-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
Már az is eszembe jutott, ha nem ilyen baltának készítem el, akkor talán több engine fújt volna riadót. Tényleg nem csinál mást, mint rögzíti a keystroke-ot egy text file-ba. Nem indul automatikusan, nem regisztrál kamu service-t, nem kommunikál sehova
https://www.coreinfinity.tech
-
-
-
inf3rno
Topikgazda
Ez nem a solarwinds-es bejegyzésre vonatkozott, hanem van egy bejegyzése a DNS tunneling-ről. De közben utána jártam, és az is jó, amit ő írt. Pl volt olyan malware, ami a domain meglétét nézte, és ha beregisztrálták, akkor leállította magát. Az állandóan változó subdomaint (cache miatt muszáj változtatni) nem csak azonosításra lehet használni, hanem C&C-re is, pl ha a visszaadott IP címben adod meg, hogy mit hajtson végre a malware. Illetve a válaszban akár lehet további alkalmazásokat is küldeni, bár nem túl gyors és megbízható a folyamat, illetve komoly a lebukás esélye. [link] Ami nekem nem világos, hogy ennél az utóbbinál hogyan irányítják a forgalmat a saját DNS szerverükre, de ahogy nézem ez is megoldható. [link]
[ Szerkesztve ]
Buliban hasznos! =]
-
-
Egon
nagyúr
válasz sztanozs #101 üzenetére
Ott van az összes belső folyamatuk részletes leírása pl.
Sajnos egy olyan szakma képviselői, akik a lehető legmesszebb állnak az IT-tól (talán a jogászokat meg a tanárokat kivéve... ). Rendkívül nehéz velük megértetni, hogy mi miért okoz jelentős, nem felvállalható biztonsági kockázatot.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
válasz sztanozs #104 üzenetére
Pontosan. Egyrészt az az ultimate érv, hogy 100 éve így van, sosem volt semmi probléma, másrészt minden változás akadályozza a (kényelmes) munkavégzést...
Voltunk olyan helyen is, ahol akkora káosz volt, hogy nemhogy azt nem tudták megmondani, hogy egyáltalán hány darab és miféle rendszereik vannak, de még azt sem sikerült hosszas kérdezősködéssel sem kideríteni, hogy hány egyáltalán ember dolgozik az IT részlegen...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
inf3rno
Topikgazda
válasz sztanozs #167 üzenetére
Jó ez a könnyebb része. Én miután átestem social engineering-el kapcsolatos képzésen, szerintem full esélytelen lenne kivédenem egy jól tervezett támadást, ha nem én lennék a security feje. Mondta, hogy simán feljutottak a cég irodájába, és ott előadták, hogy biztonsági auditot tartanak, betettek eszközöket, elhoztak eszközöket, stb.
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz sztanozs #176 üzenetére
Korreláció 15 éve van legalább az összes SIEM rendszerben. Nagyon alap feature. Legalábbis valamelyik órán azt mondták. Olyan szempontból érdekel csak, hogy mi az a legegyszerűbb példa esemény soroknál, amit már nem lehet korrelációs szabályokkal lefedni, és szekvenciákat kell használni rá. Megnyitottam jó sok cikket, a nap végére tutira megfejtem, csak sok időt tudnék megspórolni egy válasszal.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz sztanozs #180 üzenetére
Szerintem egyetlen injectionnek sem szabadna léteznie, a fakezű programozók miatt mégis a leggyakoribb sebezhetőség csoport. Amúgy nem vágom, hogy az XSS-t miért veszik külön, amikor az is injection, csak a HTTP kliensbe injektálnak JS kódot, nem a szerveren futó alkalmazásba. [link]
Buliban hasznos! =]
-
-
-
inf3rno
Topikgazda
válasz sztanozs #203 üzenetére
Szerintem a legjobb, ha felteszek ilyen cuccokból, mint SIEM, IDS, EDR, stb. open source verziókat itthonra, aztán akkor nagyjából látom, hogy mire lesznek jók ezek. Egyelőre most a RITA, amit ki akarok próbálni, mert gyanítom, hogy egy ideje van valaki a hálózatban, de saját router híján elég nehéz biztosat mondani. Kíváncsi vagyok, hogy találok e valamit.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz sztanozs #245 üzenetére
Akinek csinálom az SE auditokat szokott tartani, nem ért hozzá. Igazából csak példának kellett, hogy nagyságrendileg jók legyenek a számok. Majd ha ténylegesen kell ilyet csinálni, akkor úgyis rászánok legalább egy hónapot, hogy mindennek utánanézzek.
Buliban hasznos! =]
-
Egon
nagyúr
-
-
inf3rno
Topikgazda
válasz sztanozs #314 üzenetére
Hát akkor megszívtam. De ott mégis van egy nagyjából előre megírt forgatókönyv, lehet tervezni, hogy mit hogyan fogunk tesztelni, és csak le kell darálni. A forensics és a SOC is olyan, hogy nagyon sokféle dolog előfordulhat, és mindegyiket nagyjából ismerni kell, hogy tovább tudjunk lépni, az idő meg szorít. Mondjuk a megfelelő képzéssel azokat is meg lehet csinálni, csak szerintem én nehezen viselném az állandó stresszt és kapkodást, ami azokkal jár.
Buliban hasznos! =]
-
Egon
nagyúr
válasz sztanozs #324 üzenetére
Nyilván példa volt, lehet hogy nem a legjobb, de azért lássuk be: egy SOC-ban a kezelendő események jelentős része viszonylag egy (vagy néhány) kaptafára épülő történet szokott lenni (legalábbis alacsony szinten mindenképp; L3 szinten persze már nem biztos).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
-
inf3rno
Topikgazda
válasz sztanozs #466 üzenetére
A konkrét esetnél állítólag elborult a férj agya, és annyira féltékeny volt, hogy megfigyelte a saját feleségét, a mobilra is tett kém programot és talán a házat is bekamerázta, de konkrétumokat egyelőre nem tudok. Ismerősöm a csaj már 30 éve, felajánlottam, hogy segítek neki felgöngyölni az ügyet, és feljelentést tenni, ha esetleg találunk bizonyítékot.
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz sztanozs #487 üzenetére
A mitigate-et mérséklő kontrollnak szokták fordítani vagy magyarabbul mérséklő (védelmi) intézkedések.
Igen, nagyjából az a cél, hogyha nyomozás van, akkor legyen mit mondani arról, hogy pl ki nyomott rá a vírusos emailre, illetve ha csekkolom bizonyos időközönként a logokat, akkor lássam, hogy nincs e gyanús tevékenység, amire reagálni kell. Egy központi jól védett helyen szeretném gyűjteni az OS és hálózati naplókat, és rendszeresen ránézni, hogy nincs e valami rendellenes.
Igazából konkrétumokra lettem volna kíváncsi, hogy milyen log gyűjtő szerver alkalmazást érdemes fellőni, és hogy az OS-en belül hogyan érdemes ezeket beállítani úgy, hogy a munkaállomások ne lassuljanak be tőle még jobban. Ez utóbbinál az lenne a frankó, ha a munkaállomáson a HDD-t egyáltalán nem is érintené a log, hanem hálózaton menne egyből a szervernek, mert most érezhetően a HDD húzza le a gépeket, és csak jövőre lesz erőforrás az SSD-re váltáshoz. Jövő szerdán beszélek az informatikával, és addigra szeretnék utánajárni, hogy tanácsot tudjak adni ezen a téren, mert úgy tudom, hogy nem túl rutinosak információbiztonsággal kapcsolatban.
[ Szerkesztve ]
Buliban hasznos! =]
-
Egon
nagyúr
válasz sztanozs #629 üzenetére
Na ja, igazad van, alapból még mindig asztali gépekben és lokális hozzáférésekben gondolkodom...
Mondjuk nálunk a laptopok nincsenek AD-ba léptetve, és jumping host van."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
-
Egon
nagyúr
válasz sztanozs #787 üzenetére
A wifi töréshez is egészen közel kell lenni...
Egyébként wifi side-channel attack példára némi keresés után csak WPA-TKIP elleni támadásra bukkantam, ami meg ugyebár nem annyira tekinthető biztonságos implementációnak. Nyilván sérülékeny FW az támadható, de azért tételezzünk fel egy biztonságos wifi hálózatnál megfelelő patch managementet is."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
válasz sztanozs #794 üzenetére
Linuxról, de még néhány szó a környezetről:
(Többek között) network discovery eszközöket fejlesztek (nem megyek bele, miért nem az nmapet használom), a célpont gépek nyilván virtuálisak (de egyébként a probléma valódi fizikai géppel is fennáll). Többségük Linux, de pontosan a megfelelő tesztelés miatt Windows 10 és 11 is van a virtuális környezetben (VMWare).
Nos, a Windows 10/11 sem pingre, sem nmap scanre, sem scapy vagy socket modulban használt kapcsolódási kérelemre nem reagál (ami alapvetően ugye jó, mert megnehezíti a támadó dolgát, másfelől meg megnehezíti a security-s dolgát, mert nem látja a védendő assetet).
Mindegyik Windows default telepítés, semmilyen extra védelmi szoftver nincs rajtuk, csak a beépített Defender - van mód arra, hogy megtaláljam ezeket a rendszereket? Ua. hálózatban a Linuxos gépeket látom (a Fedora szerver kivételével - ami megint csak érthető, de ennek majd később megyek utána).
[ Szerkesztve ]
https://www.coreinfinity.tech