ideig lehet használni, és annak nem sok értelme van, hogy egy hétig napi 1-2 órában gyakorolgatok, utána meg teljesen elfelejtem az egészet. Teszt nincsen, alapból megkapod az oklevelet vagy mit, viszont elvárja, hogy gyakorolj. Nagyjából ennyi, ami lejött.
Maga a tananyag közepesen mély, a szükséges minimumot adja ahhoz, hogy el tudj kezdeni eszközöket használni és úgy értsd is, hogy mit csinálsz velük, szóval erősen a gyakorlatra koncentrál, és nem az elméletre. Ma a Wireshark használata előtt ledarálta, hogy hogy néz ki egy IP header, és mik a biztonsági szempontból fontos részei, aztán lehetett malwaret vadászni Wiresharkkal. Most meg éppen memory forensics gyakorlat megy volatility-vel.
-
Ma volt szó a Ritáról: [link] Azt hiszem az anyjáról nevezte el, aki valszeg meghalt. Mondott valamit röviden róla, hogy kórházban voltak, és onnan streamelt, aztán amikor az anyja látta, hogy mennyien nézik a streamjét, akkor azt mondta, hogy maradjon ingyenes a cucc. Úgyhogy azért az. Aztán lehet, hogy nem így volt, de jó sztori. Igazából annyi mindenről szó volt ma, hogy csak kapkodtam a fejem. A végén majd megpróbálom összeszedni, hogy milyen eszközökről volt szó, vagy legalább csinálok egy copy-paste-et a linkekről.
[ Szerkesztve ]
-
Ma viszonylag hamar lement. Antivirusokról volt szó, leginkább arról, hogy mindegyiket meg lehet hekkelni. Inkább csak arra jók, hogy a nagyját megfogják, de alapból nem a legjobb maga az elképzelés, hogy mindent beazonosítanak, és csinálnak róla egy hash-t, mert célzott támadásnál elég egy kicsit módosítani a kódon, hogy átmenjen a vírusirtón. Leszólt párat, pl a CrowdStrike-ot és a McAfee-t. Az elsőt, mert drága, és mégis van egy csomó, amit az Elastic megtalál, de a CrowdStrike nem úgy, hogy az Elastic ingyenes. A másikat azért, mert volt valami ügyük vele, amikor bemutatták, hogy 10 perc alatt hogyan lehet áthekkelni magad rajta, aztán egyből küldött egy csapat jogászt a cég, hogy rontják a hírnevüket ahelyett, hogy próbáltak volna tákolni a terméken. Itt lehet nézegetni teszt eredményeket rájuk. [link]
Volt még szó az EDR-ekről, amik ha jól értettem arra valók, hogy sok gépen meg tudják csinálni egyszerre azt, amit egyesével csináltunk eddig, pl egy netstattot vagy ilyesmiket. Itt a velociraptor [link], amit kipróbáltunk. Ez is ingyenes, opensource és elég jó dolgokat tud fizetősökhöz képest is.
Volt még szó egy kis vulnerability management-ről, meg úgy management-ről általában. Pl ha végigmegyünk egy cég teljes hálózaton, és mondjuk 1000 gépnél találunk 25 sebezhetőséget, akkor a sebezhetőségek szerint érdemes csoportosítani, és úgy automatikusan patchelni őket, ahelyett, hogy IP címenként csoportosítanánk, és egyesével néznénk végig az IP címeket, mert az emberek felvágják az ereiket a végére.
Aztán volt szó webalkalmazás tesztelésről. Itt azt mondja, hogy a burp a legjobb eszköz, bár fizetős. A zap az ingyenes alternatíva. Illetve, hogy érdemes az olyanokra is odafigyelni, ami nem critical meg high besorolású, mert sokszor azokon keresztül törik fel a szervert. Pl telnetnél sokszor nincs beállítva jelszó, vagy ha lehet listázni könyvtárakat, ekkor előfordulhatnak bennük érdekes fájlok, password.doc, installguide.pdf, de ezek mellett sok helyen vannak fent backup fájlok tele forráskóddal. Persze ott vannak a komolyabb sebezhetőségek, amikkel foglalkozni kell, de ezeket sem szabad elhanyagolni.
Volt még olyanról szó, hogy általában a cryptoanalysis-nél nem az titkosítási algoritmust szokták támadni, hanem a rossz implementációt. Pl szerinte a WEP-nél sem az algoritmus volt rossz, hanem az implementáció.
Úgy nagyjából ilyesmik voltak ma.
-
Úgy összességében én elégedett vagyok vele. Így utólag azt mondom, hogy megéri a pénzt is, ki mennyit tud rászánni. Tényleg egy jó bevezető a gyakorlati részébe az incidens kezelésnek. Pont ma volt incidensmenedzsment órám, és elég jól el tudtam helyezni az itt tanultakat, szóval jól kiegészítette a másik képzésem. A fazon is jó előadó, gondolom nem először csinálja, meg úgy tűnik inkább arra fókuszál, hogy közösséget teremtsen, és nem arra, hogy lehúzza az embereket. Ha van egy fix célközönség, akkor úgyis egy idő után dől a lé. Ez az annyit fizetsz amennyit gondolsz dolog is szerintem benne van az üzlettervében, mert részben jótékonyság, részben meg hosszú távon, ha valaki ebben helyezkedik el, akkor úgyis megszedi magát annyira, hogy tudjon legalább egy minimális összeget kifizetni. Én pl ránézek most, hogy van e log analysis kurzusuk, ami abba a témába mélyebben belemegy, mert kell a szakdolgozatomhoz, és valamennyit hajlandó is vagyok fizetni érte, hogy legyen valami gyorstalpaló, és kapjak valami képet arról, hogy mit csinálnak, mi a szaknyelv, és milyen kontextusba helyezzem a szakdolgozatot. A mostanit ingyen csináltam. Elvileg 6 hónapig tudom megnézni a videokat, a labor vmware fájlja bármeddig használható, de gondolom 6 hónap után letiltják majd a frissítést rá. Úgy nagyjából ennyi. Én így kezdőként ajánlom ezt a wild west hackin' fest / SOC core skills-et. Azt mondta, hogy talán majd egyszer jönnek Budapestre is élőben. [link]
[ Szerkesztve ]
-
Pont most néztem egy 2016-os videot az activecountermeasures-ön arról, hogy a McAffiet hogyan lehet átverni, ha a vírust becsomagolod egy amúgy valid alkalmazásba, pl androidon a wifi analyzer-be. Az egész negyed óra. Szóval ja, tényleg meg lehet(ett) csinálni.
-
EDR: valójában nem csak az a lényege, hogy több endpointon egyszerre tudod futtatni az analizálást, hanem hogy a különböző események között korrelációkat lehet felállítani, pl.: user elindítja a wordöt, ami kapcsolódik egy külső IP-hez, majd elindul a powershell, ami elindítja a vssadmint, aztán hirtelen megugrik a disk aktivitás és a CPU load.
https://coreinfinity.tech
-
Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.
Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.
[ Szerkesztve ]
https://coreinfinity.tech
-
Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.
Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/
https://coreinfinity.tech
-
#27
RoyalFlush
őstag
inf3rno
#17
RoyalFlush
őstag
Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el...
Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.[ Szerkesztve ]
“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein
-
#28
sh4d0w
nagyúr
RoyalFlush
#27
válasz
RoyalFlush
#27
üzenetére
Azt gondolom, hogy a választ mindenféleképpen ketté kell bontani.
1. A false positive riasztások a legnagyobb probléma minden monitorozó rendszerben, mert a túl sok ilyen túlterheli a staffot.
2. Ha szándékosan van ilyen, az valószínűleg törvénytelen, ebben az esetben a megfelelő szerveknél ezt jelezni kell.https://coreinfinity.tech
-
#31
sh4d0w
nagyúr
RoyalFlush
#30
válasz
RoyalFlush
#30
üzenetére
Ez lehet beállítási hiba is a routeren. Láttam olyan Cisco ASA eszközt, ami nem riasztott, amikor kellett volna, mert csak a VPN hálózatot figyelte.
https://coreinfinity.tech
-
#32
inf3rno
veterán
RoyalFlush
#30
válasz
RoyalFlush
#30
üzenetére
Itt a lényeg az lenne, hogy megvizsgáld, hogy mi váltotta ki a riasztást, és ha fals pozitívnak ítéled, akkor fel kell venni szabályt rá, hogy legközelebb ilyen esetben ne riasszon. Viszont itt azért elég alaposnak kell lenni, mert ha benézed, akkor a támadó a szabály felvétele után feltűnés nélkül csinálhatja tovább a dolgait. Szóval egy kicsit kétélű fegyver. Nekem az jött le, hogy érdemes egyszerre többféle szoftverrel figyelni a hálózatot, és az alapján talán könnyebb eldönteni, hogy mi a fals pozitív és mi nem az, mert eleve több információ áll rendelkezésre.
-
Black Hills Infosec: Sacred Cash Cow Tipping 2021 w/ John Strand & Testers (1-Hour) Thu, Feb 11, 2021 7:00 PM - 8:00 PM CET +/- 1 óra a téli időszámítás miatt [link]
[ Szerkesztve ]
-
Bakker...
Pythonban írt kb 10 soros keyloggert VT-re feltöltve összesen 10 engine detektálja...
Még meglepőbb, hogy olyanok, mint Crowdstrike, Cylance, FireEye nem...https://coreinfinity.tech
-
Egon
nagyúr
Nekem volt olyan trójaival fertőzött fájlom, amit anno kb. 2 engine ha érzékelt (pedig egy gépet sz*rrá fertőzött a családban sajna, tehát valid kártevő volt). Az egyik az Avira volt, azért is szerettem azt a programot. Manapság már sajnos kb. használhatatlan.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Már az is eszembe jutott, ha nem ilyen baltának készítem el, akkor talán több engine fújt volna riadót. Tényleg nem csinál mást, mint rögzíti a keystroke-ot egy text file-ba. Nem indul automatikusan, nem regisztrál kamu service-t, nem kommunikál sehova
https://coreinfinity.tech
-
sztanozs
addikt
inferno - csak meg kell változtatni a path-t a kódban és már is helyi hálóra ment
amúgy a keyloggerek gyakran mentek lokális gépre, hogy ne legyen annyira gyanús - sőt gyakran megy cache-be is, hogy ne akkor legyen a diszkre írás, amikor a billentyű leütés van, hanem, mint egy alkalmazás log esetében pl percenként, vagy 5 percenként.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.
![;]](http://cdn.prohardver.hu/dl/s/v1.gif)
Hozzászólok Aktív témák
Hirdetés
- [Re:] Újszerű PNY Gtx 1660 Ti 6Gb gddr6 szinte néma terhelés alatt is, ingyenes szállítás
- Call of Duty: Modern Warfare (2019)
- [Re:] Samsung Galaxy S20 FE - tényleg nem lite
- Hálózati / IP kamera
- [Re:] Az MSI is beugrott a bányacsillébe
- [Re:] Asus Geaforce 1070TI 8G
- Alternatív kriptopénzek (altcoin-ok) és bányászatuk
- Fortnite - Battle Royale & Save the World (PC, XO, PS4, Switch, Mobil)
- The Elder Scrolls V: Skyrim
- [Re:] [8th:] Gmail kötelező kétlépcsős azonosítás
- További aktív témák...
- Eladó Amiga 1200 sok kiegészítővel
- Hp Spectre N5S04UA - i7-6500U, 8 GB RAM, 256 GB SSD.
- NVidia GIGABYTE GV-N680 OC Hibátlan!
- WD Gold 4TB Enterprise HDD 5 év magyar kisker + GYÁRI garancia! ÚJ, bontatlan
- Lenovo ThinkPad X1 Yoga, 3Gen.ára alatt,Lenovo gyári garancia, i7/16GB RAM/1TB SSD/4K IPS áthajtható
Állásajánlatok
Cég: ENTEL Műszaki Fejlesztő Kft.
Város: Budapest
Cég: DiabTrend AI Analytics Kft.
Város: Budapest