Új hozzászólás Aktív témák
-
Manapság egyre inkább a kibertérben megy már az adok-kapok az államok között, és a bűnözők egy jelentős része is ide tette át a tevékenységét. A titkosszolgálatoknak, hadseregeknek, bankoknak, állami szerveknek, önkormányzatoknak és magáncégeknek is elemi érdekévé vált, hogy foglalkozzanak az információbiztonsággal, és ez szülte meg az olyan szakmákat, mint kiberkatona, etikus hacker, információbiztonsági vezető, adatvédelmi felelős, stb. A topik nagyjából ezekről a témakörökről szól, illetve szeretném, hogyha megosztanánk a tapasztalatainkat egymással az aktuális trendekről, hogy mindenki egy kicsit felkészültebben tudjon ellenük védekezni.
-
Van most egy SOC analyst alap kurzus, amin akár ingyenesen is részt lehet venni, ha valaki emailben indokolja, hogy neki ez miért jár. Automatikusan küldik a kódot, nem tudom valaha elolvassák e, hogy mit írunk. Ha valaki fizetne, akkor $20 a minimum összeg, de lehet többel is támogatni őket. Kedden indul, nem tudom mi a jelentkezési határidő: [link]
This 16-hour (4-days, 4-hour sessions) information security training course will cover the core security skills all Security Operation Center (SOC) analysts need to have. These are the skills that all Black Hills Information Security (BHIS) SOC team members need to have.
We thought we would like to share.
Topics to include:
Core networking skills
Live Windows Forensics
Live Linux Forensics
Memory Forensics
Active Directory Analysis
Network Threat Hunting
Basics of Vulnerability Management
The Incident Response Process[ Szerkesztve ]
-
Eddig baromi jó ez a képzés. Az NKE-s képzésem elég elméleti, ez meg jól kiegészíti a gyakorlati résszel is. Ment tegnap a malware és backdoor keresés CLI-ből Windows és Linux oprendszereken. Ajánlottak egy másik képzést is, ami csak 4 óra, de teljesen ingyenes mindenkinek: Cyber Threat Hunting Level 1 [link]
[ Szerkesztve ]
-
Szerintem baromi jó. Bemutatják az eszközöket, utána meg élesben ki lehet próbálni őket. A lab-hez a kép fájlt bármeddig lehet használni, nem korlátozzák le időben. Azt mondta a fazon, hogy sok képzésnél csak egy rövid ideig lehet használni, és annak nem sok értelme van, hogy egy hétig napi 1-2 órában gyakorolgatok, utána meg teljesen elfelejtem az egészet. Teszt nincsen, alapból megkapod az oklevelet vagy mit, viszont elvárja, hogy gyakorolj. Nagyjából ennyi, ami lejött.
Maga a tananyag közepesen mély, a szükséges minimumot adja ahhoz, hogy el tudj kezdeni eszközöket használni és úgy értsd is, hogy mit csinálsz velük, szóval erősen a gyakorlatra koncentrál, és nem az elméletre. Ma a Wireshark használata előtt ledarálta, hogy hogy néz ki egy IP header, és mik a biztonsági szempontból fontos részei, aztán lehetett malwaret vadászni Wiresharkkal. Most meg éppen memory forensics gyakorlat megy volatility-vel.
-
Ma volt szó a Ritáról: [link] Azt hiszem az anyjáról nevezte el, aki valszeg meghalt. Mondott valamit röviden róla, hogy kórházban voltak, és onnan streamelt, aztán amikor az anyja látta, hogy mennyien nézik a streamjét, akkor azt mondta, hogy maradjon ingyenes a cucc. Úgyhogy azért az. Aztán lehet, hogy nem így volt, de jó sztori. Igazából annyi mindenről szó volt ma, hogy csak kapkodtam a fejem. A végén majd megpróbálom összeszedni, hogy milyen eszközökről volt szó, vagy legalább csinálok egy copy-paste-et a linkekről.
[ Szerkesztve ]
-
Ma viszonylag hamar lement. Antivirusokról volt szó, leginkább arról, hogy mindegyiket meg lehet hekkelni. Inkább csak arra jók, hogy a nagyját megfogják, de alapból nem a legjobb maga az elképzelés, hogy mindent beazonosítanak, és csinálnak róla egy hash-t, mert célzott támadásnál elég egy kicsit módosítani a kódon, hogy átmenjen a vírusirtón. Leszólt párat, pl a CrowdStrike-ot és a McAfee-t. Az elsőt, mert drága, és mégis van egy csomó, amit az Elastic megtalál, de a CrowdStrike nem úgy, hogy az Elastic ingyenes. A másikat azért, mert volt valami ügyük vele, amikor bemutatták, hogy 10 perc alatt hogyan lehet áthekkelni magad rajta, aztán egyből küldött egy csapat jogászt a cég, hogy rontják a hírnevüket ahelyett, hogy próbáltak volna tákolni a terméken. Itt lehet nézegetni teszt eredményeket rájuk. [link]
Volt még szó az EDR-ekről, amik ha jól értettem arra valók, hogy sok gépen meg tudják csinálni egyszerre azt, amit egyesével csináltunk eddig, pl egy netstattot vagy ilyesmiket. Itt a velociraptor [link], amit kipróbáltunk. Ez is ingyenes, opensource és elég jó dolgokat tud fizetősökhöz képest is.
Volt még szó egy kis vulnerability management-ről, meg úgy management-ről általában. Pl ha végigmegyünk egy cég teljes hálózaton, és mondjuk 1000 gépnél találunk 25 sebezhetőséget, akkor a sebezhetőségek szerint érdemes csoportosítani, és úgy automatikusan patchelni őket, ahelyett, hogy IP címenként csoportosítanánk, és egyesével néznénk végig az IP címeket, mert az emberek felvágják az ereiket a végére.
Aztán volt szó webalkalmazás tesztelésről. Itt azt mondja, hogy a burp a legjobb eszköz, bár fizetős. A zap az ingyenes alternatíva. Illetve, hogy érdemes az olyanokra is odafigyelni, ami nem critical meg high besorolású, mert sokszor azokon keresztül törik fel a szervert. Pl telnetnél sokszor nincs beállítva jelszó, vagy ha lehet listázni könyvtárakat, ekkor előfordulhatnak bennük érdekes fájlok, password.doc, installguide.pdf, de ezek mellett sok helyen vannak fent backup fájlok tele forráskóddal. Persze ott vannak a komolyabb sebezhetőségek, amikkel foglalkozni kell, de ezeket sem szabad elhanyagolni.
Volt még olyanról szó, hogy általában a cryptoanalysis-nél nem az titkosítási algoritmust szokták támadni, hanem a rossz implementációt. Pl szerinte a WEP-nél sem az algoritmus volt rossz, hanem az implementáció.
Úgy nagyjából ilyesmik voltak ma.
-
Úgy összességében én elégedett vagyok vele. Így utólag azt mondom, hogy megéri a pénzt is, ki mennyit tud rászánni. Tényleg egy jó bevezető a gyakorlati részébe az incidens kezelésnek. Pont ma volt incidensmenedzsment órám, és elég jól el tudtam helyezni az itt tanultakat, szóval jól kiegészítette a másik képzésem. A fazon is jó előadó, gondolom nem először csinálja, meg úgy tűnik inkább arra fókuszál, hogy közösséget teremtsen, és nem arra, hogy lehúzza az embereket. Ha van egy fix célközönség, akkor úgyis egy idő után dől a lé. Ez az annyit fizetsz amennyit gondolsz dolog is szerintem benne van az üzlettervében, mert részben jótékonyság, részben meg hosszú távon, ha valaki ebben helyezkedik el, akkor úgyis megszedi magát annyira, hogy tudjon legalább egy minimális összeget kifizetni. Én pl ránézek most, hogy van e log analysis kurzusuk, ami abba a témába mélyebben belemegy, mert kell a szakdolgozatomhoz, és valamennyit hajlandó is vagyok fizetni érte, hogy legyen valami gyorstalpaló, és kapjak valami képet arról, hogy mit csinálnak, mi a szaknyelv, és milyen kontextusba helyezzem a szakdolgozatot. A mostanit ingyen csináltam. Elvileg 6 hónapig tudom megnézni a videokat, a labor vmware fájlja bármeddig használható, de gondolom 6 hónap után letiltják majd a frissítést rá. Úgy nagyjából ennyi. Én így kezdőként ajánlom ezt a wild west hackin' fest / SOC core skills-et. Azt mondta, hogy talán majd egyszer jönnek Budapestre is élőben. [link]
[ Szerkesztve ]
-
Pont most néztem egy 2016-os videot az activecountermeasures-ön arról, hogy a McAffiet hogyan lehet átverni, ha a vírust becsomagolod egy amúgy valid alkalmazásba, pl androidon a wifi analyzer-be. Az egész negyed óra. Szóval ja, tényleg meg lehet(ett) csinálni.
-
sh4d0w
nagyúr
EDR: valójában nem csak az a lényege, hogy több endpointon egyszerre tudod futtatni az analizálást, hanem hogy a különböző események között korrelációkat lehet felállítani, pl.: user elindítja a wordöt, ami kapcsolódik egy külső IP-hez, majd elindul a powershell, ami elindítja a vssadmint, aztán hirtelen megugrik a disk aktivitás és a CPU load.
https://coreinfinity.tech
-
sh4d0w
nagyúr
Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.
Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.
[ Szerkesztve ]
https://coreinfinity.tech
-
sh4d0w
nagyúr
Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.
Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/
https://coreinfinity.tech
-
#27
RoyalFlush
őstag
inf3rno
#17
RoyalFlush
őstag
Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el...
Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.[ Szerkesztve ]
“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein
-
#28
sh4d0w
nagyúr
RoyalFlush
#27
sh4d0w
nagyúr
válasz
RoyalFlush
#27
üzenetére
Azt gondolom, hogy a választ mindenféleképpen ketté kell bontani.
1. A false positive riasztások a legnagyobb probléma minden monitorozó rendszerben, mert a túl sok ilyen túlterheli a staffot.
2. Ha szándékosan van ilyen, az valószínűleg törvénytelen, ebben az esetben a megfelelő szerveknél ezt jelezni kell.https://coreinfinity.tech
-
#31
sh4d0w
nagyúr
RoyalFlush
#30
sh4d0w
nagyúr
válasz
RoyalFlush
#30
üzenetére
Ez lehet beállítási hiba is a routeren. Láttam olyan Cisco ASA eszközt, ami nem riasztott, amikor kellett volna, mert csak a VPN hálózatot figyelte.
https://coreinfinity.tech
-
#32
inf3rno
Topikgazda
RoyalFlush
#30
válasz
RoyalFlush
#30
üzenetére
Itt a lényeg az lenne, hogy megvizsgáld, hogy mi váltotta ki a riasztást, és ha fals pozitívnak ítéled, akkor fel kell venni szabályt rá, hogy legközelebb ilyen esetben ne riasszon. Viszont itt azért elég alaposnak kell lenni, mert ha benézed, akkor a támadó a szabály felvétele után feltűnés nélkül csinálhatja tovább a dolgait. Szóval egy kicsit kétélű fegyver. Nekem az jött le, hogy érdemes egyszerre többféle szoftverrel figyelni a hálózatot, és az alapján talán könnyebb eldönteni, hogy mi a fals pozitív és mi nem az, mert eleve több információ áll rendelkezésre.
-
Egon
nagyúr
Nekem volt olyan trójaival fertőzött fájlom, amit anno kb. 2 engine ha érzékelt (pedig egy gépet sz*rrá fertőzött a családban sajna, tehát valid kártevő volt). Az egyik az Avira volt, azért is szerettem azt a programot. Manapság már sajnos kb. használhatatlan.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sh4d0w
nagyúr
Már az is eszembe jutott, ha nem ilyen baltának készítem el, akkor talán több engine fújt volna riadót. Tényleg nem csinál mást, mint rögzíti a keystroke-ot egy text file-ba. Nem indul automatikusan, nem regisztrál kamu service-t, nem kommunikál sehova
https://coreinfinity.tech
-
inferno - csak meg kell változtatni a path-t a kódban és már is helyi hálóra ment
amúgy a keyloggerek gyakran mentek lokális gépre, hogy ne legyen annyira gyanús - sőt gyakran megy cache-be is, hogy ne akkor legyen a diszkre írás, amikor a billentyű leütés van, hanem, mint egy alkalmazás log esetében pl percenként, vagy 5 percenként.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Raspberry Pi
- Elektromos (hálózati és akkus) kéziszerszámok, tapasztalatok/vásárlás
- BestBuy topik
- Far Cry 6
- Xbox Series X|S
- Motoros topic
- BMW topik
- [Re:] A kevésbé modern levilágítási technológiáktól is elvágná Kínát az USA
- [Re:] Bemutatkozott a Poco F2 Pro (már megint)
- Milyen okostelefont vegyek?
- További aktív témák...
- HP 840 G3 laptop eladó / I5-6300U / 8 GB RAM / FHD kijelző / 256 GB SSD
- Eladó Inno3d GTX 1060 3GB Compact OC
- Apple Watch Series 3 42mm Nike edt. Silver jó akku
- Apple Watch Series 5 40mm hibátlan akku 100%!
- Elitebook x360 1030 G3, 13.3" FHD IPS érintő i5-8250U, 16GB, 256GB NVMe, ujjlolv., IR kam., gar
Állásajánlatok
Cég: Tatabányai Törvényszék
Város: Tata
Cég: Abesse Zrt.
Város: Budapest