Attribution & Clusterization
__________________________
What: \#research
Where: \#medium
Who: Shinigami
When: 19/08/2024
How: via channel
__________________________

Друзья, здравствуйте! 🙋‍♂️

4 дня назад попалась на глаза одна статейка с занимательным чтивом про кластеризацию и атрибуцию.

Автор практически сразу отслылает к докладу аналитика Threat Intelligence из Sophos Morgan Demboski Clustering Attacker Behavior: Connecting the Dots in the RaaS Ecosystem, представленного на конференции SANS Cyber Threat Intelligence Summit 2024 29го января. Хороший материал, из которого можно выделить следующие ключевые вещи:

1️⃣ обращаем внимание на ответы 5WH (what, where, who, when, why, how);
2️⃣ то, что есть пересечения по техникам, не значит, что это одни и те же люди (мб у них одна методичка?);
3️⃣ кластеризация != атрибуция;
4️⃣ не столь важно ответить на вопрос "Кто?", важнее подготовить защиту от векторов атак прежде, чем они будут реализованы.

И тогда же 29 января SANS выпустил свой постер, посвящённый Ransomware and Cyber Extortion (забирайте ниже)

Кстати, и она же вместе с коллегами выпустила две больших статьи (Часть 1 и Часть 2), посвящённых разбору кампании Crimson Palace, направленную на высокопоставленную правительственную организацию в регионе Юго-Восточная Азия. А потом ещё и с докладом на Black Hat 2024 подалась... В общем, литературы полно, с планами на выходные определились 🕺

Приятного чтения!

Всем хороших выходных и берегите себя 👌

Link to site 🌐

Tinyscope
__________________________
What: \#service
Where: \#telegram
Who: @ban_alex
When: 22/01/2024
How: bot/channel
__________________________

Друзья, здравствуйте! 🙋‍♂️

В этом году мои коллеги запустили сервис, помогающий мониторить фишинговые домены, которые недавно были зарегистрированы... злоумышленниками? конкурентами? 🤔Не суть важно, самое главное, чтобы вы узнали об этом и чтобы эту информацию до вас всё таки донесли.

✔️ Осталось поставить домены на мониторинг и как только там появится контент, можно смело репортить провайдеру с официального ящика компании🤓 Ну или воспользоваться сервисом Takedown от Kaspersky. Немножко рекламы, хо-хо 💋

Общую концепцию описывал ранее у себя в постах и POC в виде мобильного приложения тоже можно посмотреть здесь

После подписки появляется возможность на ежедневной основе получать удобную .csv выгрузку по фишинговым доменам, а т.к. коллеги проект развивают, можете ознакомиться с функциональностью бота (@tinyscope_bot) или заглянуть к ним на сайт со статистикой

Не подписался на канал, все фишдомены прозевал! 😞

Со средой 🍸

Утренний субботний hot fix ⚠️

На тестовых данных, которые были ранее в репозитории, неправильно формировался файл array_of_objects.json
На текущий момент скрипт отрабатывает корректно. Спасибо подписчику за подсказку ?

Пишем красивые SIGMA-правила (II of II)
__________________________
What: \#sigma
Where: \#vscode
Who: Qwerty Bubble
When: 01/06/2024
How: Python
__________________________

Итак, SIGMA.

В прошлом посте вспомнили, что это такое и как писать так, чтобы было быстро и красиво. В этом посте тоже начнём с полезных материалов по теме:
1️⃣ Вступление от ребят, которые делали крутую песочницу, а теперь предлагают полностью автоматизировать Tier 1 SOC;
2️⃣ Описание по источникам событий от Nextrone Systems;
3️⃣ Подробный разбор темы от коллег из PT
Часть 1, Часть 2, Часть 3;
4️⃣ Статья от VT по преобразованию SIGMA-логики в YARA-правила;
5️⃣ Также приложу архив c курсом по написанию SIGMA правил (пароль sigma).

Вооружившись всеми знаниями и написав целый ворох различных правил, давайте теперь отшлифуем весь массив того, что получилось ?‍?

Написанный скрипт решает две основные задачи:

➖ проверяет синтаксис на соответствие схемы языка YAML (за основу был взят код из этого репозитория);
➖ валидирует наличие и содержимое необходимых атрибутов в правиле;

Красивых вам правил!

Всем хороших выходных и берегите себя ?

Link to site ?

QB_channel's website
__________________________
What: \#platform
Where: \#site Who: Qwerty Bubble
When: 17/04/2024 How: via github
__________________________

Решил запустить сайт на гитхабе, чтобы было легче ориентироваться в постах. Ну и шаблон понравился. Пушу напрямую в мастер ветку с минимумом описания к коммитам без предварительной проверки на локальном инстансе ?

Со средой ?

Maltiverse__________________________
What: \#platform
Where: \#site Who: Maltiverse
When: 01/10/2017 How: cloud/on\-prem
__________________________

Хочу сегодня вас познакомить с Threat Intelligence Platform ~~курильщика~~ испанского вендора Maltiverse.

Что вендор может предложить помимо текстового описания 12 профилей группировок (без каких либо TTPs и отчётов)?
✅ поисковую строку, где можно искать IOC
✅ статистику по поступившим IOC
✅ источники, с которых собираются IOC
✅ список фидов с IOC
✅ большой список коннекторов к различным системам, чтобы доставлять IOC

Заметили? ?
Всё крутится вокруг индикаторов и никакой вам аналитики. Это в эпоху-то популяризации БЯМ!

По неведомым причинам, коллеги-основатели с большим опытом работы (15-20 лет в индустрии) за 7 лет существования проекта смогли достичь только обработки нижнего уровня TI. Взять ту же Anomali, которая за то же время достигла впечатляющих успехов и которую можно полностью кастомизировать под свои процессы и требования. Да, всё дело может быть в ресурсах и инвесторах, которых у Anomali в несколько раз больше, чем у Maltiverse. Хорошо, возьмём socradar, который хоть и младше, но озаботился тем, чтобы предоставлять сносную аналитику своим клиентам. Я ранее писал про TIP и как позиционируют этот класс решений мировые вендоры. С позиционированием Maltiverse сегодня тоже ознакомились. В общем, сегодняшним героям остаётся только ~~пожалеть~~ пожелать дальнейшего развития и успехов в этом нелёгком деле.

Напоследок оцените возможности платформы по анализу сырых логов под крутой dubstep ?

Со средой ?

CTI Blueprints
__________________________
What: \#templates
Where: \#github
Who: MITRE ENGENUITY
When: 12/06/2023
How: local installation
__________________________
Очередной пост про Threat Intelligence ?

Гении из MITRE летом прошлого года опубликовали первую версию Cyber Threat Intelligence Blueprints. Этот проект направлен на улучшение процесса обмена данными о киберугрозах. За неимением чётких правил и руководств, каждая команда TI придумывает свои шаблоны отчётов и использует свой набор данных, а CTI Blueprints — это попытка стандартизировать этап Dissemination в процессе TI по заранее заготовленым макетам.

Более того, т.к. у разных заказчиков разные потребности, авторы предлагают на выбор 4 шаблона:
?отчет об акторах - периодически пополняющийся профиль злоумышленника;
?отчет об анализе вторжений - предоставление дополнительного контеста в рамках взаимодействия по процессам IR и TH;
?отчет о кампании - краткая сводка по вредоносной активности;
?отчёт для c-lvl - данные для лиц, принимающих решения (нетехническая аудитория).

В рамках CTI Blueprints используется две утилиты: Authoring Tool и Publishing Tool.

Этапы следующие:
1️⃣ создаем .json из Authoring Tool;
2️⃣ подаём на вход в Publishing Tool;
3️⃣ делимся .pdf или .docx с непосредственными заказчиками в рамках этапа Disseminate.

Обратите ещё внимание на плагин Attack Flow, с помощью которого можно моделировать вектор атаки

Хороших выходных и берегите себя ?

OpenCTI ( Part II of IV )
__________________________
What: \#platform
Where: \#github
Who: Filigran
When: 28/06/2019
How: via docker
__________________________
В прошлую среду мы определились с целями внедрения TIP платформы, прочитали описания этого класса решений у различных мировых вендоров, а также краткое описание самой платформы OpenCTI. Сейчас давайте наполним нашу платформу данными Threat Intelligence, т.к. изначально это просто пустая коробка без каких-либо разведданных ?

Для приготовления TIP нам понадобится:
1️⃣ аккаунт на feedly. Бежим регистрироваться, если ещё не.
2️⃣ .opml файлик с новостными сайтами (можно найти в посте "Посмотреть, что в мире происходит ?")
3️⃣ запущенный стенд OpenCTI

После регистрации на Feedly и ввода всех необходимых данных вам будет доступен режим Enterprise для вашего аккаунта. Пробный период выдаётся на 7 суток и активируется автоматически. Помимо того, что Enterprise стоит $28,800 ? в год, чем же он ещё примечателен? А тем, что помимо остальных плюшек, связанных с AI, интеграциями, увеличенным запасом сайтов в мониторинге, он единственный (❗️) из предлагаемых подписок предоставляет доступ к API. Что, с моей стороны, вопиюще несправедливо ?
Но продактам, уверен, норм.

После авторизации на сайте не забудьте загрузить .opml файлик (нажимаем на шестерёнку, как на скриншоте ниже, и выбираем Import opml)

Собсно, всю инструкцию по настройке переводить не буду, доступно изложено здесь. Прокомментирую, что все токены: Feedly API, API токен нашей папки с новостями, токен созданного коннектора из OpenCTI — все они будут нужны для того, чтобы правильно настроить интеграцию.
Открываем файл docker-compose.yml, дописываем в конец данные для нашего коннектора. Здесь надо не забыть указать FEEDLY_STREAM_IDS это как раз наш API токен папки с новостями.

Перезапускаем OpenCTI, идём смотреть в меню Data вкладка Connectors успешно ли всё запустилось (а запуститься успешно должно). Собсно, готово! Вы восхитительны ?

Подождите немного, пока коннектор спарсит данные с Feedly и смотрите как у вас платформа наполняется следующими данными:
? карточки профилей злоумышленников;
? TTPs злоумышленников;
? индикаторы компрометации;
? карточки использованного ВПО;
? строится граф связей между сущностями;
? конечно же, сами отчёты в абсолютно читабельном виде со всеми скриншотами.

Что требуется от аналитика TI в части сопровождения:
— актуализировать новостные порталы время от времени. Менять либо сам файлик .opml, либо напрямую в интерфейсе Feedly
— на еженедельной основе генерировать новый токен Feedly API (больше менять в атрибутах коннектора ничего не требуется)

Твит помните?

Со средой ?