README.hta

Вечер перестает быть томным: минутка форензики вошла в чат. А вообще, если вы как-либо связаны с расследованием инцидентов, то вам не понаслышке знаком такой источник артефактов как Amcache.hve (%SystemRoot%\AppCompat\Programs\Amcache). Но знали ли вы, что

1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных

2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)

3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку

4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта

5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла AEINV_WER — AEINV_WER_{MachineId}_YYYYMMDD_HHmmss.xml, который может быть в той же директории

6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет

В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот

У меня сегодня было ну просто изумительное утро. А все почему? И нет, не потому что форум начался, а потому что было время просто посидеть и просто почитать свежие репорты. Делюсь:

1. Ну, это классика, такое мы не пропускаем / TheDFIRReport

2. TeamTNT со своими майнерами и открытыми портами докера начали использовать Sliver. Растут! / Aqua Nautilus

3. PhaseShifters, они же Sticky Werewolf, если хотите, главное, что актуально для ру. Читать можно сразу вместе с выступлением Димы на оффзоне. Отчет прям интересный: стеганография, все эти связи битбакета, скрины лендинга с продажей подписки на обфускаторы. Занимательно / PT ESC

4. Тут можно посмотреть, как LLM сама себя выдает при создании вредоносных страниц / Kaspersky

5. Ну очень плохая маскировка под локбит, изученная TrendMicro. А еще там есть AWS, который между прочим сразу заблокировал вредоносные учетные записи. Все бы провайдеры облачных услуг так делали)

6. Никогда такого не было, и вот опять. Еще один пример злонамеренного использования QEMU / Securonix

7. TaskCache от Solar 4RAYS. Про это мало кто говорит, особенно учитывая все нюансы скрытия задач в винде, а ребята подробно разложили все по полочкам, еще и плагином сдобрили. Лайк

Напряженный октябрь подходит к концу, зафиналим его очередным небольшим лирическим отступлением

Когда я, будучи начинающим спецом, только начинала думать о том, что надо бы выступать на конференциях и отправила свой первый абстракт на CFP, мне отказали. Я, конечно же, была очень рада (страшно ведь, а там еще и на английском сразу надо было, ух!!), но знаете, все равно есть вот это странное чувство возмущения в стиле "ну и чего не так-то? че это вам там не понравилось, а?!")) Мне очень тепло вспоминать сейчас, что тогда мой руководитель поддержал меня и на примерах показал, что отказывают всем, даже топовым чувакам. В общем, в любом случае дал понять, что это - абсолютно ок

К чему это я? У меня теперь достаточно большая аудитория, на которую я могу сказать то же самое :)

Вот тебя вроде уже куда-то зовут, начинаешь значит двигаться на уверенности, а потом раз, и declined)
Именно так было с SAS 2024. А мне ну очень туда хотелось: во-первых, мое сердечко покорил Флориан в экспертном жюри, а во-вторых, по какой-то неведомой причине касперовские ивенты всегда западают мне в душу, а тут еще и Индонезия! Но... мой толк не приняли)

Что в итоге? Не буду дальше расписывать, просто приложу пару картинок, а организаторам скажу БОЛЬШОЕ спасибо. Bite the bullet со всеми этими публичными штуками в свое время все же стоил того, чтобы потом приходили такие сообщения

Ребят, горжусь!!! Всем читать!

А ещеее
Сегодня вышел один из самых долгожданных репортов этого года

Пам-пам

Пропала с радаров, потому что главная цель октября - выжить хотя бы в каком-нибудь виде. Но кое-что интересное между делом все же готовлю

Кажется, в прошлом году я-таки не договорила (:

О, а у нас тут пополнение

https://lolesxi-project.github.io/LOLESXi/

Что за лев этот тигр?

Ну и раз на то пошло. Чесслово, я думала, что на оффзоне все закончится, по крайней мере, в этом году. Но хорошие люди позвали, как тут отказать :) А еще там такие милые сердечки рядом с фото, божечки

Буду вещать в следующую субботу с утреца, а после - побегу греть уши на митап (а мест уже нет, хы)

Затесалась у меня тут более менее приличная фотография с последнего спича, ну я и решила сделать целый пост. О публичных выступлениях

Лично я сама до сих пор не понимаю, как решилась встать на эту дорожку 😁

Всегда предпочитала быть в тени, а в школе вообще выходила к доске и чуть ли не ревела, настолько переживала. Поэтому то, что я начала где-то выступать - крайне неожиданный мув для меня. Просто в один день я проснулась и подумала, что может все же пора рискнуть. Площадкой для этого челленджа стал прошлогодний пхдейс (десять раз до выступления пожалела: могла бы и поскромнее выбрать для первого раза, конечно), но в итоге все прошло относительно нормально. Ну как нормально, я пересматриваю запись и прям слышу, как у меня голос дрожит ))) но уже чего теперь)

Поэтому я крайне не люблю, когда говорят, что "надо выступать!!" или засылают куда-то в добровольно принудительном порядке. Я знаю много крутых экспертов, которые просто боятся говорить на публику. Или реально не хотят. Есть те, кто решаются, но в итоге понимают, что это не их "кружка чая". А есть вообще те, кто входит в кураж и потом - только дай возможность. И делают это потрясающе!

Однозначно могу сказать, что это классная возможность потренироваться рассказывать доходчиво и грамотно для абсолютно разной аудитории, а еще - быстрый способ влиться в комьюнити

Переживаю ли я перед выходами сейчас? Все еще немного да, все мы люди, но, кажется, отчасти я уже просто устала переживать, поэтому все проходит куда легче (:

Тем не менее! Публичные выступления - точно не для всех. Мое мнение, что просто нужно самому к этому прийти и делать так, как в кайф. А отсутствие сие факта в портфолио не делает вас менее хорошим специалистом. Кстати, ровно так же, как отсутствие каких-то крутых сертификатов. Но это уже другая история