Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии

https://blog.onfvp.com/post/volatility-cheatsheet/

https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet

А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)

Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам

1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT

2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS

3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC

4. TgRat под ОС Linux и как оно выглядит / Dr.Web

5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42

6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason

Отовсюду уже слышны какие-то локальные приколы из разряда «просто пережить бы уже этот пхдейс», при чем, не только от организаторов или спикеров ?
Кажется, впереди нас ждут крайне насыщенные и веселые дни)

Так что пока мы живем в таких реалиях (а вместе с этим надо еще работу работать!), не могу не поделиться свежим отчетом коллег по цеху по ландшафту угроз России и стран СНГ. К прочтению - обязательно!

Спонсор сегодняшнего #weekly - 34453 незакрытых вкладок в моем браузере

1. GPODDITY: EXPLOITING ACTIVE DIRECTORY GPOS THROUGH NTLM RELAYING. Еще раз про GPO и установленные ACL (кстати, подобные штуки лучше понимать хотя бы в общих чертах, во-первых, чтобы держать в голове как, зачем и почему мы что-то харденим, а во-вторых, в редком случае тупо не ухудшить ситуацию при реагировании на инцидент в активной фазе) / SYNACKTIV

2. HTB Keeper. Собираем мастер-пароль KeePass из дампа памяти процесса

3. Threat Hunting vs Detection Engineering

4. A Forensic Deep Dive into NetScan, Angry IP Scanner, and Advanced Port Scanner / Airbus

5. Если вы давно не видели ADS in the wild, то вот как раз свеженький пример от Cloud Werewolf / BI. ZONE

6. Не так давно кто-то из клиентов спрашивал меня, с чего вообще лучше начать в части детектирования нелегитимного использования поша. Помимо излюбленного ответа про общую базу и актуального ландшафта, дополнительно приложила пару источников: интересная статистика и кейворды - здесь, а все остальное - здесь

Я искренне уважаю руководителей тире играющих тренеров. Мне кажется, что именно такие люди способны полноценно оценить требуемые ресурсы на разного рода задачи, в том числе временные, более точечно и адекватно ставить эти самые задачи, потому что знают внутрянку процесса, и, несмотря на манагерские дела, в критичных ситуациях могут сесть и быть hands-on-keyboard вместе с тобой

Примерно по этой же причине, мне всегда казалось, что потенциально лучшие ибшники - это выходцы из ИТ, имею ввиду инфраструктурщиков. Ну, во-первых, потому что им проще вкатиться, а во-вторых, они уже много чего проделали руками и это первые кандидаты на построение реальной human-faced security (что-то без этого вашего англицкого не получается сегодня)

А еще я очень люблю технические митапы, когда можно без лишнего официоза и маркетинга собраться с такими же работягами и обсудить насущие вопросики, поделиться опытом. Тут можно много написать про силу нетворкинга/нетократии: и ведь еще год-два назад для меня это казалось чем-то сверхъестественным, так как я вообще не особо люблю ~~людей~~ выходить в люди, но до чего же это круто работает! Понравилось, как мне сказал один хороший человек: есть threat intelligence, а у вас там beer intelligence (:

К чему это я вообще? Да прост хотелось рассказать, что мне тут резко взбрендило в отпуске поехать в нск к сетевикам на конфу, а получилось как обычно много буков
это могла быть хорошая реклама, но платить придется самой(((9

История одного факапа, в продолжение одного поста

Давненько, еще работая в SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки

Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness

Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из них ~~меня разнесли~~ мне намекнули, что так это не работает, и только потом, уже после хоть какого-то опыта работы на новом месте в команде реагирования, до меня дошло...

Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)

*заметки из книги, уже почти ставшей классикой,
Intelligence-Driven Incident Response