Ну, і не Windows єдиним…

Hunting for Persistence in Linux (Part 1): Auditd, Sysmon, Osquery (and Webshells)

(https://pberba.github.io/security/2021/11/22/linux-threat-hunting-for-persistence-sysmon-auditd-webshell/)

Hunting for Persistence in Linux (Part 2): Account Creation and Manipulation

(https://pberba.github.io/security/2021/11/23/linux-threat-hunting-for-persistence-account-creation-manipulation/)

Hunting for Persistence in Linux (Part 3): Systemd, Timers, and Cron

(https://pberba.github.io/security/2022/01/30/linux-threat-hunting-for-persistence-systemd-timers-cron/)

Hunting for Persistence in Linux (Part 4): Initialization Scripts and Shell Configuration

(https://pberba.github.io/security/2022/02/06/linux-threat-hunting-for-persistence-initialization-scripts-and-shell-configuration/)

Hunting for Persistence in Linux (Part 5): Systemd Generators

(https://pberba.github.io/security/2022/02/07/linux-threat-hunting-for-persistence-systemd-generators/)

Повертаємось до роботи над помилками після кібернавчань. Цього разу робота над помилками мінімальна, бо помилок ми зробили не дуже багато.

Попередня робота над помилками тут, тут і тут.

Кольорова складова лишається незмінною:
Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.

Читати далі →

Все нове – це добре забуте старе.

Створення ключа реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt ламає Event Viewer.

Очевидно, це можуть використовувати зловмисники. Не забудьте поставити на моніторинг.

0. Перш за все – зібрати логи за допомогою hayabusa з усіх контролерів домену та робочих станцій (Важливо це зробити відразу, щоб не насмітити в логи іншими інструментами) – команда:

1. Зібрати для доменів звіт PingCastle

2. Включити PowerShell Logging

3. Включити поглиблений аудит

4. Перевірити можливість оновлення операційних систем (та оновити ОС)

Читати далі →

Оригінал статті

In the realm of Windows persistence, key findings reveal a diverse and sophisticated array of techniques used by attackers to maintain access to systems. These methods range from simple manipulations like startup folder and registry autorun entries to more complex strategies involving service modification, DLL hijacking, and exploitation of Windows Management Instrumentation (WMI) and Component Object Model (COM) interfaces. The use of such techniques highlights the dual-use nature of many Windows features, originally designed for system management and convenience but repurposed for malicious activities. This diversity in methods underscores the importance of comprehensive security measures, including regular system audits and advanced threat detection, to effectively counteract and mitigate these persistent threats.

Читати далі →