Threat hunting nie jest prostym zadaniem. Mnogość sposobów w jaki napastnicy mogą realizować kolejne etapy ataku sprawia, że scenariusze detekcji wydają się nieskończone. Dlatego tak ważne jest właściwe określenie priorytetów i skupienie się na etapach włamania podczas których atakujący mają mniejsze możliwości manewru. I właśnie idealną fazą ataku dla tego […]
Dwa ostatnie posty dotyczyły ukrywania śladów złośliwej aktywności w środowisku i próbom zmylenia analityków. Tym razem skupimy się na śladach pozwalających ustalić to czym zajmował się użytkownik bądź napastnik. Analiza powłamaniowa może mieć bowiem dwa główne cele. W przypadkach najczęściej kojarzonych z threat intelligence będziemy starali się wykryć aktywności atakujących prowadzących […]
W poprzednim poście zajmowaliśmy się jedną z popularniejszych technik anti-forensic – timestompingiem. Zmienialiśmy więc sygnatury czasowe plików tak aby zmylić analityków i sprawić aby pliki wydawały się niepowiązane ze złośliwą aktywnością. Tym razem spróbujemy timestomping przenieść na grunt kolejnego źródła dowodów – rejestru systemu Windows. Rejestr jest zdecydowanie jednym z […]
Jak już wspominałem na blogu, threat intelligence to w istocie threat counterintelligence – proces mający na celu powstrzymanie wrogiej infiltracji środowiska. Tym razem zajmiemy się ściśle technicznym zagadnieniem związanym z tym jak napastnicy mogą próbować (anti-forensic) ukrywać ślady swoich działań i jak wykryć takie aktywności. Punktem wyjścia dla naszych rozważań […]
Polish 
English