В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1433 membersпожаловаться на группу
2021 January 29

RI

Ruslan Ivanov in SOС Технологии
Alexey Lukatsky
Извините, но "интеллектуальное агенство" - это intellectual agency. А слово intelligency - это устаревшая форма intelligence. Так что...
Вот так црушники и палятся, да, Лёш?
источник
21:31пожаловаться#1

RI

Ruslan Ivanov in SOС Технологии
$t3v3;0)
А давайте закончим)
Сегодня пятница, немножко имеем право. Да и скучно
источник
21:31пожаловаться#2

T

Test in SOС Технологии
Alexey Lukatsky
https://speakerdeck.com/heirhabarov/hunting-for-powershell-abuse
Speaker Deck
Hunting for PowerShell Abuse
PowerShell is the favorit tool of IT guys, who are responsible for administration of Windows infrastructures. It allows them to manage differen services of the operating system and automate almost anything. But along with administrators, PowerShell also is liked by attackers and malware authors. The reason PowerShell is so attractive for adversaries is quite obvious: it has been included in essentially every Windows operating system by default for a decade, provides access to Windows API, and is rarely constrained, thus allowing adversaries to perform different tasks without risking being blocked. ttackers can use PowerShell to direct the execution of a local script, retrieve and execute remote resources using various network protocols, encode payloads passed via the command line, or load PowerShell into other processes.

Because of so prevalence of PowerShell among adversaries for Threat Hunters it is very important to be able to detect malicious uses of PowerShell and defend against it. In the presentation…
Спасибо
источник
22:16пожаловаться#3

AL

Alexey Lukatsky in SOС Технологии
Ruslan Ivanov
Вот так црушники и палятся, да, Лёш?
Я не понимаю, о чем вы говорите
источник
22:27пожаловаться#4

IB

Igor Belyakov in SOС Технологии
Sergey D.
Мое почтение, коллеги.

Нужно в logstash
1) пожизненно сохранять "ключи" в уникальный список.
2) проверять наличие "ключа" в таком списке

Знаю, как 2) сделать с помощью translate.
Подскажите, как сделать 1)?
1 - это не задача логсташа. Логсташа, при получении события может дополнительно обогатить событие, сходив за данным в другой источник.
источник
22:55пожаловаться#5
2021 January 30

S

Sergey D. in SOС Технологии
Igor Belyakov
1 - это не задача логсташа. Логсташа, при получении события может дополнительно обогатить событие, сходив за данным в другой источник.
В моей связке elk - без вариантов...
источник
00:27пожаловаться#6

A

Alexey in SOС Технологии
https://tools.qeeqbox.com/mitre-visualizer.html немного красоты
источник
13:12пожаловаться#7

tn

temiko n in SOС Технологии
Sergey D.
Мое почтение, коллеги.

Нужно в logstash
1) пожизненно сохранять "ключи" в уникальный список.
2) проверять наличие "ключа" в таком списке

Знаю, как 2) сделать с помощью translate.
Подскажите, как сделать 1)?
Если прям без вариантов всё средствами logstash и только через translate, то попробуйте сохранять словарь в файл через отдельный output в нужном формате.
источник
13:52пожаловаться#8
2021 February 02

JS

John Smith in SOС Технологии
Sergey D.
Мое почтение, коллеги.

Нужно в logstash
1) пожизненно сохранять "ключи" в уникальный список.
2) проверять наличие "ключа" в таком списке

Знаю, как 2) сделать с помощью translate.
Подскажите, как сделать 1)?
Плохая идея для лог-коллектора что-то хранить пожизненно. Что у вас с "системой" - не так.
источник
07:34пожаловаться#9
2021 February 08

m

mad3e7cat in SOС Технологии
https://www.youtube.com/watch?v=9pwMCHlNma4
YouTube
AV Evasion - Mimikatz
00:58 - Installing FireEye Commando to help keep our development environments sync'd
04:30 - Using Git to download mimikatz, openifang with Visual Studio 2017 and installing dependencies
08:50 - Verifying that we can compile mimikatz before we make any changes.
11:15 - Creating an Antivirus Exception in Defender to ignore shared drive
12:30 - Remove String: mimikatz and then rename files with mimikatz in the name
13:45 - Remove String: all metadata by editing the RC File (accidentally wipe a quote)
15:00 - Replace Icon
16:00 - Test rebuilding after these changes.
18:00 - Using "head" to split the binary in half to help identify where Defender is identifying mimikatz
19:00 - Tons of splitting.
21:20 - Found a rough location of a bad string, opening in a hex editor to identify the string.
22:30 - Appears to flag on KiwiAndRegistryTools, lets verify
24:10 - Search and replace for "mimi" (whoops, should of done kiwi here!)
25:50 - Remove String: KiwiAndRegistryTools
27:20 - Decompressing the Defender Signature File…
источник
22:54пожаловаться#10
2021 February 09

AS

Alexey Sintsov in SOС Технологии
mad3e7cat
https://www.youtube.com/watch?v=9pwMCHlNma4
YouTube
AV Evasion - Mimikatz
00:58 - Installing FireEye Commando to help keep our development environments sync'd
04:30 - Using Git to download mimikatz, openifang with Visual Studio 2017 and installing dependencies
08:50 - Verifying that we can compile mimikatz before we make any changes.
11:15 - Creating an Antivirus Exception in Defender to ignore shared drive
12:30 - Remove String: mimikatz and then rename files with mimikatz in the name
13:45 - Remove String: all metadata by editing the RC File (accidentally wipe a quote)
15:00 - Replace Icon
16:00 - Test rebuilding after these changes.
18:00 - Using "head" to split the binary in half to help identify where Defender is identifying mimikatz
19:00 - Tons of splitting.
21:20 - Found a rough location of a bad string, opening in a hex editor to identify the string.
22:30 - Appears to flag on KiwiAndRegistryTools, lets verify
24:10 - Search and replace for "mimi" (whoops, should of done kiwi here!)
25:50 - Remove String: KiwiAndRegistryTools
27:20 - Decompressing the Defender Signature File…
Чел сидел час, выковыривал стринги, что бы потом его файлик все равно детектился в статике 8)
источник
02:25пожаловаться#11

m

mad3e7cat in SOС Технологии
)))0(
источник
02:29пожаловаться#12

m

mad3e7cat in SOС Технологии
Ну тут как минимум показано, какими методами базовые детекты обходятся, для начала норм
источник
02:30пожаловаться#13

AS

Alexey Sintsov in SOС Технологии
mad3e7cat
Ну тут как минимум показано, какими методами базовые детекты обходятся, для начала норм
Это еще надо знать какие стринги вырезать) Я не сомотрел полный ролик, конечно, не мне судить
источник
14:46пожаловаться#14

AS

Alexey Sintsov in SOС Технологии
Но гораздо проще заняться "инкапсуляцией"
источник
14:46пожаловаться#15

m

mad3e7cat in SOС Технологии
Alexey Sintsov
Но гораздо проще заняться "инкапсуляцией"
А что подразумевается под инкапсуляцией?
источник
14:47пожаловаться#16

AS

Alexey Sintsov in SOС Технологии
Ну незнаю, Pupy условный
источник
14:47пожаловаться#17

AS

Alexey Sintsov in SOС Технологии
когда бинарик, всего лишь "loader" вложеного, вшитого бинаря
источник
14:48пожаловаться#18

AS

Alexey Sintsov in SOС Технологии
пакер, можно сказать
источник
14:48пожаловаться#19

m

mad3e7cat in SOС Технологии
Alexey Sintsov
Ну незнаю, Pupy условный
Хмм, интересная штука, кстати, посмотрю, как работает, спасибо
источник
14:49пожаловаться#20