TTL OSINT

От очевидности к преимуществу: Использование артефактов реагирования на инциденты для взаимодействия с Red Team

В этом сообщении в блоге обсуждается значение артефактов системы реагирования на инциденты как для защиты, так и для наступательной кибербезопасности. В нем объясняется процесс реагирования на инциденты, который включает подготовку, обнаружение и анализ, локализацию, ликвидацию и восстановление, а также действия после инцидента. На этапе обнаружения и анализа инструменты реагирования на инциденты анализируют собранные данные, чтобы понять природу и масштабы инцидента. Артефакты, которые представляют собой улики, собранные в ходе расследования, неоценимы для операторов red team, поскольку они дают представление о том, как defenders обнаруживают вредоносные действия и реагируют на них. Изучая эти артефакты, операторы red team могут усовершенствовать свои методы, сделав их более скрытными и эффективными. В статье также рассматриваются типы артефактов, такие как артефакты активности пользователя и артефакты хоста, а также то, какую информацию можно собрать и извлечь из них. Затем автор описывает процесс разработки инструмента, выбирая C# в качестве языка программирования из-за его универсальности, надежной системы типов, сборки мусора и надежной стандартной библиотеки. Инструмент можно использовать в распространенных C2-фреймворках, таких как Cobalt Strike или Brute Ratel, Sliver, Havoc и подобных, а также для выполнения в оперативной памяти, что позволяет запускать код непосредственно из памяти без записи на диск, значительно снижая вероятность обнаружения с помощью традиционных мер безопасности.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.nviso.eu/2024/08/02/from-evidence-to-advantage-leveraging-incident-response-artifacts-for-red-team-engagements/

Примеры показателей Compromise:

• 58b142287e47b5605363639f5c4abb45
• 3b248c3e8b64719d5991a762330a0b2bb58e116247da89e781ec1a53f4ed1d00
• 86c0199b6a9305621b011daaf999a4fe0f266ba9

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал