Saturday, November 19, 2016

Сам себе Threat hunter @ZN2016

Как обещал на BIS Summit-е на ZN рассказали техническую составляющую тематики Threat Hunting-а, с позиции как это можно сделать самому, при остром нежелании (или отсутствии возможности) приобретения полноценного коммерческого сервиса.
В докладе были затронуты сначала теоретико-процессная сторона вопроса, затем подробно рассказано о собранном лабораторном стенде и, в заключении, продемонстрирован наглядный пример расследования целевой спам-рассылки с последующей эксплуатацией.
Презентация:


Все конфиги: https://github.com/votadlos/ZN2016

Традиционный раздел благодарностей хочется полностью посвятить моему коллеге по выступдению - Теймуру, подготовившему превосходный стенд, на котором демонстрировался презентуемый подход.






6 comments:

Artem Ageev said...

Отличный доклад! А видео будет?

btw sysmon тоже умеет дергать вложения аутлука (и хэш): targetfilename.. contains.. Content.Outlook.

Sergey Soldatov said...

Спасибо.
Видео будет, по крайней мере, снимающую камеру видел.

bSploit said...

Доклад очень понравился! В ваших конфигах, вы также ловите Process Terminate, скажите каким образом заверешения процессов могут быть использованы при расследованиях?

Unknown said...

Привет. Process Terminate в общем то особо не нужны при расследованиях. По крайней мере в нашей практике мы их не используем. С этими событиями можно просто строить более точный timeline. Поэтому если не хочется тратить лишних вычислительных ресурсов, то можно их и не собирать, много вы не потеряете. Если же хотите использовать sysmon ещё и как упрощённое средство контроля использования рабочего времени (напримре, сколько времени у пользователя был открыт проигрыватель с фильмом), то без process terminate не обойтись.

Unknown said...

Артём, а откуда информация, что Sysmon умеет дёргать аттачи из Outlook-а?? Я про такой функционал не знаю (

bSploit said...

Кстати в ваших скриптах для авторанса есть ключ -m Hide Microsoft entries. В случае если будет создать задача планировщика в которой будет вредоносный powershell скрипт, тогда авторанс не выведет это :( вот пример, что можно потерять:
"Task Scheduler","\{0E0A0C47-0F7E-0A7F-7911-0A057E0D1109}",enabled,"Windows PowerShell","Microsoft Corporation","c:\windows\system32\windowspowershell\v1.0\powershell.exe","""C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe"" -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ACAAIAAkAEUAcgByAG8AcgBBAGMAdABpAG8........