README.hta

Что делать с вредоносным файлом? Даже без детонации, отладки или реверса, можно провести его предварительный анализ в статике, чтобы сформировать предположение о назначении и функционале 1. Определяем формат и тип файла. Расширение не смотрим, смотрим magic bytes ⚙️ file, обычный или шестнадцатиричным редактором (MZ, PK или ELF вы увидите и обычным нотпадом, в части hex - Hiew или HxD), DiE (Detect It Easy) или CFF Explorer. К ним мы еще неоднократно вернемся 2. Считаем хеши (MD5, SHA-1, SHA-256...

Утро начинается не только с кофе или ответ на вопрос, почему в канале нет новых постов 😅 Пишем курс по расследованию инцидентов, анализу данных и безопасности в Linux-системах. Саша из инсеки и методист говорят, что стартуем в ноябре. Кажется, они верят в нас больше, чем мы сами, но выхода нет 🤪 Драфт структуры прилагаю и невероятно горжусь таким наполнением своего первого отдельного курса, вот

Пока я сижу болею в отпуске, канал стал чуть похож на доску объявлений, но ничего не поделаешь. Короче 📝 24 октября буду вести круглый стол на CyberCamp. Мы старались не только подобрать незаезженные вопросы, а еще и позвать ребят, с которыми точно не заскучаешь (я, конечно же, хотела позвать больше, но таковы правила..). Но как по мне, главное — совсем не это. В этом году организаторы добавили формат личных консультаций с экспертами. Можно записаться, в том числе и ко мне, и тет-а-тет обсудить...

Давеча в одном из кейсов встретили постэксплуатационный фреймворк AdaptixC2. Что-то новенькое itw! Кратко накину контекст, я думаю, вы поймете, почему: proxyshell → adrecon, sharphound → fscan → rdp, psexec, obfuscated powershell, winrm → cobalt strike → RMM (AnyDesk, RMS, Mesh Agent, TacticalRMM) → nuget, devtunnel, chisel → adaptixc2 via nssm → dll w/ telegram c2 channel → sliver Все приправлено кастомным шифровальщиком через GPO. И это даже не очередной экземпляр LockBit 🏴 Самое интересное —...

Утро начинается не только с кофе или ответ на вопрос, почему в канале нет новых постов 😅 Пишем курс по расследованию инцидентов, анализу данных и безопасности в Linux-системах. Саша из инсеки и методист говорят, что стартуем в ноябре. Кажется, они верят в…

А, не, отбой, я нашла применение Всегда бы так на работу приезжать, еще и на коне с конём!

А как AI в расследованиях используете? Дисклеймер. Есть AI как общее понятие (чаще в разговорах подразумевается именно GenAI, генеративный искусственный интеллект, который способен на основе фундаментальных знаний создавать нечто релевантное), а есть ML как одна из его областей, цель которого изучать и выявлять паттерны из данных. Это два разных понятия Этот текст лежат у меня в заметках пару месяцев. За это время мы обсудили тему со многими, но от публикации что-то все равно останавливало меня....

Уже традиционно, пора подводить итоги года :) Понравились слова в соседнем канале, которые я успешно сворую. По статистике, за год в канале была всего 41 публикация, и по ощущениям это вполне ок. Ладно, иногда были угрызения совести, но через пару минут вспоминаешь, что пора возвращаться к работе, а канал по-прежнему остается любимым хобби. Просто гигантское спасибо вам за эту возможность! Каждый раз пишу, что уходящий год был насыщенным, и этот – не исключение. В ту новогоднюю ночь я загадывала...

Что делать с вредоносным файлом? Часть 2 Продолжим историю с предварительным анализом в статике. На очереди ELF, исполняемые файлы Linux: хоть некоторые шаги пересекаются с анализом PE, но все же есть своя специфика 1. Определяем формат файла В Linux расширение часто отсутствует, смотрим magic bytes. Для ELF это 7F 45 4C 46 (.ELF в ASCII) ⚙️ file, hexedit, HIEW (любой hex-редактор) или DiE 2. Хеши Считаем MD5, SHA-1, SHA-256 и проверяем в VirusTotal, ANY.RUN, в отдельных случаях выручает OpenTIP...

Channel photo updated