V
Пентестеры также довольно часто не удосуживаются сменить имя своей тачки)
Size: a a a
2020 November 05
y
В сиеме смысл данного правила действительно под вопросом
определенно, все зависит от ситуации.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
V
определенно, все зависит от ситуации.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
+ они еще и ленивые, как и все люди по своей натуре)
$
определенно, все зависит от ситуации.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
я в соседнем чате видел как люди по скорости перемещения человека между VPN и регионами строили какие-то теории о том что это вредоносная активность. это норм.
но в общем случае, если предположить что все мы знаимаемся обнаружением вредоносной активности, вот такие простые (дешевые с позиции вычислений) правила, позволяющие обнаружить вредоносную активность с высокой долей достоверности, это супер полезная вещь.
злоумышленники не всегда хорошо подготовлены. они не всегда компетентны. они ошибаются. они не всегда используют только кастомные никому не известные утилиты.
поэтому такие правила это большое добро, хотя определенно они не являются наиболее ценными и приоритетными с позиции разработки и внедрения.
Я написал о том, что от ситуации.
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
HT
Я написал о том, что от ситуации.
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
А правило обнаружения имён сильно проще и дешевле - ровно поэтому в татье не предлагаются только эти правила
y
Я написал о том, что от ситуации.
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
В данном конкретном случае я поддержу Нолика и Диму - если у тебя в сети мимик или машина с именем kali - значит что-то уже не так.
А правило обнаружения имён сильно проще и дешевле ;)
Но каждый сам выбирает
мне кажется что есть недопонимание в этом моменте) детект не про обнаружение хостов с кали и мимикатз в сети
HT
мне кажется что есть недопонимание в этом моменте) детект не про обнаружение хостов с кали и мимикатз в сети
в этом событие не имя хоста, а то имя, которое проставляет тула в определённые RPC запросы
$
А правило обнаружения имён сильно проще и дешевле - ровно поэтому в татье не предлагаются только эти правила
У статьи говорящее название и вводная часть. Я поэтому ничего не спрашивал, не уточнял ;)
y
иными словами, это детект уровня утилиты на обнаружение попытки эксплуатации конкретной техники)
несколько более полезный, чем обнаружение хостов/утилит в сети
несколько более полезный, чем обнаружение хостов/утилит в сети
$
иными словами, это детект уровня утилиты на обнаружение попытки эксплуатации конкретной техники)
несколько более полезный, чем обнаружение хостов/утилит в сети
несколько более полезный, чем обнаружение хостов/утилит в сети
В точку
$
У статьи говорящее название и вводная часть. Я поэтому ничего не спрашивал, не уточнял ;)
Вот к этому)
y
Вот к этому)
🙏
DP
Всем привет. А есть ли тут кто-то, интегрировавший cuckoo sandbox с ms exchange?
АЕ
Привет, да через скрипт на питоне делал
HT
Всем привет. А есть ли тут кто-то, интегрировавший cuckoo sandbox с ms exchange?
когда-то давно интегрировал с exim
DP
Вот как раз выбираю - мутить через mx, или через сбор почты скриптом... Как-то гуглинг выдал странное на первое.
А по второму - делать сбор скриптом с одного ящика, куда теневая копия шлется? Или какой-то другой способ, не на уровне чтения почты?
А по второму - делать сбор скриптом с одного ящика, куда теневая копия шлется? Или какой-то другой способ, не на уровне чтения почты?
DP
Если есть рекомендации из практики - буду благодарен
АЕ
Вот как раз выбираю - мутить через mx, или через сбор почты скриптом... Как-то гуглинг выдал странное на первое.
А по второму - делать сбор скриптом с одного ящика, куда теневая копия шлется? Или какой-то другой способ, не на уровне чтения почты?
А по второму - делать сбор скриптом с одного ящика, куда теневая копия шлется? Или какой-то другой способ, не на уровне чтения почты?
Да через отправку копии, причём я делал пересылку на отдельно поднятый почтарь с постфиксом, в силу некоторых ограничений. А на постфиксе делается отдельный транспортный поток с аргументом в виде скрипта, ну а далее через api передаём в кукушку
DP
Александр Егоров
Да через отправку копии, причём я делал пересылку на отдельно поднятый почтарь с постфиксом, в силу некоторых ограничений. А на постфиксе делается отдельный транспортный поток с аргументом в виде скрипта, ну а далее через api передаём в кукушку
Понятно, запишу как третий вариант на рассмотрение. Я чуть другое представлял. Спасибо!
АЕ
Понятно, запишу как третий вариант на рассмотрение. Я чуть другое представлял. Спасибо!
Менее затратно я сам хотел, но не «разрешили»)