Threat Inteliigence / OSINT / NETSEC / NATSEC

YARA rules! – o regułach YARA i ich pisaniu

We wpisie dotyczącym wyszukiwania informacji o próbkach malwareu w otwartych źródłach wspomniałem krótko o wykorzystaniu reguł YARA i opisałem podstawy korzystania z nich w kontekście HybridAnalysis. Narzędzie to jest jednak o tyle istotne i uniwersalne w pracy analityka CTI, incident respondera czy threat huntera, że zdecydowanie warto poświęcić mu osobny […]

Kiedy DoJ publikuje twoje zdjęcie – o aktach oskarżenia i cyber operacjach

Obserwując praktykę administracji USA w zakresie narzędzi politycznych stosowanych wobec podmiotów odpowiedzialnych za cyber operacje przeciwko Stanom akty oskarżenia są jednym z najbardziej widocznych elementów. W ostatnich latach widzieliśmy choćby akty oskarżenia wobec funkcjonariusz GRU, wywiadu Chin czy ostatnio funkcjonariuszy FSB. Z pozoru może się wydawać, że działania takie nie […]

Hunting – zaprzęgając CTI do pracy

Na counterintelligence.pl poświęciłem już sporo miejsca OSINTowi i threat intelligence. Nie możemy jednak zapominać, że wywiad w różnych swoich formach pełni przede wszystkim funkcję pomocniczą. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie złośliwej aktywności. I właśnie threat hunting to aktywność, która w ten czy inny sposób musi u swoich […]

Na tropie implantów – OSINTowa analiza malware’u

Długo zabierałem się do napisania postu o analizie malware’u w kontekście OSINTu i threat intelligence. Jest to jedno z najczęściej wykorzystywanych źródeł informacji i powszechny cel poszukiwań analityków, jednak jednocześnie złożone technicznie zagadnienie. Jeżeli mówimy o zaawansowanej analizie statycznej (samego pliku) i dynamicznej (obserwowania zachowania pliku po uruchomieniu) to jest […]

Spojrzenie na operacje cyber podczas pierwszych dni konfliktu w Ukrainie

W poprzednim poście starałem się przedstawić jakie rodzaje cyber operacji towarzyszą działaniom zbrojnym i jak różne typy operacji mają osiągać cele różnymi środkami. Niektórzy być może spodziewali się dużo bardziej intensywnych cyber działań w Ukrainie, ataków na sieci przemysłowe czy masowego użycia wiperów. Pomimo, że nie ma sygnałów wskazujących na […]

Krótkie spojrzenie na cyber operacje w kontekście działań zbrojnych

Ostatnie wydarzenia związane jednoznacznie wskazują na zamiary Kremla, który zdecydował się na inwazję na Ukrainę, zagrażając potencjalnie całemu terytorium państwa. W kontekście działań zbrojnych często mówi się o roli cyber operacji jak działań wspierających lub nawet zastępujących operacje kinetyczne. Szczególnie to drugie zastosowanie rozbudza wyobraźnie – media i komentatorzy wskazują […]

W labiryncie luster – atrybucja w kontekście threat intelligence

Jednym z najbardziej polaryzujących i poruszających wyobraźnie zagadnień w praktyce analizy wrogiej aktywności jest atrybucja czyli próba określenia konkretnych podmiotów, organizacji lub osób odpowiedzialnych za operację. Zainteresowanie tym „kto to zrobił” nie powinno dziwić – proces analizy cyber aktywności często przybiera dokładnie odwrotny obrót niż śledztwa w sprawie „zwykłych” przestępstw. […]

Zbierając diamentowe łańcuchy – narzędzia analizy threat intelligence

Po podróżach dookoła globu przechodzimy do rozległego świata operacji w cyberprzestrzeni – a konkretnie tego jak się je analizuje i jak pomaga to w obronie. Jedną z inspiracji dla nazwy tego bloga – counterintelligence.pl – było to, że aktywność znana jako Cyber Threat Intelligence (CTI) to w mojej ocenie działalność […]

pl_PLPolish