NFsec Logo

Elastyczne reguły wykrywania

03/01/2023 (4 tygodnie temu) w Bezpieczeństwo Możliwość komentowania Elastyczne reguły wykrywania została wyłączona

J

akiś czas czemu firma Elastic weszła w rozwiązania typu SIEM (ang. Security Information and Event Management oraz EDR (ang. Endpoint Detection and Response). Jako, że jej rozwiązania od dawna wywodzą się z korzeni open source – firma udostępniła otwarte repozytorium reguł wykrywania różnych ataków i technik. Reguły w tym repozytorium są uporządkowane według rozwiązania lub platformy zachowując spłaszczoną strukturę. Każdy katalog zawiera od kilku do kilkunastu plików .toml, a w nich opisane reguły detekcyjne wraz z referencjami i taktykami ATT&CK. W drugim repozytorium znajdziemy artefakty zawierające logikę ochrony wykorzystywaną do zatrzymywania zagrożeń w systemach operacyjnych Windows, macOS i Linux. Obejmuje to reguły ochrony przed złośliwym oprogramowaniem napisane w EQL (ang. Event Query Language), a także sygnatury YARA stosowane zarówno do zawartości plików, jak i pamięci. Repozytoria te stanowią bardzo dużą bazę wiedzy odnośnie procesu proaktywnej detekcji zagrożeń (ang. threat hunting), którą możemy przełożyć na reguły dedykowane we własnych rozwiązaniach. Jeśli za ich pomocą nauczymy się wykrywania nowych technik i zagrożeń to świetnie! Ale jeszcze lepiej podzielić się także własną logiką wykrywania ze światem i pomóc innym podnieść poprzeczkę we własnych systemach detekcyjnych.

Więcej informacji: Continued leadership in open and transparent security

1001 Pen Test oraz Bug Bounty Tips & Tricks #6 – Korelacja czasowa ważności certyfikatu

08/10/2022 w Pen Test Możliwość komentowania 1001 Pen Test oraz Bug Bounty Tips & Tricks #6 – Korelacja czasowa ważności certyfikatu została wyłączona

W

iele nowoczesnych serwisów internetowych stosuje automatyczne wydawanie i odnawianie certyfikatów TLS. Dla firm dostępne są usługi komercyjnych wystawców SSL. Dla wszystkich innych dostępne są bezpłatne usługi, takie jak Let’s Encrypt i ZeroSSL. Jednak bardzo często popełniany jest błąd w sposobie w jaki konfiguruje się wdrożenie darmowych wersji certyfikatów TLS. Pozwala on każdemu odkryć prawie wszystkie nazwy domen i subdomen używanych przez ten sam serwer webowy. Jak wiemy, istnieje takie coś jak Certyficate Transparency (CT), czyli internetowy standard bezpieczeństwa służący do monitorowania i audytu wystawiania certyfikatów TLS. Tworzy on system logów publicznych, które służą do rejestrowania wszystkich certyfikatów wydawanych przez publicznie zaufane urzędy certyfikacji (CA). Do przeszukiwania dzienników CT możemy używać serwisów: crt.sh, certstream, a także Censys, który również pozwala na przeszukiwanie wyników skanowania certyfikatów w internecie.
[ czytaj całość… ]

YARAify – centralny hub do skanowania i tropienia szkodliwych plików przy użyciu reguł YARA

30/06/2022 w Bezpieczeństwo Możliwość komentowania YARAify – centralny hub do skanowania i tropienia szkodliwych plików przy użyciu reguł YARA została wyłączona

G

rupa badaczy bezpieczeństwa z Abuse (projekt Instytutu Bezpieczeństwa i Inżynierii Cybernetycznej na Uniwersytecie Nauk Stosowanych w Bernie w Szwajcarii) oraz ThreatFox uruchomiła nowy hub do skanowania i polowania na złośliwe pliki. To defensywne narzędzie – nazwane YARAify zostało zaprojektowane do skanowania podejrzanych plików w oparciu o duże repozytorium reguł YARA. Według założyciela Romana Hüssy’ego, reguły YARA są potężne, ale trudne w utrzymaniu. Na przykład: reguły są rozproszone po różnych platformach, firmach i repozytoriach git prywatnych badaczy, i nie ma prostego sposobu na ich współdzielenie. Dlatego platforma umożliwia:

  • Integrację wszystkich publicznych i niepublicznych reguł YARA z Malpedii,
  • Łatwy sposób na rozpakowanie plików wykonywalnych PE (Portable Executable) za pomocą jednego kliknięcia,
  • Skanowanie wszystkich plików używając otwartych i komercyjnych sygnatur ClamAV,
  • Łatwy i uporządkowany sposób dzielenia się regułami YARA ze społecznością,
  • Konfigurowanie klasyfikacji TLP (ang. Traffic Light Protocol), aby umożliwić korzystanie z reguł YARA w celu wyszukiwania zagrożeń bez oglądania zawartości samych reguł,
  • Otrzymywać powiadomienia pocztą elektroniczną lub pushover w przypadku pasujących reguł YARA, sygnatur ClamAV, imphaszy i wielu innych,
  • Użycie API, które pozwala na wykorzystanie możliwości YARAify w sposób zautomatyzowany.

Więcej informacji: YARAify

Ściągawka z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa

16/04/2020 w Bezpieczeństwo Możliwość komentowania Ściągawka z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa została wyłączona

C

raig H. Rowland na konferencji Purplecon 2018 opowiedział o szybkiej ocenie kompromitacji systemu Linux. Jak zauważył, 90% wdrożeń opartych na publicznych chmurach obliczeniowych odbywa się na systemie operacyjnym Linux. Nawet jeśli nie mamy z nim bezpośrednio do czynienia z powodu wysokich poziomowo abstrakcji i wywołań (np. API) – prędzej czy później natchniemy się na niego, a jako przyszły administrator dobrze posiadać wiedzę o jego działaniu oraz czy jego zachowanie nie budzi jakiś zastrzeżeń. Jeśli posiadamy podejrzenie, że doszło do naruszenia jego bezpieczeństwa – nie panikujmy. Podstępując pochopnie możemy tylko pogorszyć sytuację poprzez zniszczenie krytycznej informacji z punktu widzenia analizy pozwalającej ustalić główną przyczynę włamania.
[ czytaj całość… ]

MITRE ATT&CK

06/11/2019 w Ataki Internetowe, Bezpieczeństwo, Pen Test Możliwość komentowania MITRE ATT&CK została wyłączona

M

ITRE jest organizacją typu non-profit założoną w 1958 roku, której misją jest „rozwiązywanie problemów by uczynić świat bezpieczniejszym”. Cel ten ostatnio jest osiągany poprzez nową, wyselekcjonowaną bazę wiedzy znaną jako MITRE ATT&CK (ang. Adversarial Tactics, Techniques and Common Knowledge). Baza ta jest platformą, która zawiera zbiór taktyk, technik oraz procedur stosowanych przez różnego rodzaju podmioty atakujące w świecie cyfrowym. Wykorzystanie zawartej w niej wiedzy może pomóc organizacjom w określaniu luk, czy modelowaniu zagrożeń w ich cyberobronie.
[ czytaj całość… ]