Анализ виртуальной машины на примере VMProtect. Часть 1
В этой статье мы рассмотрим, как может выглядеть работа виртуальной машины VMProtect, а также посмотрим, что можно сделать для понимания защищенного функционала (в зависимости от того, как далеко вы готовы зайти в этом не всегда благодарном деле). Ожидается, что данный материал поможет тем, кто в...
Реагирование на инциденты
Не одна система не может функционировать без сбоев. Всегда есть риск того, что в процессе работы могут возникнуть проблемы, связанные с функционированием аппаратной части, софта или действиями пользователей. Далее, в этой статье мы будем говорить об инцидентах информационной безопасности и о...
Автоматизация безопасности с разнообразием матриц MITRE
Алексей Пешик, инженер-эксперт Security Vision Михаил Пименов, аналитик Security Vision С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные,...
Что нам шепчет коинмайнер? Упрощаем анализ применения SysWhispers2
При анализе вредоносного ПО, направленного на майнинг криптовалюты, интереснее всего исследовать именно загрузчики (лоадеры или дроперы) майнеров, чем сами майнеры, так как именно в загрузчиках в первую очередь реализуются техники, направленные на обход средств защиты и противодействие обнаружению....
Еще один пример использования IDAPy в REMA
Привет, Хабр! На примере малвары, используемой группировкой Kimsuky в 2021 году, я покажу, как можно упростить себе анализ, используя IDAPy для декодирования строк при статическом анализе сэмпла (или если и не упростить, то хотя бы сделать его более изящным:)). Рассматриваемый образец доступен на...
Фильтрация событий Windows встроенными утилитами
При реагировании на инциденты бывает необходимо посмотреть логи Windows машины, и многие таскают с собой утилиты для более удобной фильтрации событий в журналах evtx. Это связано в с тем, что способы фильтрации, предложенные Microsoft, выглядят крайне не удобно. Live response — это область, которая...
XDR vs SIEM, SOAR. Перемешать, но не взбалтывать
Привет, Хабр! Меня зовут Сергей Куценко, я являюсь экспертом направления информационной безопасности в К2Тех. Рынок решений информационной безопасности динамично развивается. В последнее время все больше на слуху концепции EDR (Endpoint Detection and Response) и XDR (Extended Detection and...
Как работает наша команда реагирования на инциденты и как стать таким же Суперменом
Типичная картина: компанию накрыла кибератака, данные утекли, а руководство бегает в огне, пытаясь, если не спасти, то хотя бы не ухудшить ситуацию. Судорожно вырываются из розеток штепсели компов, а ведь это довольно рискованное мероприятие и так лучше делать не стоит. Лучше позвать команду...
Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования
30 апреля телеграм-канал DumpForums объявил о взломе наших ресурсов, выложив скриншоты конфигов с персональными данными. Последние двое суток мы работали над тем, чтобы оценить масштабы инцидента и свести ущерб от него к минимуму. Теперь мы готовы публично рассказать о первых результатах этой...
[Перевод] Перевод: Понимание разницы между SOAR, SIEM и XDR
В поисках правильного решения для поддержки, развития и расширения возможностей вашего SOC, вот что необходимо знать при оценке XDR и SOAR. Читать далее...
Рубим под корень: расследование атаки на хост с закреплением и запуском rootkit
Привет, Хабр! В предыдущей статье мы разобрали пример фишинга с использованием зловредного PDF вложения на примере задания GetPDF от CyberDefenders. Сегодня мы поговорим о руткитах (от англ. root – корневой, kit –набор, в данном контексте означает получение неограниченного доступа) – типе...
Расщепляем Malware PDF. Практический разбор фишинга на примере GetPDF от Cyberdefenders.com
Привет, Хабр! Меня зовут Антон, я ведущий инженер по ИБ в компании R-Vision, принимаю активное участие в развитии экспертизы в части расследования инцидентов и реагирования на них. А в свободное время я увлекаюсь расследованиями в направлении Digital Forensics & Incident Response (DFIR), Malware...
Все что вы хотели узнать об XDR в одном посте
Хабр, привет! На днях мне посчастливилось поучаствовать тут (обойдемся ссылкой на запись, без прямой рекламы :-)), где обсуждалась такая новая тема на рынке ИБ, как XDR. По горячим следам эфира зафиксирую основные тезисы: мои собственные мысли и факты относительно XDR и, в целом, отвечу на два...
OSCD 2020: как это было
Всем привет! На днях завершился второй спринт инициативы OSCD (Open Security Collaborative Development), объединяющей ИБ-экспертов со всего мира для решения общих проблем, распространения знаний и улучшения компьютерной безопасности в целом. В этом году мероприятие проходило второй раз, и наша...
Must have для SOC: как выбрать сценарный подход к выявлению угроз
Для запуска корпоративного SOC или ситуационного центра управления ИБ мало внедрить систему мониторинга (SIEM). Помимо этого, нужно предусмотреть кучу всего, что понадобится команде SOC в работе. Методики детектирования, правила корреляции, наработки по реагированию — всё это должно укладываться в...
Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise
Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с...
Совместные курсы Group-IB и Belkasoft: чему научим и кому приходить
Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных...