?SRUM Analyze

SRUM (System Resource Usage Monitor) - это компонент системы, основная цель которого - отслеживать использование ресурсов системой, таких как CPU, память, дисковое пространство и сетевой трафик.

База данных SRUM находится по следующему пути:

C:\Windows\System32\sru\SRUDB.datПрелесть в том, что из из нее можно узнать о запускаемых процессах в системе, от чьего имени они запускались, в какое время и как долго были активны, об их сетевой активности и используемых ресурсах. И все это за последние несколько дней.

Это может быть крайне полезно в тех случаях, когда логи скомпрометированной машины были потерты или требуется получить чуть больше информации о контексте выполнения вредоносных процессов.

В качестве инструмента, который может помочь получить доступ к этой информации можно использовать srum\-dump.

https://github.com/MarkBaggett/srum-dump/

#DFIR #srum

?Exploit search

Часто бывает нужным найти эксплоит под конкретную CVE или продукт. В таких случаях не стоит ограничивать себя поиском только по exploit-db.

Список баз данных, которые агрегируют в себе эксплоиты.

https://www.exploitalert.com/browse-exploit.html
https://cxsecurity.com/
https://packetstormsecurity.com/files/tags/exploit/
https://0day.today/
https://www.exploit-db.com/
https://cvexploits.io/

Репозитории, которые агрегируют PoC для различных CVE.

https://github.com/tg12/PoC_CVEs
https://github.com/nu11secur1ty/CVE-mitre
https://github.com/trickest/cve

Ресурсы, на которых можно получить информацию по конкретной CVE или уязвимостям продукта.

https://attackerkb.com/
https://cve.mitre.org/cve/
https://security.snyk.io/
https://vuldb.com/
https://www.opencve.io/

Поиск по версии продукта:

https://nvd.nist.gov/
https://www.cvedetails.com/cve/
https://vulners.com/

Telegram боты:

@pocfather_bot
@Impulse_zad1_bot

Также не стоит забывать про дорки:

CVE\-2021\-44228 site:github.com#exploit #CVE

?Haiti

Haiti - это инструмент, который поможет определить тип хэша.

Определив тип хэша, его можно отправить на перебор в соответствующий инструмент, указав режим, который любезно предоставит haiti.

Поддерживается больше 500 типов хэшей, включая современные.

https://github.com/noraj/haiti

#hash #identifier

?ApiMonitor

ApiMonitor позволяет мониторить обращения отслеживаемого приложения к различным API, указывать параметры, которые были переданы в функцию и даже декодировать их значения для удобства.

Также есть функционал установки точек останова для определенных событий, древовидная структура вызовов, просмотр и модификация памяти процесса.

Может быть использован для анализа инструментов или малвари.

http://www.rohitab.com/apimonitor

#dfir #soc #malware #forensic #reverse

?WinRAR vulnerability

https://xakep.ru/2023/08/21/winrar-cve/

#news #WinRAR #rce

XAKEP

Уязвимость в WinRAR позволяла выполнять команды при открытии архива

В WinRAR исправлена серьезная уязвимость, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.

?APT attribution

Приведу парочку инструментов, которые которые помогут помочь провести атрибуцию к определенной группировке во время работы над инцидентом или просто изучением индикаторов.

- https://apt.etda.or.th/cgi-bin/listgroups.cgi
- https://attack.mitre.org/groups/
- https://intezer.com/ost-map/
- https://pan-unit42.github.io/playbook_viewer/
- https://orkl.eu/tas
- https://malpedia.caad.fkie.fraunhofer.de/
- https://www.vx-underground.org/
- https://aptmap.netlify.app/
- https://cse.google.com/cse?cx=003248445720253387346:turlh5vi4xc
- https://docs.google.com/spreadsheets/u/0/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml

#ti #ransomware #apt #soc #attribution

?Data visualzation

Визуализируя различные форматы, можно сэкономить приличное количество времени. Ниже представлен небольшой список инструментов, которые могут с этим помочь.

1. Regular Expressions

https://regexper.com/

1. JSON, XML, YAML, CSV, TOML

https://jsoncrack.com/

1. LDAP Filters

https://piellardj.github.io/ldap-filter-analyzer/

#ldap #json #regexp #xml #yaml #csv #toml #visualization

Jsoncrack

JSON Crack | Best JSON Viewer, Formatter and Visualizer for everyone

JSON Crack Editor is a tool for visualizing into graphs, analyzing, editing, formatting, querying, transforming and validating JSON, CSV, YAML, XML, and more.

?PingCastle

Инструмент, который выполняет большое количество автоматических тестов безопасности AD.

Будет полезно для быстрой аналитики.

https://github.com/vletoux/pingcastle

Пример репорта - https://pingcastle.com/PingCastleFiles/ad_hc_test.mysmartlogon.com.html

#ad #audit #infra

?TOP Technics

Свежий отчет о самых популярных техниках, которые используются в инфраструктурном похеке.

Может быть полезно, чтобы прокачать свои навыки в инфраструктурном пентесте.

#infra #ad #mitre #TTP

?Password game

Случайно наткнулся на довольно забавную игру, суть которой в том, чтобы придумать пароль, который соответствует всем требованиям.

Концепция игры довольно интересная, но в то же время и сложная. Мой рекорд - 23 уровень.

https://neal.fun/password-game/

#game #fun #password