Threat Inteliigence / OSINT / NETSEC / NATSEC

OSINT pod górkę – otwarte źródła informacji i spektrum ich dostępności

Niedawno miałem okazję uczestniczyć w FIRST CTI Conference w Berlinie, gdzie mówiłem o tym, że OSINT nie zawsze jest taki otwarty jak mogłoby się wydawać. Ponieważ w prezentacji zahaczyłem metody i źródła konkretnych analityków, wolałem pozostać przy TLP Green. W tym poście chciałbym jednak przybliżyć główne tezy i problemy, które […]

Nuklearne bezpieczniki – PAL i zabezpieczenia głowic jądrowych

W poprzednim poście, w którym opisywałem moją wycieczkę do Narodowego Muzeum Kryptologii NSA wspomniałem, że temat tego jak zabezpieczone są głowice nuklearne jest dla mnie niezwykle interesujący, więc tym razem przyjrzymy się tej dziedzinie bezpieczeństwa. Trudno jest mi sobie wyobrazić sytuacje bądź środowisko, w którym niedoskonałości systemów (zarówno wywołujące fałszywie […]

Z wizytą w Narodowym Muzeum Kryptologii przy NSA

Pełna galeria zdjęć dostępna tutaj 🙂 Mimo, że moja wizyta w USA miała charakter czysto wakacyjny to jednak nie mógłbym przepuścić okazji udania się z wizytą do NSA. Niestety nie jest możliwe odwiedzenie samej agencji, jednak jako jedyna spośród organizacji tworzących Społeczność Wywiadu Stanów Zjednoczonych ma ona swoją część otwartą […]

Wyciskając cytryny IoC – metodyczna analiza infrastruktury sieciowej.

Jednym z najczęstszych problemów przed jakimi stają analitycy CTI jest wykorzystanie zgromadzonych danych do odkrycia dalszych elementów wrogiej aktywności, czyli tak zwany „pivoting„. Najprościej rzecz ujmując, pivoting polega na odkryciu innych artefaktów takich jak adresy IP czy próbki malware’u poprzez wspólne punkty styku obu elementów. W przypadku malware’u może to […]

RonanVM aktualizacja

Niedługo po założeniu counterintelligence.pl rozpocząłem również projekt RonanVM, czyli obrazu maszyny wirtualnej przystosowanego do prowadzenia OSINTowych dochodzeń. Niestety nie mam tak dużo czasu aby rozwijać projekt w tempie Kali Linuxa, jednak miałem okazje ostatnio wprowadzić kilka zmian i ulepszeń. Przechodząc do konkretów: Także zachęcam do korzystania, w mojej ocenie projekt […]

Atakujący w wąskim gardle – lateral movements i threat hunting

Threat hunting nie jest prostym zadaniem. Mnogość sposobów w jaki napastnicy mogą realizować kolejne etapy ataku sprawia, że scenariusze detekcji wydają się nieskończone. Dlatego tak ważne jest właściwe określenie priorytetów i skupienie się na etapach włamania podczas których atakujący mają mniejsze możliwości manewru. I właśnie idealną fazą ataku dla tego […]

Rejestr(ując) aktywności związane z dokumentami

Dwa ostatnie posty dotyczyły ukrywania śladów złośliwej aktywności w środowisku i próbom zmylenia analityków. Tym razem skupimy się na śladach pozwalających ustalić to czym zajmował się użytkownik bądź napastnik. Analiza powłamaniowa może mieć bowiem dwa główne cele. W przypadkach najczęściej kojarzonych z threat intelligence będziemy starali się wykryć aktywności atakujących prowadzących […]

Techniki anti-forensics – timestomping rejestru

W poprzednim poście zajmowaliśmy się jedną z popularniejszych technik anti-forensic – timestompingiem. Zmienialiśmy więc sygnatury czasowe plików tak aby zmylić analityków i sprawić aby pliki wydawały się niepowiązane ze złośliwą aktywnością. Tym razem spróbujemy timestomping przenieść na grunt kolejnego źródła dowodów – rejestru systemu Windows. Rejestr jest zdecydowanie jednym z […]

Anti-forensic – wstęp i timestomping

Jak już wspominałem na blogu, threat intelligence to w istocie threat counterintelligence – proces mający na celu powstrzymanie wrogiej infiltracji środowiska. Tym razem zajmiemy się ściśle technicznym zagadnieniem związanym z tym jak napastnicy mogą próbować (anti-forensic) ukrywać ślady swoich działań i jak wykryć takie aktywności. Punktem wyjścia dla naszych rozważań […]

Kontraktowe cyber – Iran i jego sposób prowadzenia cyber operacji

Kiedy myślimy o operacjach cyber prowadzonych na zlecenie lub pod kierownictwem rządu myślimy zazwyczaj o agencjach wywiadowczych i jednostkach wojskowych. NSA, GRU, MSS czy PLA to przykłady tego rodzaju profesjonalnych organizacji rządowych zatrudniających funkcjonariuszy w celu realizowania polityki państwa środkami cyber. Jest jednak państwo równie aktywne w tej przestrzeni, które […]

pl_PLPolish