Любите Пророка, читайте салават!
https://t.me/RKadyrov_95?boost
https://t.me/boost/kadyrov_95chat
Vkontakte: https://vk.com/ramzan
Twitter: https://twitter.com/rkadyrov
Last updated 4 days, 6 hours ago
Last updated 2 months ago
Команда КРА
Председатель Правительства ЧР
Герой России
Магомед Даудов
ВК: https://vk.com/magomeddaudov
Last updated 2 weeks, 2 days ago
Attribution & Clusterization
__________________________
What:
\#research
Where:
\#medium
Who:
Shinigami
When:
19/08/2024
How:
via channel
__________________________
Друзья, здравствуйте! 🙋♂️
4 дня назад попалась на глаза одна статейка с занимательным чтивом про кластеризацию и атрибуцию.
Автор практически сразу отслылает к докладу аналитика Threat Intelligence из Sophos Morgan Demboski Clustering Attacker Behavior: Connecting the Dots in the RaaS Ecosystem, представленного на конференции SANS Cyber Threat Intelligence Summit 2024 29го января. Хороший материал, из которого можно выделить следующие ключевые вещи:
1️⃣ обращаем внимание на ответы 5WH (what, where, who, when, why, how);
2️⃣ то, что есть пересечения по техникам, не значит, что это одни и те же люди (мб у них одна методичка?);
3️⃣ кластеризация != атрибуция;
4️⃣ не столь важно ответить на вопрос "Кто?", важнее подготовить защиту от векторов атак прежде, чем они будут реализованы.
И тогда же 29 января SANS выпустил свой постер, посвящённый Ransomware and Cyber Extortion (забирайте ниже)
Кстати, и она же вместе с коллегами выпустила две больших статьи (Часть 1 и Часть 2), посвящённых разбору кампании Crimson Palace, направленную на высокопоставленную правительственную организацию в регионе Юго-Восточная Азия. А потом ещё и с докладом на Black Hat 2024 подалась... В общем, литературы полно, с планами на выходные определились 🕺
Приятного чтения!
Всем хороших выходных и берегите себя 👌
Tinyscope
__________________________
What:
\#service
Where:
\#telegram
Who:
@ban_alex
When:
22/01/2024
How:
bot/channel
__________________________
Друзья, здравствуйте! 🙋♂️
В этом году мои коллеги запустили сервис, помогающий мониторить фишинговые домены, которые недавно были зарегистрированы... злоумышленниками? конкурентами? 🤔Не суть важно, самое главное, чтобы вы узнали об этом и чтобы эту информацию до вас всё таки донесли.
✔️ Осталось поставить домены на мониторинг и как только там появится контент, можно смело репортить провайдеру с официального ящика компании🤓 Ну или воспользоваться сервисом Takedown от Kaspersky. Немножко рекламы, хо-хо 💋
Общую концепцию описывал ранее у себя в постах и POC в виде мобильного приложения тоже можно посмотреть здесь
После подписки появляется возможность на ежедневной основе получать удобную .csv
выгрузку по фишинговым доменам, а т.к. коллеги проект развивают, можете ознакомиться с функциональностью бота (@tinyscope_bot) или заглянуть к ним на сайт со статистикой
Не подписался на канал, все фишдомены прозевал! 😞
Со средой 🍸
Утренний субботний hot fix ⚠️
На тестовых данных, которые были ранее в репозитории, неправильно формировался файл array_of_objects.json
На текущий момент скрипт отрабатывает корректно. Спасибо подписчику за подсказку ?
Пишем красивые SIGMA-правила (II of II)
__________________________
What:
\#sigma
Where:
\#vscode
Who:
Qwerty Bubble
When:
01/06/2024
How:
Python
__________________________
Итак, SIGMA.
В прошлом посте вспомнили, что это такое и как писать так, чтобы было быстро и красиво. В этом посте тоже начнём с полезных материалов по теме:
1️⃣ Вступление от ребят, которые делали крутую песочницу, а теперь предлагают полностью автоматизировать Tier 1 SOC;
2️⃣ Описание по источникам событий от Nextrone Systems;
3️⃣ Подробный разбор темы от коллег из PT
Часть 1, Часть 2, Часть 3;
4️⃣ Статья от VT по преобразованию SIGMA-логики в YARA-правила;
5️⃣ Также приложу архив c курсом по написанию SIGMA правил (пароль sigma).
Вооружившись всеми знаниями и написав целый ворох различных правил, давайте теперь отшлифуем весь массив того, что получилось ??
Написанный скрипт решает две основные задачи:
➖ проверяет синтаксис на соответствие схемы языка YAML (за основу был взят код из этого репозитория);
➖ валидирует наличие и содержимое необходимых атрибутов в правиле;
Красивых вам правил!
Всем хороших выходных и берегите себя ?
QB_channel's website
__________________________
What:
\#platform
Where:
\#
site Who: Qwerty Bubble
When: 17/04/2024
How:
via github
__________________________
Решил запустить сайт на гитхабе, чтобы было легче ориентироваться в постах. Ну и шаблон понравился. Пушу напрямую в мастер ветку с минимумом описания к коммитам без предварительной проверки на локальном инстансе ?
Со средой ?
Maltiverse__________________________
What:
\#platform
Where:
\#
site Who: Maltiverse
When: 01/10/2017
How:
cloud/on\-prem
__________________________
Хочу сегодня вас познакомить с Threat Intelligence Platform ~~курильщика~~ испанского вендора Maltiverse.
Что вендор может предложить помимо текстового описания 12 профилей группировок (без каких либо TTPs и отчётов)?
✅ поисковую строку, где можно искать IOC
✅ статистику по поступившим IOC
✅ источники, с которых собираются IOC
✅ список фидов с IOC
✅ большой список коннекторов к различным системам, чтобы доставлять IOC
Заметили? ?
Всё крутится вокруг индикаторов и никакой вам аналитики. Это в эпоху-то популяризации БЯМ!
По неведомым причинам, коллеги-основатели с большим опытом работы (15-20 лет в индустрии) за 7 лет существования проекта смогли достичь только обработки нижнего уровня TI. Взять ту же Anomali, которая за то же время достигла впечатляющих успехов и которую можно полностью кастомизировать под свои процессы и требования. Да, всё дело может быть в ресурсах и инвесторах, которых у Anomali в несколько раз больше, чем у Maltiverse. Хорошо, возьмём socradar, который хоть и младше, но озаботился тем, чтобы предоставлять сносную аналитику своим клиентам. Я ранее писал про TIP и как позиционируют этот класс решений мировые вендоры. С позиционированием Maltiverse сегодня тоже ознакомились. В общем, сегодняшним героям остаётся только ~~пожалеть~~ пожелать дальнейшего развития и успехов в этом нелёгком деле.
Напоследок оцените возможности платформы по анализу сырых логов под крутой dubstep ?
Со средой ?
CTI Blueprints
__________________________
What:
\#templates
Where:
\#
github
Who:
MITRE ENGENUITY
When:
12/06/2023
How:
local installation
__________________________
Очередной пост про Threat Intelligence ?
Гении из MITRE летом прошлого года опубликовали первую версию Cyber Threat Intelligence Blueprints
. Этот проект направлен на улучшение процесса обмена данными о киберугрозах. За неимением чётких правил и руководств, каждая команда TI придумывает свои шаблоны отчётов и использует свой набор данных, а CTI Blueprints
— это попытка стандартизировать этап Dissemination в процессе TI по заранее заготовленым макетам.
Более того, т.к. у разных заказчиков разные потребности, авторы предлагают на выбор 4 шаблона:
?отчет об акторах - периодически пополняющийся профиль злоумышленника;
?отчет об анализе вторжений - предоставление дополнительного контеста в рамках взаимодействия по процессам IR и TH;
?отчет о кампании - краткая сводка по вредоносной активности;
?отчёт для c-lvl - данные для лиц, принимающих решения (нетехническая аудитория).
В рамках CTI Blueprints используется две утилиты: Authoring Tool и Publishing Tool.
Этапы следующие:
1️⃣ создаем .json из Authoring Tool;
2️⃣ подаём на вход в Publishing Tool;
3️⃣ делимся .pdf или .docx с непосредственными заказчиками в рамках этапа Disseminate.
Обратите ещё внимание на плагин Attack Flow, с помощью которого можно моделировать вектор атаки
Хороших выходных и берегите себя ?
OpenCTI ( Part II of IV )
__________________________
What: \#platform
Where:
\#github
Who:
Filigran
When:
28/06/2019
How: via docker
__________________________
В прошлую среду мы определились с целями внедрения TIP платформы, прочитали описания этого класса решений у различных мировых вендоров, а также краткое описание самой платформы OpenCTI. Сейчас давайте наполним нашу платформу данными Threat Intelligence, т.к. изначально это просто пустая коробка без каких-либо разведданных ?
Для приготовления TIP нам понадобится:
1️⃣ аккаунт на feedly. Бежим регистрироваться, если ещё не.
2️⃣ .opml
файлик с новостными сайтами (можно найти в посте "Посмотреть, что в мире происходит ?")
3️⃣ запущенный стенд OpenCTI
После регистрации на Feedly и ввода всех необходимых данных вам будет доступен режим Enterprise для вашего аккаунта. Пробный период выдаётся на 7 суток и активируется автоматически. Помимо того, что Enterprise стоит $28,800 ? в год, чем же он ещё примечателен? А тем, что помимо остальных плюшек, связанных с AI, интеграциями, увеличенным запасом сайтов в мониторинге, он единственный (❗️) из предлагаемых подписок предоставляет доступ к API. Что, с моей стороны, вопиюще несправедливо ?
Но продактам, уверен, норм.
После авторизации на сайте не забудьте загрузить .opml
файлик (нажимаем на шестерёнку, как на скриншоте ниже, и выбираем Import opml
)
Собсно, всю инструкцию по настройке переводить не буду, доступно изложено здесь. Прокомментирую, что все токены: Feedly API, API токен нашей папки с новостями, токен созданного коннектора из OpenCTI — все они будут нужны для того, чтобы правильно настроить интеграцию.
Открываем файл docker-compose.yml, дописываем в конец данные для нашего коннектора. Здесь надо не забыть указать FEEDLY_STREAM_IDS
это как раз наш API токен папки с новостями.
Перезапускаем OpenCTI, идём смотреть в меню Data
вкладка Connectors
успешно ли всё запустилось (а запуститься успешно должно). Собсно, готово! Вы восхитительны ?
Подождите немного, пока коннектор спарсит данные с Feedly и смотрите как у вас платформа наполняется следующими данными:
? карточки профилей злоумышленников;
? TTPs злоумышленников;
? индикаторы компрометации;
? карточки использованного ВПО;
? строится граф связей между сущностями;
? конечно же, сами отчёты в абсолютно читабельном виде со всеми скриншотами.
Что требуется от аналитика TI в части сопровождения:
— актуализировать новостные порталы время от времени. Менять либо сам файлик .opml
, либо напрямую в интерфейсе Feedly
— на еженедельной основе генерировать новый токен Feedly API (больше менять в атрибутах коннектора ничего не требуется)
Твит помните?
Со средой ?
Любите Пророка, читайте салават!
https://t.me/RKadyrov_95?boost
https://t.me/boost/kadyrov_95chat
Vkontakte: https://vk.com/ramzan
Twitter: https://twitter.com/rkadyrov
Last updated 4 days, 6 hours ago
Last updated 2 months ago
Команда КРА
Председатель Правительства ЧР
Герой России
Магомед Даудов
ВК: https://vk.com/magomeddaudov
Last updated 2 weeks, 2 days ago