home.social
Sign in Create account

#incident_response — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #incident_response, aggregated by home.social.

  1. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  2. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  3. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  4. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #dfir #форензика #malware_analysis #банковский_троян #emmenhtal #clickfix
  5. Habr @[email protected] ·

    Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

    Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

    habr.com/ru/articles/1014420/

    #phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

    #javascript #threat_intelligence #incident_response #sendgrid #webrtc #browser_fingerprinting
  6. Dissent Doe :cupofcoffee: @[email protected] ·

    So yesterday, I emailed a state court system that appears to be linked to the exposed data I mentioned recently and that the host notified on or about July 28.

    No reply was received.

    Today, I sent a contact form message to the lawyer for a juvenile whose records were sealed. Sealed, except 11 of them were exposed to anyone who can access the data. I told him what was going on and suggested he contact the court and tell them to get the data secured.

    No reply was received.

    Today, I sent an email to the judge who ordered the juvenile's records sealed and I cc:d the district attorney. I gave them the juvenile's name, case number and that I could see all the sealed records. I urged them to have their IT or vendor call me and I could give them the IP address over the phone, etc.

    No reply was received.

    Dear Russia, China, and North Korea:

    You do not need to hack our courts. They are leaking like sieves and do not respond when we try to tell them they need to secure the data.

    Yours in total frustration,

    /Dissent

    #infosec #cybersecurity #incident_response #dataleak #databreach #WAKETHEFUCKUP

    #infosec #cybersecurity #incident_response #dataleak #databreach #wakethefuckup
  7. Habr @[email protected] ·

    Защита от тёмных искусств: DLL-Hijacking

    Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!

    habr.com/ru/companies/first/ar

    #DLL #dll_hijacking #dll_search #incident_response #security

    #security #incident_response #dll_search #dll_hijacking #dll
  8. Habr @[email protected] ·

    Реагирование на инциденты ИБ в Linux-системах: база

    В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты этого процесса, команды, которые могут быть использованы для анализа, а также точки интереса, на которые стоит обращать внимание. Статья будет полезна в первую очередь начинающим администраторам Linux-систем и отделам ИБ для составления планов по реагированию.

    habr.com/ru/companies/first/ar

    #incident_response #cybersecurity #irp #реагирование_на_инциденты #linux

    #linux #реагирование_на_инциденты #irp #cybersecurity #incident_response