Friday, 20 July 2018

Набор инструментов для начального расследования.

Всем привет.

Рассказывая недавно про набор инструментов для начального реагирования на вирусную атаку вспомнил одного гуру по разбору кейсов с IOC (Indicator of Compromise). Да, я его уже упоминал на страницах моего блога. Но сегодня просто хотел бы перечислить те инструменты которые Владислав использует для разбора. Думаю вам будет полезно. Чтобы понять как он их использует достаточно перечитать любой из его кейсов, которые он публикует регулярно на своем блоге.

Не ошибусь если назову главным инструментом Владислава анализатор пакетов Wireshark. Почему он? Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем. Wireshark - это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга. Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров. Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows.


Далее следуют Autoruns и Process Explorer про которые я упоминал прошлый раз.

И замыкает обойму исследователя TCPView - это маленькая бесплатная программа для мониторинга TCP/IP подключений в Windows, написанная Марком Руссиновичем, известным специалистом по безопасности, работающем сейчас в Microsoft. Она показывает в реальном времени процессы на вашем компьютере использующие TCP протокол. Программа очень удобна для отлавливания вирусов, выявления сетевой активности разных программ, да и просто для того чтобы выяснить кто куда и зачем к вам подключился. Прямо из её интерфейса можно убивать нехорошие процессы, а можно просто закрывать их подключения.


Разумеется все исследования надо проводить на замкнутом полигоне, например в VirtualBox.

Успехов.

Thursday, 19 July 2018

Альтернативы WSUS.

Всем привет.

Я уже писал про WSUS и как с ним бороться. В сети можно найти множество записей на эту тему. Вот к примеру вариант как приручали WSUS при помощи Ansible и не только.

Неплохие примеры, особенно радуют предложения по альтернативам к WSUS. И это понятно, претензии по функционалу WSUS есть у любого. Даже у меня).

Поэтому я решил проверить некоторые из них. К примеру, Patch Management от Comodo которая хоть и бесплатна, будет доступна вам только на рабочий email.

И зря ребята обошли вниманием полезную утилиту для Windows10 Windows Update MiniTool. Програмка предназначена для исправления урезанного функционала Windows Update в Windows 10.

Windows Update Minitool Настройка откуда брать обновления


Утилита Windows Update MiniTool возвращает привычный функционал установки обновлений. Утилита использует стандартную инфраструктуру Windows Update, а не списки обновлений на сторонних ресурсах.

Monday, 16 July 2018

Курсы DevOps онлайн.

Всем привет.

Не имея в своем городе достойных курсов по DevOps приходится выкручиваться онлайн. Недавно по этому поводу я вам рекомендовал книгу Эберхарда Вольфа (Eberhard Wolff) "Continuous delivery. Практика непрерывных апдейтов". Так вот, несмотря на мой предварительный скепсис книга оказалась достойная. Более того с сайта издательства "Питер" или с оригинального сайта автора можно скачать все исходники приводимых в книге кейсов. Это бомба. Бери и пробуй. А тестовые упражнения, как всегда, будут кстати.

А что же курсы? Курсы бывает разные, я приведу в пример те которые я проходил лично и бесплатно. Все они в той или иной мере касаются темы DevOps. Разумеется все курсы ведутся на английском языке.

AWS Essentials   
Docker adn Selenium   

AWS Security Fundamentals Online (Released 2016)       

Azure Fundamentals (AZURE214x)  и DevOps Testing  (DEVOPS200.5).

Также здесь рекомендую пройти Continuous Integration and Continuous Deployment (DEVOPS200.3) и Application Monitoring and Feedback Loops (DEVOPS200.7).

Introduction to DevOps (DEV212x).

Манера преподавания везде разная, где-то есть английские субтитры а где-то нет. Где-то отсутствуют лекции. Ведение собственных записей обязательно. 

Выбор за вами.

Инструменты для начального реагирования на вирусную атаку.

Всем привет.

Большинство вирусных атак проходит через этапы kill chain. При этом на каждом этапе вредоносное ПО оставляет на скомпрометированной машине следы, называемые индикаторами компрометации (IOCs). При расследовании инцидентов необходимо обнаружить такие индикаторы, определить этап атаки, которому они соответствуют, выявить уязвимости, использованные вредоносным ПО и предотвратить дальнейшее развитие атаки. Главная сложность при этом заключается в том, чтобы собрать достаточно уникальных индикаторов, которые позволят точно определить тип вредоносного ПО, используемого в каждой конкретной атаке.

В процессе обнаружения фактов (следов) сбор индикаторов компрометации является итерационным процессом, который необходимо повторить несколько раз, для того чтобы быть уверенным в полноте собранных индикаторов. Для сбора индикаторов компрометации можно воспользоваться описанными ниже инструментами.

SYSINTERNALS 
Sysinternals – это набор бесплатных программ (более 30-ти) для администрирования и мониторинга компьютеров под управлением операционных систем Windows. Пакет Sysinternals Suite включает в себя несколько десятков небольших утилит. Утилиты Sysinternals рекомендуется использовать для сбора первоначальных данных об инциденте. Скачать инструменты можно с сайта Microsoft® по ссылке https://technet.microsoft.com/en-us/sysinternals/default.aspx.

Наиболее важные утилиты, которые могут быть использованы при реагировании на инциденты, рассмотрены ниже.

PSTools – набор утилит командной строки для удаленного запуска приложений (PSExec), получения списка процессов на локальном или удаленном компьютере (PSList), принудительного завершения задач (Pskill), управления службами (PSService). Кроме того, в набор PsTools входят служебные программы для перезагрузки или выключения компьютеров, вывода содержимого журналов событий и многого другого.

Process Monitor – программа для наблюдения в реальном времени за действиями различных процессов в среде операционной системы Windows. Утилита включает в себя возможности мониторинга обращений к реестру, обращений к файловой системе и дополнительно позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода.

Process Explorer – программа для наблюдения в реальном масштабе времени за действиями различных процессов и управления ими в среде операционной системы Windows.
Process Explorer позволяет:
• получать подробную информацию о всех процессах, выполняющихся в среде Windows;
• получать доступ к функциям управления процессами из главного меню или из контекстного меню выбранного процесса;
• использовать функции принудительного завершения (Kill), приостановки (Suspend) и продолжения выполнения (Resume) процессов;
• управлять не только процессами, но и потоками (Threads), а также динамически внедряемыми в основной процесс программными модулями (DLL);
• в любой момент времени принудительно выполнять дампы памяти (Minidump или Fill Dump) с сохранением в выбранный файл.

AutoRuns – утилита для 32 и 64-разрядных ОС Microsoft Windows, которая способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонентов системы. Autoruns отображает все, что будет запущено на компьютере при старте ОС, регистрации пользователя и других событиях. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск. Утилита поддерживает возможность проверки файлов автозапуска по хешу на сервисе VirusTotal, при этом неизвестные файлы можно отправить на анализ в антивирусные лаборатории.

Saturday, 14 July 2018

Перехватываем трафик с NetEventPacketCapture.

Всем привет.

Я хочу ловить сетевой трафик для выявления одной проблемы. Чем? Как? До изобретения своего велосипеда можно вспомнить о готовых продуктах, предназначенных для перехвата сетевого трафика и последующего анализа. Вот основные программы, занимающиеся анализом трафика. Из бесплатных это TCPdump, Wireshark и MS Message Analyzer. В зависимости от имеющегося сетевого оборудования это еще могут быть встроенные средства типа Mikrotik Packet Sniffer.

Но оказалось что ловить сетевые пакеты можно просто из командной строки Powershell с использованием набора командлетов NetEventPacketCapture. Такая фишка начиная с Windows 8.1/2012R2.

Но, если вы помните, поскольку в PowerShell можно использовать инструментарий .NET, то еще до появления набора командлетов NetEventPacketCapture в сети был скрипт сниффера Get-Packet. Ознакомиться с вариантом его работы можно здесь.

А сегодня разберем пример с NetEventPacketCapture.

Представим, что на компьютере пользователь работает в терминальной сессии, подглядим за его работой при помощи PowerShell.

Для начала создадим подключение к компьютеру пользователя:

$Cim = New-CimSession -ComputerName 'WASA07'

Версия на печать

Популярное

Медиа облако