Pełna galeria zdjęć dostępna tutaj 🙂 Mimo, że moja wizyta w USA miała charakter czysto wakacyjny to jednak nie mógłbym przepuścić okazji udania się z wizytą do NSA. Niestety nie jest możliwe odwiedzenie samej agencji, jednak jako jedyna spośród organizacji tworzących Społeczność Wywiadu Stanów Zjednoczonych ma ona swoją część otwartą […]
Jednym z najczęstszych problemów przed jakimi stają analitycy CTI jest wykorzystanie zgromadzonych danych do odkrycia dalszych elementów wrogiej aktywności, czyli tak zwany „pivoting„. Najprościej rzecz ujmując, pivoting polega na odkryciu innych artefaktów takich jak adresy IP czy próbki malware’u poprzez wspólne punkty styku obu elementów. W przypadku malware’u może to […]
Niedługo po założeniu counterintelligence.pl rozpocząłem również projekt RonanVM, czyli obrazu maszyny wirtualnej przystosowanego do prowadzenia OSINTowych dochodzeń. Niestety nie mam tak dużo czasu aby rozwijać projekt w tempie Kali Linuxa, jednak miałem okazje ostatnio wprowadzić kilka zmian i ulepszeń. Przechodząc do konkretów: Także zachęcam do korzystania, w mojej ocenie projekt […]
Threat hunting nie jest prostym zadaniem. Mnogość sposobów w jaki napastnicy mogą realizować kolejne etapy ataku sprawia, że scenariusze detekcji wydają się nieskończone. Dlatego tak ważne jest właściwe określenie priorytetów i skupienie się na etapach włamania podczas których atakujący mają mniejsze możliwości manewru. I właśnie idealną fazą ataku dla tego […]
Dwa ostatnie posty dotyczyły ukrywania śladów złośliwej aktywności w środowisku i próbom zmylenia analityków. Tym razem skupimy się na śladach pozwalających ustalić to czym zajmował się użytkownik bądź napastnik. Analiza powłamaniowa może mieć bowiem dwa główne cele. W przypadkach najczęściej kojarzonych z threat intelligence będziemy starali się wykryć aktywności atakujących prowadzących […]
W poprzednim poście zajmowaliśmy się jedną z popularniejszych technik anti-forensic – timestompingiem. Zmienialiśmy więc sygnatury czasowe plików tak aby zmylić analityków i sprawić aby pliki wydawały się niepowiązane ze złośliwą aktywnością. Tym razem spróbujemy timestomping przenieść na grunt kolejnego źródła dowodów – rejestru systemu Windows. Rejestr jest zdecydowanie jednym z […]
Jak już wspominałem na blogu, threat intelligence to w istocie threat counterintelligence – proces mający na celu powstrzymanie wrogiej infiltracji środowiska. Tym razem zajmiemy się ściśle technicznym zagadnieniem związanym z tym jak napastnicy mogą próbować (anti-forensic) ukrywać ślady swoich działań i jak wykryć takie aktywności. Punktem wyjścia dla naszych rozważań […]
Kiedy myślimy o operacjach cyber prowadzonych na zlecenie lub pod kierownictwem rządu myślimy zazwyczaj o agencjach wywiadowczych i jednostkach wojskowych. NSA, GRU, MSS czy PLA to przykłady tego rodzaju profesjonalnych organizacji rządowych zatrudniających funkcjonariuszy w celu realizowania polityki państwa środkami cyber. Jest jednak państwo równie aktywne w tej przestrzeni, które […]
Counterintelligence.pl ma przyjemność zaprosić na wyjątkowe wydarzenie jakim jest konferencja Oh My H@ck która odbędzie się już 3 grudnia w Warszawie! Cybercrime, reverse engineering, cyber threat intelligence czy forensics to tylko niektóre ze ścieżek w programie stacjonarnej konferencji Oh My H@ck, której wiodącym motywem jest cyberbezpieczeństwo. Jest to świetna okazja […]
Nazwa bloga zobowiązuje więc tym razem zajmujemy się ostatnimi wydarzeniami z zakresu łapania oficerów wywiadu i zwalczania operacji, które prowadzą. Okazji ku temu dostarczył akurat amerykański Departament Sprawiedliwości, publikując akty oskarżenia dotyczące łącznie trzynastu osób oskarżonych o szpiegostwo, a także Mandiant który opublikował raport opisujące wykryte chińskie operacje wypływu. W […]
Polish 
English