#incident_response — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #incident_response, aggregated by home.social.
-
Linux Incident Response: системный подход. Часть 2
Это вторая часть статьи про Linux Incident Response — разбор live response на работающем Linux-хосте с подозрением на компрометацию. Если вы не читали первую часть, лучше начать с неё: в ней разобрали принципы расследования, изоляцию хоста, trusted toolkit, фиксацию исходного состояния, сетевые соединения и процессы. Без этого контекста часть команд и логика дальнейшего анализа будут менее понятны. Первая часть здесь . В этой части процесс идет далее — к менее изменчивым артефактам. Рассмотрим механизмы закрепления и следы на диске: systemd-сервисы и timers, cron, автозапуск, пользователи, группы, пакеты, логи, kernel-артефакты. В финале расскажем о построении таймлайна, оформлении IOC и действия с системой после завершения расследования.
-
Linux Incident Response: системный подход. Часть 1
Пару лет назад я уже публиковал статью о реагировании на инциденты в Linux-системах. Она по-прежнему может быть полезна как практическая шпаргалка, но с тех пор изменился и мой опыт, и требования к таким материалам. В этом цикле статей я хочу разобрать Linux live response более системно. Большинство материалов по Linux IR сводятся к спискам команд: посмотреть процессы, сеть, пользователей, cron, логи. Проблема в том, что сами по себе команды мало что дают, если нет порядка их применения, ограничения live response, смысл полученного вывода и вообще — методологии, базиса работы. Этот материал исправляет такие упущения. Он будет разбит на две части. В этой статье обсудим принципы расследования, изоляции, подготовки инструментария, начала анализа и исследования сети и процессов. Добро пожаловать под кат.
-
Canvas Data Breach Analysis: CMC Releases Guidance for UK Education Sector After Instructure Incident - https://www.redpacketsecurity.com/cmc-releases-analysis-and-guidance-for-education-sector-after-canvas-data-breach/
#threatintel #Canvas_breach #data_exfiltration #incident_response
-
Canvas Data Breach Analysis: CMC Releases Guidance for UK Education Sector After Instructure Incident - https://www.redpacketsecurity.com/cmc-releases-analysis-and-guidance-for-education-sector-after-canvas-data-breach/
#threatintel #Canvas_breach #data_exfiltration #incident_response
-
Five Eyes Urgent Call to Tackle Frontier AI Threats: Cyber Resilience Steps for Businesses - https://www.redpacketsecurity.com/five-eyes-group-issues-urgent-call-to-tackle-frontier-ai-threats/
#threatintel #frontier_AI #cyber_resilience #incident_response
-
Five Eyes Urgent Call to Tackle Frontier AI Threats: Cyber Resilience Steps for Businesses - https://www.redpacketsecurity.com/five-eyes-group-issues-urgent-call-to-tackle-frontier-ai-threats/
#threatintel #frontier_AI #cyber_resilience #incident_response
-
EU Cybersecurity Reserve: Experts to Support Ukrainian Organizations During Large-Scale Cyber-Attacks - https://www.redpacketsecurity.com/eu-security-experts-to-support-ukrainian-organizations-in-case-of-cyber-attacks/
-
EU Cybersecurity Reserve: Experts to Support Ukrainian Organizations During Large-Scale Cyber-Attacks - https://www.redpacketsecurity.com/eu-security-experts-to-support-ukrainian-organizations-in-case-of-cyber-attacks/
-
#incident_response: Exposed GitHub token with push access
https://github.com/NixOS/nixpkgs/security/advisories/GHSA-67f2-674w-6g63
-
#incident_response: Exposed GitHub token with push access
https://github.com/NixOS/nixpkgs/security/advisories/GHSA-67f2-674w-6g63
-
Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска
Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.
https://habr.com/ru/articles/1021698/
#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response
-
Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting
Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.
https://habr.com/ru/articles/1014420/
#phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript
-
Запустить легко, эксплуатировать сложно: год жизни SOC «Газпром-Медиа Холдинга»
В 2024 году мы рассказывали , как развернули масштабный центр мониторинга безопасности над «Газпром-Медиа». Тогда даже позволили себе тезис о том, что способны подключить любой актив к мониторингу за одни сутки. Это правда, но опытный инженер, прошедший через реалии корпоративной среды, скажет вам, что запустить систему в продакшен — это всего лишь начало. А вот эксплуатировать ее на живой, постоянно изменяющейся инфраструктуре, где каждый день меняются сетевые доступы и появляются новые сервисы, — долгосрочная задача повышенной сложности. Что происходит, когда центр мониторинга безопасности федерального холдинга превышает отметку в 100 000 событий в секунду? Когда стандартные решения начинают буксовать, а инфраструктура разрастается до 100 сервисов? В 2025 году наша команда столкнулась именно с такими вызовами. В этой статье расскажем, как мы решали архитектурные «головоломки» высоконагруженного SIEM, боролись с экзотическими форматами логов медийных систем, создавали кастомные коннекторы и как Purple Team-учения помогли обнаружить настоящих злодеев.
https://habr.com/ru/companies/bastion/articles/1008436/
#soc #SIEM #информационная_безопасность #мониторинг #ClickHouse #KUMA #incident_response #высокие_нагрузки #корпоративная_безопасность #логирование
-
Как мы научили нейросеть искать связи между инцидентами в SOC
Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.
https://habr.com/ru/companies/k2tech/articles/972220/
#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности
-
Linux DFIR: шпаргалка кибердетектива (CentOS/RHEL)
Эта шпаргалка — быстрый рабочий инструмент для аналитиков DFIR/Blue Team и администраторов, которым нужно провести первичный live response в Linux: зафиксировать состояние, собрать артефакты, выделить аномалии и подготовить базу для дальнейшей форензики (off‑host анализ образов, таймлайнов и журналов). Принципы работы аналитика: - минимизируем изменения на целевой системе; - всё, что собираем, хешируем; - фиксируем контекст (версию ОС, локаль/часовой пояс, сетевое окружение); - по возможности работаем из однопользовательской сессии с ограниченными правами, повышая привилегии только точечно.
https://habr.com/ru/articles/955394/
#dfir #linux #incident_response #forensic_investigations #terminal
-
OK #forensics bubble ...
What do you think of a forensic software that doesn't support hash matching with deleted / recovered files and files in archives (OK.. the latter is a bug but still..) ... and cannot restore deleted video files (mp4 in this case) while a 2yr old installation of Autopsy can.....And yet charging several 1000$/€ a year, being kind of a market leader / monopolist?
-
So yesterday, I emailed a state court system that appears to be linked to the exposed data I mentioned recently and that the host notified on or about July 28.
No reply was received.
Today, I sent a contact form message to the lawyer for a juvenile whose records were sealed. Sealed, except 11 of them were exposed to anyone who can access the data. I told him what was going on and suggested he contact the court and tell them to get the data secured.
No reply was received.
Today, I sent an email to the judge who ordered the juvenile's records sealed and I cc:d the district attorney. I gave them the juvenile's name, case number and that I could see all the sealed records. I urged them to have their IT or vendor call me and I could give them the IP address over the phone, etc.
No reply was received.
Dear Russia, China, and North Korea:
You do not need to hack our courts. They are leaking like sieves and do not respond when we try to tell them they need to secure the data.
Yours in total frustration,
/Dissent
#infosec #cybersecurity #incident_response #dataleak #databreach #WAKETHEFUCKUP
-
So yesterday, I emailed a state court system that appears to be linked to the exposed data I mentioned recently and that the host notified on or about July 28.
No reply was received.
Today, I sent a contact form message to the lawyer for a juvenile whose records were sealed. Sealed, except 11 of them were exposed to anyone who can access the data. I told him what was going on and suggested he contact the court and tell them to get the data secured.
No reply was received.
Today, I sent an email to the judge who ordered the juvenile's records sealed and I cc:d the district attorney. I gave them the juvenile's name, case number and that I could see all the sealed records. I urged them to have their IT or vendor call me and I could give them the IP address over the phone, etc.
No reply was received.
Dear Russia, China, and North Korea:
You do not need to hack our courts. They are leaking like sieves and do not respond when we try to tell them they need to secure the data.
Yours in total frustration,
/Dissent
#infosec #cybersecurity #incident_response #dataleak #databreach #WAKETHEFUCKUP
-
Защита от тёмных искусств: DLL-Hijacking
Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!
https://habr.com/ru/companies/first/articles/929734/
#DLL #dll_hijacking #dll_search #incident_response #security
-
@JayeLTee SavantCare never responded to my inquiries, either. Prior to sending them questions, I simply queried them as to whether they are covered by HIPAA. They responded to that email by affirming that they are regulated by HIPAA. But then they ignored all the questions that followed about the leak, their data security, any business associate agreement with GRMTech, and whether they are notifying HHS and affected patients.
-
@JayeLTee SavantCare never responded to my inquiries, either. Prior to sending them questions, I simply queried them as to whether they are covered by HIPAA. They responded to that email by affirming that they are regulated by HIPAA. But then they ignored all the questions that followed about the leak, their data security, any business associate agreement with GRMTech, and whether they are notifying HHS and affected patients.
-
Thanks to everyone in the fediverse who has favorited, boosted, and reached out to me supportively over the injunction and takedown order that I wouldn't comply with (overview: https://infosec.exchange/@PogoWasRight/114110520940142405)
Special thanks to @zackwhittaker for reporting about it all on #TechCrunch:
#databreach #HCRG #ransomware #incident_response #injunction
-
Thanks to everyone in the fediverse who has favorited, boosted, and reached out to me supportively over the injunction and takedown order that I wouldn't comply with (overview: https://infosec.exchange/@PogoWasRight/114110520940142405)
Special thanks to @zackwhittaker for reporting about it all on #TechCrunch:
#databreach #HCRG #ransomware #incident_response #injunction
-
Another day, another leak, another inaccurate claim by an entity, and another inappropriate attack on a researcher. Buckle up.
@JayeLTee had alerted me to his nasty encounter with TeammateApp's CEO. See his post https://infosec.exchange/@JayeLTee/114057470165488882 and his substack at https://jltee.substack.com/p/new-zealand-companys-impossible-to-hack-security
My report/commentary is at :
No need to hack when it’s leaking, Monday edition: TeammateApp:
https://databreaches.net/2025/02/24/no-need-to-hack-when-its-leaking-monday-edition-teammateapp/ -
Another day, another leak, another inaccurate claim by an entity, and another inappropriate attack on a researcher. Buckle up.
@JayeLTee had alerted me to his nasty encounter with TeammateApp's CEO. See his post https://infosec.exchange/@JayeLTee/114057470165488882 and his substack at https://jltee.substack.com/p/new-zealand-companys-impossible-to-hack-security
My report/commentary is at :
No need to hack when it’s leaking, Monday edition: TeammateApp:
https://databreaches.net/2025/02/24/no-need-to-hack-when-its-leaking-monday-edition-teammateapp/ -
Beverly Hills Plastic Surgeon Jaime Schwartz M.D. Sued for Not Timely Notifying Patients of Two Hacks: https://databreaches.net/2025/02/22/beverly-hills-plastic-surgeon-jaime-schwartz-m-d-sued-for-not-timely-notifying-patients-of-two-hacks/
h/t, #404media #Courtwatch
#databreach #extortion #incident_response #notification #transparency #hack #healthsec
-
Beverly Hills Plastic Surgeon Jaime Schwartz M.D. Sued for Not Timely Notifying Patients of Two Hacks: https://databreaches.net/2025/02/22/beverly-hills-plastic-surgeon-jaime-schwartz-m-d-sued-for-not-timely-notifying-patients-of-two-hacks/
h/t, #404media #Courtwatch
#databreach #extortion #incident_response #notification #transparency #hack #healthsec
-
Почему молчит SIEM: откровенный разговор о расследовании инцидентов
Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange». В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.
https://habr.com/ru/companies/bastion/articles/882174/
#расследование_инцидентов #incident_response #threat_intelligence #soc #реагирование_на_инциденты #цифровая_криминалистика #кибербезопасность #цифровые_артефакты #триаж
-
Some former employees of Granite School District are frustrated with the district's lack of accurate and timely information in the wake of a September attack by Rhysida -- especially since the data were leaked on Rhysida's leak site more than a month ago.
A former employee tells me it only took him 3 hours to figure out that there were a lot more data types and affected people than the district has revealed so far.
My post about it all:
https://databreaches.net/2024/12/17/granite-school-district-breach-worse-than-the-district-has-revealed-former-employee/@douglevin @funnymonkey @brett @mkeierleber
#EduSec #cybersecurity #databreach #ransomware #incident_response #transparency #disclosure
-
Some former employees of Granite School District are frustrated with the district's lack of accurate and timely information in the wake of a September attack by Rhysida -- especially since the data were leaked on Rhysida's leak site more than a month ago.
A former employee tells me it only took him 3 hours to figure out that there were a lot more data types and affected people than the district has revealed so far.
My post about it all:
https://databreaches.net/2024/12/17/granite-school-district-breach-worse-than-the-district-has-revealed-former-employee/@douglevin @funnymonkey @brett @mkeierleber
#EduSec #cybersecurity #databreach #ransomware #incident_response #transparency #disclosure
-
Cardiology of Virginia patient data appears to be up for sale. Has the entity issued any statement at all?
https://databreaches.net/?p=118189#HIPAA #ransomware #healthsec #databreach #incident_response
-
Cardiology of Virginia patient data appears to be up for sale. Has the entity issued any statement at all?
https://databreaches.net/?p=118189#HIPAA #ransomware #healthsec #databreach #incident_response
-
Реагирование на инциденты ИБ в Linux-системах: база
В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты этого процесса, команды, которые могут быть использованы для анализа, а также точки интереса, на которые стоит обращать внимание. Статья будет полезна в первую очередь начинающим администраторам Linux-систем и отделам ИБ для составления планов по реагированию.
https://habr.com/ru/companies/first/articles/843126/
#incident_response #cybersecurity #irp #реагирование_на_инциденты #linux
-
Как реагировать на атаки шифровальщиков: рекомендации для CISO
Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ. Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.
https://habr.com/ru/companies/bastion/articles/835508/
#шифровальщик #шифровальщики #вымогательское_по #программавымогатель #корпоративная_инфраструктура #реагирование_на_инциденты #мониторинг_инфраструктуры #soc #ciso #incident_response
-
Clorox and Johnson Controls Reveal $76m Cyber-Attack Bill - https://www.redpacketsecurity.com/clorox-and-johnson-controls-reveal-m-cyber-attack-bill/
#threatintel #Cybersecurity_Costs #Ransomware_Attacks #Incident_Response
-
Clorox and Johnson Controls Reveal $76m Cyber-Attack Bill - https://www.redpacketsecurity.com/clorox-and-johnson-controls-reveal-m-cyber-attack-bill/
#threatintel #Cybersecurity_Costs #Ransomware_Attacks #Incident_Response
-
Digital Sherlock: Decoding Threat Actor Behavior Through Forensics
https://thenimblenerd.com/?p=16074&utm_content=bufferb270e&utm_medium=social&utm_source=bufferapp.com&utm_campaign=buffer #incident_response -
Tracking developer build times to decide if the M3 MacBook is worth upgrading
https://incident.io/blog/festive-macbooks
#ycombinator #incident #incident_management #incident_response #post_mortem #outage #slack_incident #incident_channel -
Tracking developer build times to decide if the M3 MacBook is worth upgrading
https://incident.io/blog/festive-macbooks
#ycombinator #incident #incident_management #incident_response #post_mortem #outage #slack_incident #incident_channel -
Анализ виртуальной машины на примере VMProtect. Часть 1
В этой статье мы рассмотрим, как может выглядеть работа виртуальной машины VMProtect , а также посмотрим, что можно сделать для понимания защищенного функционала (в зависимости от того, как далеко вы готовы зайти в этом не всегда благодарном деле). Ожидается, что данный материал поможет тем, кто в ходе реагирования на компьютерный инцидент или исследования какой-либо вредоносной активности столкнулся с защитой в виде виртуальной машины. Анализировать!
https://habr.com/ru/articles/781592/
#malware #vmprotect #ida #incident_response #cybersecurity #кибербезопасность #вредоносное_программное_обеспечение #информационная_безопасность #reverseengineering
-
US Federal Agencies Miss Deadline for Incident Response Requirements - https://www.redpacketsecurity.com/us-federal-agencies-miss-deadline-for-incident-response-requirements/
#threatintel #Cybersecurity_Compliance #Federal_Agencies #Incident_Response
-
US Federal Agencies Miss Deadline for Incident Response Requirements - https://www.redpacketsecurity.com/us-federal-agencies-miss-deadline-for-incident-response-requirements/
#threatintel #Cybersecurity_Compliance #Federal_Agencies #Incident_Response
-
The Confluence Confusion: CVE-2023-22518’s Digital Jaws Attack
https://thenimblenerd.com/article/the-confluence-confusion-cve-2023-22518s-digital-jaws-attack #incident_response -
The Confluence Confusion: CVE-2023-22518’s Digital Jaws Attack
https://thenimblenerd.com/article/the-confluence-confusion-cve-2023-22518s-digital-jaws-attack #incident_response -
Apple’s Buffet of Bugs: A Carnival of Vulnerabilities
https://thenimblenerd.com/article/apples-buffet-of-bugs-a-carnival-of-vulnerabilities #incident_response