• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья SOC - страшный сон хакера или как я работал в SOC'e

Отслеживать
defaultuser0 сказал(а):
безработному блютимеру на ход ноги!
Пара вопросов: 1) А что случилось то, почему сейчас безработный? 2) Можно ли оформить в домашней сети что-то подобное, разумеется не сифоня логами наружу, а как-то самому их у себя собирать?
 
moncavex00 сказал(а):
Помню, мои друзья говорили, что синяя команда - это легко, но сегодня я открыл глаза, в ней тоже есть свои сложности, интересная статья, я приму ее к сведению.
Поверь есть оч умные ребята которые работают ибшниками (особенно в каспере,групиб, позитиве), которые просто по одному логу смогут вплодь до человека стоявщего за атакой найти. Тут как и везде есть своя степень профессионализма.
 
alex778 сказал(а):
Пара вопросов: 1) А что случилось то, почему сейчас безработный? 2) Можно ли оформить в домашней сети что-то подобное, разумеется не сифоня логами наружу, а как-то самому их у себя собирать?
Уволился т.к. заеб работать за копейки, щас активно прохожу собесы в EU/USA компании. На руке только 1 Joboffer, но мне не нравяться условия что нужно переезжать в страну и делать все эти документы + виза. Хочеться удаленочки с зпшкой 5-10k$. А в СНГ максимальная ставка которую я видел у гигачадов реверс инженеров 500к руб. Ну это совсем не серъезно, учитывая какие требование на такую позицию (5 лет+ вирусным аналитиком)
 
alex778 сказал(а):
Пара вопросов: 1) А что случилось то, почему сейчас безработный? 2) Можно ли оформить в домашней сети что-то подобное, разумеется не сифоня логами наружу, а как-то самому их у себя собирать?
Как раз пишу щась статью про то как все это чудо развернуть!!!
1705014355229.png


чутка спойлеров =)
 
WellDone сказал(а):
Охуительная история, особенно учитывая что ЕДР эластика не работает в ру и с ру айпишника даже не отстучит в панель
Там стоял Kaspersky EDR, конечно я не уточнял детальную настройку его с эластиком, но все работал нормально, кроме написанных исключений =)
 
defaultuser0 сказал(а):
но на вопросы про то что я там агент фбр или что меня прислали из условного BI.ZONE я говорил нет и все равно прошел собес.

Как-то звучит... Лучше отвечать "Да" штоле? xD
 
Пожалуйста, обратите внимание, что пользователь заблокирован
крутой чел
благодарствую за инфо написанное на досуге
успехов в бизе
 
xmpp сказал(а):
крутой чел
благодарствую за инфо написанное на досуге
успехов в бизе
Спасибо
H0unT сказал(а):
А существуют ли какие то способы понять, что соки вышли/пасут тебя во время твоей работы?
вообще явных нет, но очень легко понять (если ты добыл доступ в компанию) защищает ли их сок, просто осмотрись какие службы на хосте (агенты сием), может стоит к этому всему едр или какие то Энтерпрайз решения по защите хостов, Я писал вроде что можно понять что тебя пасут когда условно ни с чего ты начинаешь терять доступы и там ряд учеток просто не пингуються, но тут наверное уже не пасут а конкретно тебя зачищают. Если это какая то гос структура, велик шанс что будут привлекать ментов.
 
delass19 сказал(а):
могут только в поле ветра найти, через 3 сервера с прокси прокладками между ними. собственно и вопрос возник, как они когото вычислят если атакующий защитился длинной цепочкой прокси или тор + прокси
Компрометация узла тора/прокси сервера, тайминг атаки
 
Пожалуйста, обратите внимание, что пользователь заблокирован
я вижу это по картине действий кто как атакует они же давн омониторят и занют каждую картину атаки и кто образно за ними стоит
быть может он это имел ввиду а не прямо какое это ебало и какого роста
 
delass19 сказал(а):
могут только в поле ветра найти, через 3 сервера с прокси прокладками между ними. собственно и вопрос возник, как они когото вычислят если атакующий защитился длинной цепочкой прокси или тор + прокси
Ты не понимаешь, что самое ценное, что есть в СОРМе: это централизованный сбор мета-даты с тайм-стэмпами. Трафик шифрован? Хорошо. Но получи ту же самую метадату с тайм-стэмпами из другого источника - и пиши-пропало, ментовский деанон готов. Из положительных новостей: если Россию выебнут из Интерпола, у ментов будет куда меньше толка от СОРМа :) Криптаны могут чуть-чуть расслабиться, потому что то, что творилось последние годы - это был полный пиздец.
 
delass19 сказал(а):
все равно непонятно, если работа ведется с рандомными подключениями к узлам. то есть не сразу после коннекта к тор\впн идти на сервис\узел, а ждать н-ное кол-во времени
Я понимаю, о чем ты говоришь. Но мы люди, а люди делают ошибки. Несколько ошибок достаточно, чтобы идентифицировать принадлежность интересного трафика к конкретному абоненту (добавь сюда ТСПУ, а это DPI). Я сам крайне заинтересован в более детальном освещении этой темы, поэтому на данный момент отложим спор, я постараюсь поискать чего-нибудь на тему в свободную минуту и запостить отдельно (пока не обещаю, слишком много дел).

Всем сорян за флейм.
 
delass19 сказал(а):
все равно непонятно, если работа ведется с рандомными подключениями к узлам. то есть не сразу после коннекта к тор\впн идти на сервис\узел, а ждать н-ное кол-во времени
Можешь относиться к опсеку, как я:

Рано, или поздно , найдут. Вопрос времени и приложенных усилий.
Задача - продлить время
 
Ты в любом случаи коммуницируешь где либо, используя модель повидения написание текста, особенные привычки (запятые, тире, точки, восклц.знаки и тд) пишешь ты Вообщем или В ощем, учитывая что еще собираються метаданные то вопрос бутылки, это всего лишь вопрос времени, а то что 40 слоев прокси + тора, будем риалистам и признаем что больше 1/3 нод в сети тора пренадлежат анб + если реально заебешь всех то эти ребята собируться все вместе и 1 ты vs 10k+ аналитиков, боюсь шансов у тебя нема?-/
1705608849341.png
 
defaultuser0 сказал(а):
Ты в любом случаи коммуницируешь где либо, используя модель повидения написание текста, особенные привычки (запятые, тире, точки, восклц.знаки и тд) пишешь ты Вообщем или В ощем, учитывая что еще собираються метаданные то вопрос бутылки, это всего лишь вопрос времени, а то что 40 слоев прокси + тора, будем риалистам и признаем что больше 1/3 нод в сети тора пренадлежат анб + если реально заебешь всех то эти ребята собируться все вместе и 1 ты vs 10k+ аналитиков, боюсь шансов у тебя нема?-/Посмотреть вложение 73947
Суровая правда.

Захотят найти - найдут
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх