Вчіться у Blue Teamers за допомогою колекції Blue Teaming Tips. Поради охоплюють низку тактик, інструментів і методологій, щоб стати краще.
306 
Вразливість кібербезпеки може існувати в будь-якій даній системі, мережі або наборі кінцевих точок. Управління вразливістю (Vulnerability management) – це процес, за допомогою якого ці вразливості виявляються, оцінюються, повідомляються, управляються і зрештою усуваються.
Двійкові файли Living off the land (LOLBins) — це законні виконувані файли Windows, які можуть використовуватися зловмисниками для здійснення зловмисних дій, не викликаючи підозр. Використання LOLBins дозволяє зловмисникам вливатися в звичайну активність системи та уникати виявлення, що робить їх популярним вибором для зловмисників. Проект LOLBAS — це відображений MITRE список LOLBINS з командами, інформацією про використання та виявлення для захисників.
Відвідайте https://lolbas-project.github.io/ .
Використовуйте інформацію для можливостей виявлення, щоб захистити свою інфраструктуру від використання LOLBIN.
Ось кілька посилань на проект, щоб почати:
GTFOBins (скорочення від «Get The F* Out Binaries») — це колекція двійкових файлів Unix, які можна використовувати для підвищення привілеїв, обходу обмежень або виконання довільних команд у системі. Вони можуть використовуватися зловмисниками для отримання несанкціонованого доступу до систем і здійснення зловмисних дій. Проект GTFOBins — це список двійкових файлів Unix із інформацією про команди та використання для зловмисників. Ця інформація може бути використана для реалізації виявлення Unix.
Відвідайте https://gtfobins.github.io/ .
Ось кілька посилань на проект, щоб почати:
Filesec — це список розширень файлів, які можуть використовувати зловмисники для фішингу, виконання, макросів тощо. Це чудовий ресурс, щоб зрозуміти випадки зловмисного використання типових розширень файлів і способи захисту від них. Кожна сторінка розширення файлу містить опис, відповідну операційну систему та рекомендації.
Відвідайте https://filesec.io/ .
Ось кілька посилань на проект, щоб почати:
KQL означає «Мова запитів Kusto», і це мова запитів, яка використовується для пошуку та фільтрації даних у журналах Azure Monitor. Він схожий на SQL, але більш оптимізований для аналізу журналів і даних часових рядів. Мова запитів KQL особливо корисна для синіх команд, оскільки вона дозволяє швидко та легко шукати великі обсяги даних журналу, щоб ідентифікувати події безпеки та аномалії, які можуть вказувати на загрозу. KQL Search — це веб-програма, створена @ugurkocde , яка об’єднує запити KQL, якими ділиться на GitHub.
Ви можете відвідати сайт за адресою https://www.kqlsearch.com/ . Додаткову інформацію про мову запитів Kusto (KQL) можна знайти тут .
Автори шкідливих програм витрачають багато часу та зусиль на розробку складного коду для виконання шкідливих дій проти цільової системи. Дуже важливо, щоб зловмисне програмне забезпечення залишалося непоміченим і уникало аналізу пісочниці, антивірусів або аналітиків зловмисного програмного забезпечення. Завдяки такій техніці зловмисне програмне забезпечення може пройти поза радаром і залишитися непоміченим у системі. Ціль цієї безкоштовної бази даних — централізувати інформацію про методи уникнення зловмисного програмного забезпечення. Проект має на меті надати аналітикам і захисникам зловмисного програмного забезпечення практичну інформацію та можливості виявлення, щоб скоротити час відповіді.
Проект можна знайти на сайті https://unprotect.it/ . Проект має API-документи тут .
Chainsaw надає потужну можливість «першого реагування» для швидкого виявлення загроз у криміналістичних артефактах Windows, таких як журнали подій і MFT. Chainsaw пропонує загальний і швидкий метод пошуку в журналах подій за ключовими словами та визначення загроз за допомогою вбудованої підтримки правил виявлення Sigma та спеціальних правил виявлення Chainsaw.
Oсобливості:
Пошук загроз за допомогою правил виявлення Sigma та спеціальних правил виявлення бензопили
Шукайте та витягуйте криміналістичні артефакти за допомогою зіставлення рядків і шаблонів регулярних виразів
Блискавичний, написаний на іржі, охоплює бібліотеку парсера EVTX від @OBenamram
Чисте та легке виконання та вихідні формати без зайвого роздування
Додавання тегів документа (відповідність логіки виявлення), надане бібліотекою TAU Engine Library
Вихідні результати отримують у різних форматах, наприклад у форматі таблиці ASCII, форматі CSV і форматі JSON
Може працювати на MacOS, Linux і Windows
Зловмисники намагаються обійти методи на основі підпису/зіставлення шаблонів/чорного списку, вводячи випадкові: імена файлів, імена служб, імена робочих станцій, домени, імена хостів, суб’єкти сертифікатів SSL та суб’єкти видавців тощо. Freq — це API Python, розроблений Марком Баггеттом для обробки масового тестування ентропії. Його розроблено для використання разом із рішеннями SIEM, але він може працювати з усім, що може надіслати веб-запит. Інструмент використовує частотні таблиці, які показують, наскільки ймовірно один символ слідуватиме за іншим
yarGen — це генератор правил YARA. Основним принципом є створення правил yara з рядків, знайдених у файлах зловмисного програмного забезпечення, з одночасним видаленням усіх рядків, які також з’являються у файлах хорошого програмного забезпечення.
Таким чином, yarGen включає великі рядки хорошого програмного забезпечення та базу даних кодів операцій у вигляді ZIP-архівів, які потрібно розпакувати перед першим використанням. Процес створення правила також намагається визначити подібність між файлами, які аналізуються, а потім об’єднує рядки в так звані суперправила. Генерація надправила не видаляє просте правило для файлів, об’єднаних в одне надправило. Це означає, що під час створення надправил є певна надмірність. Ви можете придушити просте правило для файлу, який уже охоплено суперправилом, використовуючи –nosimple.
Завантажте останню версію .
Приклади використання можна знайти тут .
За допомогою EmailAnalyzer ви можете аналізувати підозрілі електронні листи. Ви можете витягти заголовки, посилання та хеші з файлу .eml
VCG — це автоматизований інструмент перевірки безпеки коду, який працює з C/C++, Java, C#, VB і PL/SQL. У нього є кілька функцій, які, сподіваємось, стануть у нагоді всім, хто проводить перевірку безпеки коду, особливо там, де час обмежений:
Окрім виконання складніших перевірок, він також має конфігураційний файл для кожної мови, який, в основному, дозволяє додавати будь-які погані функції (або інший текст), які ви хочете шукати
Він намагається знайти в коментарях близько 20 фраз, які можуть вказувати на несправний код («ToDo», «FixMe», «Kludge» тощо).
Він надає гарну кругову діаграму (для всієї кодової бази та для окремих файлів), що показує відносні пропорції коду, пробілів, коментарів, коментарів у стилі «ToDo» та поганого коду
306 
289 
301 
261