Как обещал на BIS Summit-е на ZN рассказали техническую составляющую тематики Threat Hunting-а, с позиции как это можно сделать самому, при остром нежелании (или отсутствии возможности) приобретения полноценного коммерческого сервиса.
В докладе были затронуты сначала теоретико-процессная сторона вопроса, затем подробно рассказано о собранном лабораторном стенде и, в заключении, продемонстрирован наглядный пример расследования целевой спам-рассылки с последующей эксплуатацией.
Презентация:
Все конфиги: https://github.com/votadlos/ZN2016
Традиционный раздел благодарностей хочется полностью посвятить моему коллеге по выступдению - Теймуру, подготовившему превосходный стенд, на котором демонстрировался презентуемый подход.
В докладе были затронуты сначала теоретико-процессная сторона вопроса, затем подробно рассказано о собранном лабораторном стенде и, в заключении, продемонстрирован наглядный пример расследования целевой спам-рассылки с последующей эксплуатацией.
Презентация:
Все конфиги: https://github.com/votadlos/ZN2016
Традиционный раздел благодарностей хочется полностью посвятить моему коллеге по выступдению - Теймуру, подготовившему превосходный стенд, на котором демонстрировался презентуемый подход.
6 comments:
Отличный доклад! А видео будет?
btw sysmon тоже умеет дергать вложения аутлука (и хэш): targetfilename.. contains.. Content.Outlook.
Спасибо.
Видео будет, по крайней мере, снимающую камеру видел.
Доклад очень понравился! В ваших конфигах, вы также ловите Process Terminate, скажите каким образом заверешения процессов могут быть использованы при расследованиях?
Привет. Process Terminate в общем то особо не нужны при расследованиях. По крайней мере в нашей практике мы их не используем. С этими событиями можно просто строить более точный timeline. Поэтому если не хочется тратить лишних вычислительных ресурсов, то можно их и не собирать, много вы не потеряете. Если же хотите использовать sysmon ещё и как упрощённое средство контроля использования рабочего времени (напримре, сколько времени у пользователя был открыт проигрыватель с фильмом), то без process terminate не обойтись.
Артём, а откуда информация, что Sysmon умеет дёргать аттачи из Outlook-а?? Я про такой функционал не знаю (
Кстати в ваших скриптах для авторанса есть ключ -m Hide Microsoft entries. В случае если будет создать задача планировщика в которой будет вредоносный powershell скрипт, тогда авторанс не выведет это :( вот пример, что можно потерять:
"Task Scheduler","\{0E0A0C47-0F7E-0A7F-7911-0A057E0D1109}",enabled,"Windows PowerShell","Microsoft Corporation","c:\windows\system32\windowspowershell\v1.0\powershell.exe","""C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe"" -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ACAAIAAkAEUAcgByAG8AcgBBAGMAdABpAG8........
Post a Comment