Manapság egyre inkább a kibertérben megy már az adok-kapok az államok között, és a bűnözők egy jelentős része is ide tette át a tevékenységét. A titkosszolgálatoknak, hadseregeknek, bankoknak, állami szerveknek, önkormányzatoknak és magáncégeknek is elemi érdekévé vált, hogy foglalkozzanak az információbiztonsággal, és ez szülte meg az olyan szakmákat, mint kiberkatona, etikus hacker, információbiztonsági vezető, adatvédelmi felelős, stb. A topik nagyjából ezekről a témakörökről szól, illetve szeretném, hogyha megosztanánk a tapasztalatainkat egymással az aktuális trendekről, hogy mindenki egy kicsit felkészültebben tudjon ellenük védekezni.

Kezdésnek itt van, hogy lekapcsolták végre valahára az emotet-et. [link], ami a banki adatainkat lopkodta.

Azért csak óvatosan az együttműködéssel is. [link]

Mentettem a topicot. Azt hiszem, bőven ideje volt létrehozni.

[ Szerkesztve ]

Van most egy SOC analyst alap kurzus, amin akár ingyenesen is részt lehet venni, ha valaki emailben indokolja, hogy neki ez miért jár. Automatikusan küldik a kódot, nem tudom valaha elolvassák e, hogy mit írunk. Ha valaki fizetne, akkor $20 a minimum összeg, de lehet többel is támogatni őket. Kedden indul, nem tudom mi a jelentkezési határidő: [link]

This 16-hour (4-days, 4-hour sessions) information security training course will cover the core security skills all Security Operation Center (SOC) analysts need to have. These are the skills that all Black Hills Information Security (BHIS) SOC team members need to have.

We thought we would like to share.

Topics to include:

Core networking skills
Live Windows Forensics
Live Linux Forensics
Memory Forensics
Active Directory Analysis
Network Threat Hunting
Basics of Vulnerability Management
The Incident Response Process

[ Szerkesztve ]

Fejlett kibertámadás-sorozat ért több hazai kormányzati portált [link]

Ezt lehozta a Café is, de vannak kétségek...

Ja hát nincs túl sok konkrétum a hírben.

Eddig baromi jó ez a képzés. Az NKE-s képzésem elég elméleti, ez meg jól kiegészíti a gyakorlati résszel is. Ment tegnap a malware és backdoor keresés CLI-ből Windows és Linux oprendszereken. Ajánlottak egy másik képzést is, ami csak 4 óra, de teljesen ingyenes mindenkinek: Cyber Threat Hunting Level 1 [link]

[ Szerkesztve ]

Kíváncsi leszek az aktuális tréningre, mi lesz a végső véleményed.

Good News: SANS Virtual Summits Will Be FREE for the Community in 2021 [link]

Lassan már annyi minden van, hogy kevés lesz az időm rá.

Szerintem baromi jó. Bemutatják az eszközöket, utána meg élesben ki lehet próbálni őket. A lab-hez a kép fájlt bármeddig lehet használni, nem korlátozzák le időben. Azt mondta a fazon, hogy sok képzésnél csak egy rövid ideig lehet használni, és annak nem sok értelme van, hogy egy hétig napi 1-2 órában gyakorolgatok, utána meg teljesen elfelejtem az egészet. Teszt nincsen, alapból megkapod az oklevelet vagy mit, viszont elvárja, hogy gyakorolj. Nagyjából ennyi, ami lejött.

Maga a tananyag közepesen mély, a szükséges minimumot adja ahhoz, hogy el tudj kezdeni eszközöket használni és úgy értsd is, hogy mit csinálsz velük, szóval erősen a gyakorlatra koncentrál, és nem az elméletre. Ma a Wireshark használata előtt ledarálta, hogy hogy néz ki egy IP header, és mik a biztonsági szempontból fontos részei, aztán lehetett malwaret vadászni Wiresharkkal. Most meg éppen memory forensics gyakorlat megy volatility-vel.

Köszi.

Ma volt szó a Ritáról: [link] Azt hiszem az anyjáról nevezte el, aki valszeg meghalt. Mondott valamit röviden róla, hogy kórházban voltak, és onnan streamelt, aztán amikor az anyja látta, hogy mennyien nézik a streamjét, akkor azt mondta, hogy maradjon ingyenes a cucc. Úgyhogy azért az. Aztán lehet, hogy nem így volt, de jó sztori. Igazából annyi mindenről szó volt ma, hogy csak kapkodtam a fejem. A végén majd megpróbálom összeszedni, hogy milyen eszközökről volt szó, vagy legalább csinálok egy copy-paste-et a linkekről.

[ Szerkesztve ]

Az Active Countermeasures hírlevélre érdemes feliratkozni, gyakran mutatnak be ingyenes eszközöket threat hunting közben.

-

[ Szerkesztve ]

Ma viszonylag hamar lement. Antivirusokról volt szó, leginkább arról, hogy mindegyiket meg lehet hekkelni. Inkább csak arra jók, hogy a nagyját megfogják, de alapból nem a legjobb maga az elképzelés, hogy mindent beazonosítanak, és csinálnak róla egy hash-t, mert célzott támadásnál elég egy kicsit módosítani a kódon, hogy átmenjen a vírusirtón. Leszólt párat, pl a CrowdStrike-ot és a McAfee-t. Az elsőt, mert drága, és mégis van egy csomó, amit az Elastic megtalál, de a CrowdStrike nem úgy, hogy az Elastic ingyenes. A másikat azért, mert volt valami ügyük vele, amikor bemutatták, hogy 10 perc alatt hogyan lehet áthekkelni magad rajta, aztán egyből küldött egy csapat jogászt a cég, hogy rontják a hírnevüket ahelyett, hogy próbáltak volna tákolni a terméken. Itt lehet nézegetni teszt eredményeket rájuk. [link]

Volt még szó az EDR-ekről, amik ha jól értettem arra valók, hogy sok gépen meg tudják csinálni egyszerre azt, amit egyesével csináltunk eddig, pl egy netstattot vagy ilyesmiket. Itt a velociraptor [link], amit kipróbáltunk. Ez is ingyenes, opensource és elég jó dolgokat tud fizetősökhöz képest is.

Volt még szó egy kis vulnerability management-ről, meg úgy management-ről általában. Pl ha végigmegyünk egy cég teljes hálózaton, és mondjuk 1000 gépnél találunk 25 sebezhetőséget, akkor a sebezhetőségek szerint érdemes csoportosítani, és úgy automatikusan patchelni őket, ahelyett, hogy IP címenként csoportosítanánk, és egyesével néznénk végig az IP címeket, mert az emberek felvágják az ereiket a végére.

Aztán volt szó webalkalmazás tesztelésről. Itt azt mondja, hogy a burp a legjobb eszköz, bár fizetős. A zap az ingyenes alternatíva. Illetve, hogy érdemes az olyanokra is odafigyelni, ami nem critical meg high besorolású, mert sokszor azokon keresztül törik fel a szervert. Pl telnetnél sokszor nincs beállítva jelszó, vagy ha lehet listázni könyvtárakat, ekkor előfordulhatnak bennük érdekes fájlok, password.doc, installguide.pdf, de ezek mellett sok helyen vannak fent backup fájlok tele forráskóddal. Persze ott vannak a komolyabb sebezhetőségek, amikkel foglalkozni kell, de ezeket sem szabad elhanyagolni.

Volt még olyanról szó, hogy általában a cryptoanalysis-nél nem az titkosítási algoritmust szokták támadni, hanem a rossz implementációt. Pl szerinte a WEP-nél sem az algoritmus volt rossz, hanem az implementáció.

Úgy nagyjából ilyesmik voltak ma.

Úgy összességében én elégedett vagyok vele. Így utólag azt mondom, hogy megéri a pénzt is, ki mennyit tud rászánni. Tényleg egy jó bevezető a gyakorlati részébe az incidens kezelésnek. Pont ma volt incidensmenedzsment órám, és elég jól el tudtam helyezni az itt tanultakat, szóval jól kiegészítette a másik képzésem. A fazon is jó előadó, gondolom nem először csinálja, meg úgy tűnik inkább arra fókuszál, hogy közösséget teremtsen, és nem arra, hogy lehúzza az embereket. Ha van egy fix célközönség, akkor úgyis egy idő után dől a lé. Ez az annyit fizetsz amennyit gondolsz dolog is szerintem benne van az üzlettervében, mert részben jótékonyság, részben meg hosszú távon, ha valaki ebben helyezkedik el, akkor úgyis megszedi magát annyira, hogy tudjon legalább egy minimális összeget kifizetni. Én pl ránézek most, hogy van e log analysis kurzusuk, ami abba a témába mélyebben belemegy, mert kell a szakdolgozatomhoz, és valamennyit hajlandó is vagyok fizetni érte, hogy legyen valami gyorstalpaló, és kapjak valami képet arról, hogy mit csinálnak, mi a szaknyelv, és milyen kontextusba helyezzem a szakdolgozatot. A mostanit ingyen csináltam. Elvileg 6 hónapig tudom megnézni a videokat, a labor vmware fájlja bármeddig használható, de gondolom 6 hónap után letiltják majd a frissítést rá. Úgy nagyjából ennyi. Én így kezdőként ajánlom ezt a wild west hackin' fest / SOC core skills-et. Azt mondta, hogy talán majd egyszer jönnek Budapestre is élőben. [link]

[ Szerkesztve ]

Pont most néztem egy 2016-os videot az activecountermeasures-ön arról, hogy a McAffiet hogyan lehet átverni, ha a vírust becsomagolod egy amúgy valid alkalmazásba, pl androidon a wifi analyzer-be. Az egész negyed óra. Szóval ja, tényleg meg lehet(ett) csinálni.

EDR: valójában nem csak az a lényege, hogy több endpointon egyszerre tudod futtatni az analizálást, hanem hogy a különböző események között korrelációkat lehet felállítani, pl.: user elindítja a wordöt, ami kapcsolódik egy külső IP-hez, majd elindul a powershell, ami elindítja a vssadmint, aztán hirtelen megugrik a disk aktivitás és a CPU load.