• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 21.02.2002. NT4 & linux 30.08.2002. VB & Linux 15.09.2002. Digital camera & LInux 24.05.2003. Nauciti OSNOVNO o Apache, FTP, PHP & MySQL-u .. 06.06.2003. Linux & WinXP 19.06.2003. Mandrake 9.1 Linux & Ati Radeon 9000 PRO 11.10.2003. SYSTEMS Minhen 2003. 07.12.2003. VPN & Linux 10.04.2004. wml + cirilica = Ћиp&#x.. Navigacija Brisanje liste Aktuelne teme u ovom forumu: Minhen & Linux, sprdnja ili šta j.. Linux prebacio 4% Gde vidite nVidia-u za par godina Počelo čipovanje :) Konfiguracija wifi landing stranice za.. Ne volim kad se dimenzije proizvoda pr.. Gde vidite Intel-a za nekih 2 do 5 god.. Cloud, buducnost, prevara ili zabluda? Drugi procesor unutar intel x86 BootHole - virtually every Linux distr.. Takmičenje u hakovanju PC as a poorly debugged set of device .. Razvoj po opensource modelu slobodnih .. Apple će skenirati fotografije na iPh.. John McAfee - RIP Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 09:19 - pre 47 meseci Citat: Branimir Maksimovic: Lepo, onda nam antivirusi nisu vise potrebni? Ili je driveby malware eliminisan na Windows-u? Neces verovati, ali, skoro pa jeste. Danas, u corporate okruzenjima, koja imaju firewall na ulazu u mrezu, ti prakticno ne koristis klasican antivirus - fokus je na EDR resenjima, tipa Carbon Black, Cisco AMP i slicno. Klasicni AV vendori nude integrisana resenja, koja jos uvek sadrze signature-based AV, ali glavni adut su i njima EDR komponente - Kaspersky EDR, Sophos InterceptX w/EDR.... To su uglavnom resenja koja se danas koriste. Stavise, Carbon Black, koji je jako popularan, uopste nema signature based komponentu - pa je i dalje njegovo koriscenje PCI compliant! Takvi softveri uglavnom rade analizu ponasanja softvera, a ne klasicnu zastitu sa "definicijama", jer vecina mallware-a danas se isporucuje u powershell i slicnom obliku. Ovo, naravno obesmisljuje detekciju na osnovu potpisa (promenis dva slova, eto ga drugi hash), a detektuje se ponasanje. Ako softver krene da kriptuje, krene da radi port-scan po mrezi, ili da salje vece kolicine podataka - ili na primer da komunicira sa nekim domenom / adresom koja je na spisku poznatih mallware adresa, dize se uzbina. Ovo ne sprecava inicijalnu infekciju, ali sprecava sirenje, sprecava kriptovanje i sprecava eksfiltraciju podataka. I da, ovo se vise ne radi samo na desktopu, vec se hvataju i logovi na mrezi (na switchu hvatas saobracaj, na firewall-u sa cime komunicira spolja....). Kljucna komponenta je SIEM i, sve vise SOAR sistem, koji radi automatsku remediaciju i izolaciju zarazenih masina. Najcesci nacini zaraze su zapravo phishing - lazni sajtovi, phishing mailovi (mail je i dalje preko 50% vektor svih upada u corporate mreze), los USB. Drive-by u LAN mrezama postoji, ali najcesce tako sto vec zarazen racunar zarazi ostale, koji nisu uredno pecovani, znaci poznati exploit-i koji se ne pecuju bukvalno godinama. Rupa za wannacry je stara preko dve godine, pa jos ima nezasticenih sistema. Sustina je da nijedan od svih tih "velikih" problema nije busio kernel, nije se vrteo u ring 0, svi su radili kao userland, JER JE NEKO KLIKNUO. Nije problem tehnicka bezbednost, koliko ljudska... Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

Branimir Maksimovic Član broj: 64947 Poruke: 5534 82.117.201.26 +1064 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 09:52 - pre 47 meseci Znaci mrka kapa, i dalje treba AV.... Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 09:59 - pre 47 meseci Pa zapravo.... Ne treba AV (u smislu signature based) ali treba SVE OSTALO :) . Ako user bmaxa ima privilegije da cita i pise po disku, i ako klikne na "gole_cicke.exe" koji pusti film, a u pozadini uzme sve .docx fajlove i kriptuje ih, to nije exploit, nije bug, nije 0-day.... Ali i dalje imas sve kriptovano. Ako pri tom, mrezni server nije krpljen dve godine, to tehnicki jeste exploit, ali bajat - i onda ako zarazis njega, da li je zbilja problem exploit ili taj sto je kliknuo i onaj sto nije update-ovao? BTW, ovo ti je wannacry scenario. Nije bas gole_cicke, ali sve ostalo je skoro potpuno tacno. Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

Nedeljko Nedeljko Stefanović Član broj: 314 Poruke: 8632 *.mediaworksit.net. +2789 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 10:06 - pre 47 meseci Pa, da. AV nam i ne treba. Idu izbori, pa... Šalu na stranu, antivirusi zaista nikada nisu ni bili potrebni, već su oduvek bile potrebne sve ostale mere bezbednosti. Međutim, to nema veze sa ovim o čemu pišu Ivan Dimkovic i nkrgovic (da su exploiti stvar prošlosti jer nisu stvar prošlosti, već postoje i danas), već sa tim da antivirusi nikada nisu ni mogli da imaju efekta, ali druge zaštitne mere jesu. Nije bitno koji su zaključci izvučeni, već kako se do njih došlo. Odgovor na temu

bachi Vladimir Vučićević System administrator Beograd, Srbija Član broj: 17912 Poruke: 5318 Sajt: www.bachi.in.rs +2827 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 11:57 - pre 47 meseci Antivurusi su odvjeć potrebni, samo što se sad pod antivirusom ne podrazumeva samo baza potpisa, već i ono što je Nikola lepo objasnio. U jednoj firmi se koristi Kaspersky endpoint cloud protection i 9 od 10 detekcija je upravo na osnovu ispitivanja ponašanja programa, cloud baze, a tek svaki deseti na osnovu potpisa. ... Vladimir Vučićević aka. Bachi ~~~ www.bachi.in.rs <<<<>>>> [email protected] >>> It's nice to be important, but it's more important to be nice... Odgovor na temu

Nedeljko Nedeljko Stefanović Član broj: 314 Poruke: 8632 *.mediaworksit.net. +2789 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 12:14 - pre 47 meseci Citat: nkrgovic: Takvi softveri uglavnom rade analizu ponasanja softvera, a ne klasicnu zastitu sa "definicijama", jer vecina mallware-a danas se isporucuje u powershell i slicnom obliku. Ovo, naravno obesmisljuje detekciju na osnovu potpisa (promenis dva slova, eto ga drugi hash), a detektuje se ponasanje. Ako softver krene da kriptuje, krene da radi port-scan po mrezi, ili da salje vece kolicine podataka - ili na primer da komunicira sa nekim domenom / adresom koja je na spisku poznatih mallware adresa, dize se uzbina. Ovo ne sprecava inicijalnu infekciju, ali sprecava sirenje, sprecava kriptovanje i sprecava eksfiltraciju podataka. I da, ovo se vise ne radi samo na desktopu, vec se hvataju i logovi na mrezi (na switchu hvatas saobracaj, na firewall-u sa cime komunicira spolja....). Kljucna komponenta je SIEM i, sve vise SOAR sistem, koji radi automatsku remediaciju i izolaciju zarazenih masina. Takvi softveri odsecaju deo funkcionalnosti Windows-a. Rezultat je da određeni specijalizovani programi (kao Process Hacker) ne rade kada su takvi softveri uključeni. Te "analize" se mogu ugraditi u Windows, pa ih Microsoft ne ugrađuje, jer i ti specijalizovani programi treba da rade. Detekcija na osnovu potpisa (u stvari patterna) se vrši tako što definiciju ne čini hash celog programa, već njegovog određenog dela. Za svaki malware se pronađe uzorak karakterističan za njega, koji se traži u celom programu. Oba nivoa detekcije padaju tako što malware prave "profesionalci", koji ih testiraju na svim antivirusima sa najnovijim ažuriranjima pre nego što ih puste u promet. Rezultat je da "detekcija na osnovu ponašanja" ako ne radi danas (a testirano je da ne radi pre puštanja malware-a u promet), neće raditi ni ubuduće jer se algoritmi detekcije na osnovu ponašanja ne menjaju mnogo u razumnom periodu. Malware će biti detektovan tek (i ako) bude os strane proizvođača antivirusa primećeno istovetno maliciozno ponašanje na velikom broju računara, ispitano i napravljena definicja za njega. Onda će pomenuti "profesionalci" da povuku ažuriranja antivirusa, da primete da je detektovano, pa će da ga "debaguju", ponovo testiraju i ponovo puste u promet. Citat: nkrgovic: Najcesci nacini zaraze su zapravo phishing - lazni sajtovi, phishing mailovi (mail je i dalje preko 50% vektor svih upada u corporate mreze), los USB. Drive-by u LAN mrezama postoji, ali najcesce tako sto vec zarazen racunar zarazi ostale, koji nisu uredno pecovani, znaci poznati exploit-i koji se ne pecuju bukvalno godinama. Rupa za wannacry je stara preko dve godine, pa jos ima nezasticenih sistema. Sustina je da nijedan od svih tih "velikih" problema nije busio kernel, nije se vrteo u ring 0, svi su radili kao userland, JER JE NEKO KLIKNUO. Najčešći način zaraze je instalacija krekovanog softvera (uz koji se zavaljuje malware da bi se krekovi finansirali). Kao što reče jedan krimos iz filma "Vidimo se u čitulji", "Svakom se zna njegov deo zarade i svi rade u jednom sklopu" (autori krekova, autori malware-a, zavaljivači malware-a u krekove i "distributeri" krekovanog softvera). Nije bitno koji su zaključci izvučeni, već kako se do njih došlo. Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 15:27 - pre 47 meseci Ako ti je gledanje filmova tipa "Vidimo se u čitulji" nacin da naucis kako rade kriminalne grupe, mozda bi ti lepo trebalo da batalis tehnicke diskusije i perdjes na balkan info ili tako neki forum... Najcesci nacin zaraze nije, niti je ikad bila "instalacija krekovanog softvera" - nijedan mallware u zanjih X godina (petya, netya, wannacry...) se nije sirio tako. Svi su napadali corporate entitete, vecina korisnika koji su ciljani nisu imali ni privilegije da instaliraju softver, niti su imali potrebu da instaliraju "krekovan softver". A to da "takvi softveri odsecaju deo funkcionalnosti Windows-a" sacuvaj negde drugde. Ovde pristuni bachi je radio vise od mene sa AD-om, ali niko, ali ama bas niko, ne radi na windows-u kao AD admin. Cak i ljudi kojima je posao administracija windows-a isti koriste kao korisnici, a admin taskove izvrsavaju kao "run as". Korisnicki nalozi su ograniceni polisama na aktivnom direktorijumu, u skladu sa politikama koje su definisane od strane uprave i tako da svaki korisnik ima tacno one potrebe koje mu trebaju za rad - i generalno sto manje. Ovo je normalan nacin rada u svim corporate mrezama. Glavni problem nije "exploit" ili "bug", glavni problem je sto korisnik kao deo svog posla ima pristup podacima (dati, dokumentima, kakogod) i sto treba da radi na njima - i to je ono sto mallware napada. Kazem, nauci prvo kako radi Windows, ali legalni, licencirani Windows 10 desktop, na racunaru sa hardverskom zastitom, koji je deo domenske mreze sa bar Server 2016. Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

Nedeljko Nedeljko Stefanović Član broj: 314 Poruke: 8632 *.mediaworksit.net. +2789 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 16:37 - pre 47 meseci Glavni problem nije exploit ili bug, nego što ti sa visine pišeš gluposti bez argumenata i prelaziš na lični nivo. Film "Vidimo se u čitulji" je dokumentaran i autentičan. Takođe, koristim isključivo legalan softver, uključujući i Windows 10. Ako su tvoje teorije u suprotnosti sa filmom "Vidimo se u čitulji", onda ti teorije ne valjaju. Ako su tvoje teorije u suprotnosti da se i dan danas objavljuju sigurnosne zakrpe, onda ti teorije ne valjaju. Ako su tvoje teorije u suprotnosti sa činjenicom da Process Hacker ne radi sa uključenim antivirusom, a radi kada se antivirus isključi (da, na legalnom Windows-u 10), onda ti teorije ne valjaju. Ako su tvoje teorije u suprotnosti sa bilo kakvim empirijskim činjenicama, onda ti teorije ne valjaju. Nije bitno koji su zaključci izvučeni, već kako se do njih došlo. Odgovor na temu

Branimir Maksimovic Član broj: 64947 Poruke: 5534 109.72.51.23 +1064 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 17:35 - pre 47 meseci Citat: nkrgovic: Pa zapravo.... Ne treba AV (u smislu signature based) ali treba SVE OSTALO :) . Ako user bmaxa ima privilegije da cita i pise po disku, i ako klikne na "gole_cicke.exe" koji pusti film, a u pozadini uzme sve .docx fajlove i kriptuje ih, to nije exploit, nije bug, nije 0-day.... Ali i dalje imas sve kriptovano. Ako pri tom, mrezni server nije krpljen dve godine, to tehnicki jeste exploit, ali bajat - i onda ako zarazis njega, da li je zbilja problem exploit ili taj sto je kliknuo i onaj sto nije update-ovao? BTW, ovo ti je wannacry scenario. Nije bas gole_cicke, ali sve ostalo je skoro potpuno tacno. Znas kako, na Windows-u malware dolazi najvise na dva nacina: 1. otvoris web sajt 2. otvoris attachment. I zbog toga treba AV. Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 18:33 - pre 47 meseci Treba ti endpoint protection, ali to vise nije bas antivirus. :) Ono sto ces dobiti nije binary, vec powershell, najcesce. U njemu, najcesce, nema nicega malicioznog, on je samo preloader... Kad ga otvoris, on prvo uradi ono sto deluje da treba da radi, a onda u pozadini i ono sto zeli da radi. On je takodje pravljen sa pretpostavkom da radis na racunaru u domenskoj mrezi, kao korisnik koji ima ogranicene privilegije - stavise, to je "pozeljno" jer je mnogo manja verovatnoca da ce na phishing link/mail da klikne neko ko radi u kancu, neki desktop korisnik - a ne mrezni admin dok radi kao domain admin na DC-u. :) Ajde da probam da ti navedem primer koji sam ja prosao na nekom treningu: Postovani, saljemo vam ponudu za prebacivanje Vaseg kredita u nasu banku. Fajl.xls.ps . Ovo posaljes na mail - i nadas se da ce da klikne :) Powershell je 10KB. Ucita, sa neta, prvo, pravi, tj. downloaduje pravioi xls - pravi excel dokuement. Tako sve izgleda tom korisniku onako, legit. Dobio je xls, otvorio se excel, vidi spreadsheet... Onda ucita jos nesto, opet powershell, ili recimo makro, koji dize reverse shell. Recimo. Realno, sasvim dosta... Ovo se napravi, uz odgovarajuci framwork, za par sati.... da, bukvalno imas framework da napravis mallware. :) Imas i open source c&c servere koji nude reverse shell komponente. Problem je, ako ga pravis custom, mozes da izbegnes da sam mail ima ista detectable. Mozda bude licilo na spam, ali virus signature nece da ima. Ono sto se posle skine, taj reverse shell payload, isto mozes da izmenis da ne pogodi nijedan engine. Dalje si slobodan da radis sta hoces. Sustina je: ti si u pravu, neko klikne na nesto. Ali, to sto dobije nije klasican virus. Takodje, ne treba mu bug, ne resava se sigurnosnim zakrpama, zapravo sve vreme radi pod standardnim privilegijama, a i dalje pravi stetu - i to veliku. Zato bachi prica ovo sto prica, moramo da ih "hvatamo" po ponasanju. Nekad ih uhvatimo kad pipnu racunar na kome se vrte, nekad kad krenu da traze mete po mrezi, nekad kad krenu da pricaju sa c&c serverom, a realno taj racunar ne treba da prica sa takvim serverima. Zato imamo i zastitu na racunaru i na perimetru i na core-u mreze gde skidamo sadrzaj unutar mreze - stavise, ovo poslednje je relavitno novo, a jako bitno, jer hvata taj "lateral movement" koji ne vidimo na perimetru. wannacry na primer, bukvalno uzme credentials koje ima na racunaru i proba sa njima da se pokrene na svemu sto uhvati u mrezi, uradi prost network scan i proba da sve sto vidi "napadne". Imas merlin, awesome RAT, puppy RAT, svi su dostupni na githubu i svi imaju "komandu" da kazes zarazenom racunaru "uradi scan i vidi sta sve ima". Naravno, ima i komandu "skini memecatz" ako hoces da vidis da nije ostao na primer neki bolji kerberos ticket na masini... ;) Ako se mrezni admin logovao u skorije vreme (nesto je run-ovano kao domain admin) mozes da pokupis i KRB TGT iz ram-a... :) Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

Nedeljko Nedeljko Stefanović Član broj: 314 Poruke: 8632 *.dynamic.isp.telekom.rs. +2789 Profil Re: Minhen & Linux, sprdnja ili šta je... 28.05.2020. u 20:05 - pre 47 meseci A "ponašanje" može da bude instalacija programa. Ali, programi nam trebaju. Šta ćemo onda? Pa, ništa, prilikom svake instalacije si upozoren i eto ti. Nije bitno koji su zaključci izvučeni, već kako se do njih došlo. Odgovor na temu

Branimir Maksimovic Član broj: 64947 Poruke: 5534 109.72.51.23 +1064 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 04:18 - pre 47 meseci Citat: nkrgovic: Treba ti endpoint protection, ali to vise nije bas antivirus. :) Ono sto ces dobiti nije binary, vec powershell, najcesce. U njemu, najcesce, nema nicega malicioznog, on je samo preloader... Kad ga otvoris, on prvo uradi ono sto deluje da treba da radi, a onda u pozadini i ono sto zeli da radi. On je takodje pravljen sa pretpostavkom da radis na racunaru u domenskoj mrezi, kao korisnik koji ima ogranicene privilegije - stavise, to je "pozeljno" jer je mnogo manja verovatnoca da ce na phishing link/mail da klikne neko ko radi u kancu, neki desktop korisnik - a ne mrezni admin dok radi kao domain admin na DC-u. :) Ajde da probam da ti navedem primer koji sam ja prosao na nekom treningu: Postovani, saljemo vam ponudu za prebacivanje Vaseg kredita u nasu banku. Fajl.xls.ps . Ovo posaljes na mail - i nadas se da ce da klikne :) Powershell je 10KB. Ucita, sa neta, prvo, pravi, tj. downloaduje pravioi xls - pravi excel dokuement. Tako sve izgleda tom korisniku onako, legit. Dobio je xls, otvorio se excel, vidi spreadsheet... Onda ucita jos nesto, opet powershell, ili recimo makro, koji dize reverse shell. Recimo. Realno, sasvim dosta... Ovo se napravi, uz odgovarajuci framwork, za par sati.... da, bukvalno imas framework da napravis mallware. :) Imas i open source c&c servere koji nude reverse shell komponente. Problem je, ako ga pravis custom, mozes da izbegnes da sam mail ima ista detectable. Mozda bude licilo na spam, ali virus signature nece da ima. Ono sto se posle skine, taj reverse shell payload, isto mozes da izmenis da ne pogodi nijedan engine. Dalje si slobodan da radis sta hoces. Sustina je: ti si u pravu, neko klikne na nesto. Ali, to sto dobije nije klasican virus. Takodje, ne treba mu bug, ne resava se sigurnosnim zakrpama, zapravo sve vreme radi pod standardnim privilegijama, a i dalje pravi stetu - i to veliku. Zato bachi prica ovo sto prica, moramo da ih "hvatamo" po ponasanju. Nekad ih uhvatimo kad pipnu racunar na kome se vrte, nekad kad krenu da traze mete po mrezi, nekad kad krenu da pricaju sa c&c serverom, a realno taj racunar ne treba da prica sa takvim serverima. Zato imamo i zastitu na racunaru i na perimetru i na core-u mreze gde skidamo sadrzaj unutar mreze - stavise, ovo poslednje je relavitno novo, a jako bitno, jer hvata taj "lateral movement" koji ne vidimo na perimetru. wannacry na primer, bukvalno uzme credentials koje ima na racunaru i proba sa njima da se pokrene na svemu sto uhvati u mrezi, uradi prost network scan i proba da sve sto vidi "napadne". Imas merlin, awesome RAT, puppy RAT, svi su dostupni na githubu i svi imaju "komandu" da kazes zarazenom racunaru "uradi scan i vidi sta sve ima". Naravno, ima i komandu "skini memecatz" ako hoces da vidis da nije ostao na primer neki bolji kerberos ticket na masini... ;) Ako se mrezni admin logovao u skorije vreme (nesto je run-ovano kao domain admin) mozes da pokupis i KRB TGT iz ram-a... :) Znas kako, Ja pricam o average joetu, i njegovom kucnom dekstop-u. U corporate mrezama predpostavljama da to ide naprednije, ali i tu se vrti AV. Mislim jedino sad da postoji neki filtar sajtova, kad vec postoji filtar za emailove :P Odgovor na temu

bachi Vladimir Vučićević System administrator Beograd, Srbija Član broj: 17912 Poruke: 5318 Sajt: www.bachi.in.rs +2827 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 07:32 - pre 47 meseci Sve jedno da li je Petar Perić ili multimilijarderska kompanija. Sam proces ponašanja zlonamernog softvera je onakav kakvim ga je Nikola opisao. Imaš ciljane napade, ali imaš i opšte. Kod opštih ransomware ne haje na čijem je računaru, gleda da ti kriptuje podatke makar bio Petar Perić (jer ćeš i ti platiti otkup ako su ti kriptovali sve slike tvoje dece od prvog dana rođenja pa do današnjeg, a nisi radio bekap), a isto tako gleda da koristi expliote ili naloge do kojih se dočepao da pristupi još nekom računaru/laptopu u kućnoj mreži. Ciljani napadi jesu daleko sofisticiraniji i mogu da traju i mesecima tiho u pozadini, a onda odjedno kao da je "preko noći" sve otišlo dođavola. Iako ne volim google, najbolja početna zaštita za kućne (mada i za korporativne) korisnike jeste gmail. :) Ne znam šta ti likovi rade, ali šta god da rade, do sada ni jedan jedini malware nije prošao, a to jeste najčešći vid opšteg napada. Pokraj toga ko ima love uzeće neki edge firewall koji će da vrši inpekciju paketa, prati obrazac ponašanja, a tu može dobro da dođe i pfsense u kombinaciji sa snort ili suricata paketom. Takođe na svakoj radnoj stanici treba držati podignut firewall, jer nema potrebe da Jelena ima pristup file shareu od Marije, kada u firmi postoji centralni server... Pa onda pokraj toga da postoji neki kvalitetan centralni anti virusni sistem, a šlag na torti jeste da se ne trči pod admin privilegijama, posebno ne kao domenski admin. A ovo je isto zanimljiv: kerberos golden ticket. :) https://attack.stealthbits.com/how-golden-ticket-attack-works/ ... Vladimir Vučićević aka. Bachi ~~~ www.bachi.in.rs <<<<>>>> [email protected] >>> It's nice to be important, but it's more important to be nice... Odgovor na temu

SlobaBgd Član broj: 70350 Poruke: 2348 +5071 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 10:22 - pre 47 meseci Citat: Branimir Maksimovic: ... neki filtar sajtova, kad vec postoji filtar za emailove Filtar? FILTAR?! Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 10:35 - pre 47 meseci @Bane: Gledaj, imas OpenDNS, to je filter. Imas Windows Defender, nesto posebo bolje nema za dzabe. I imas cloud. Taj Average Joe moze jedino da sve svoje stavi u cloud, kao neku vrstu zastite.... Na zalost, taj Average Joe nema mnogo toga sto moze da uradi. Sistemi su sada mnogo bolji nego pre, u smislu da je mnogo teze da mu mallware sjebe racunar - ali ce mu sjebati podatke. Za to mu ne treba explout, Joe vec ima pristup (svojim) podacima (duh!) - samo treba da Joe pokrene ono sto ne treba. Glavna razlika je prelazak na nove tehnologije i frameworke pisanja mallware-a, koji cini signature based detekciju prakticno nemogucom. Joe doduse ima malo manje sanse da bude ciljano napadnut, ali osim spear phishing ima i klasicnih spam/phishing napada, gde se salje svima, pa sta uleti. Veliki email provajderi isto pomazu, u smislu da nude neku zastitu. @Bachi: Lepo ja napisah, ako imas KRB TGT prosto milina. Baci pogled na mimikatz, meni je to najbolji alat za rad na windows-u ;) Ovo sto si nabrojao je super, problem je sto ti taj sistem lose vidi (ne vidi) lateral movement. Jednom kad nesto prodje (zaboravi na "Ako" - pricamo "kad") firewall ne vidi komunikaciju na switchu. Resenja su : - SPAN port na core switch-u u npr. Zeek, pa da pratis tu da li se nesto desava - NetFlow ili nesto slicno na desktopima - ili bar centralizovani izvestaji iz tog antivirusa, pa OBAVEZNO to u neki SIEM da vidis tamo sta se desava, tj. da imas neki pattern detection. Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

Nedeljko Nedeljko Stefanović Član broj: 314 Poruke: 8632 *.mediaworksit.net. +2789 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 11:32 - pre 47 meseci Svaki malware ima sledeće ponašanje: to je neki program koji se izvršava. Kako se Microsoft jednostavno nije "setio" da iz Windows-a izbaci mogućnost pokretanja bilo kakvih programa i nijedan malware ne bi mogao ništa da uradi? Ah, da, onda bi Windows bio neuporebljiv jer su programi potrebni. Onda admini krenu da vrište: "Dobro, ali ponašanje malware-a se može opisati kao nešto dosta uže od ovoga." i daju nekakav dosta opis ponašanja u koji se malware uklapa. Zašto se Microsoft ne seti da ubaci u Windows algoritme prepoznavanja takvih ponašanja. Ah, da, u taj opis ponašanja se uklapaju i neki specijalizovani korisni programi. Već sam naveo primer programa Process Hacker, koji je alat za programere, koji ne radi kada su uključeni antivirusi, a radi kada nisu isključeni. I onda ovde prepametni admini pričaju o savremenim metodama i alatima za programiranje, koji "sprečavaju bagove da nema nijedan da se provuče, a posebno ne sigurnosni", za koje su samo čuli i naučili da ih instaliraju, a sa čijim korišćenjem imaju 0 sekundi iskustva. "Kako to misliš da se provuče exploit? Ti ne znaš za savremene metode i alate lova na bagove.". Naravno da za sve te metode i alate znam, ali ih za razliku od admina i koristim i imam iskustva sa njima. Čuj, statička analiza. Da, koristi se, ali koliki je njen domet? Ona ne može specifikaciju koda da uzme u obzir ninakoju način, a pritom ima vrlo kratku pamet, pa prijavljuje samo najbanalnije stvari - koristiš vrednost promenljive, kojoj prethodno nisi dodelio vrednost. Imaš switch gde nisi obradio neki slučaj. Porediš označene i neoznačene cele brojeve. Naravno da to pomaže i da treba pisati kod tako da ne bude takvih poruka, ali hej, "ne mož' bag da se provuče kroz to". A najviše volim upozorenje da poredim floating point brojeve. Koliko god da to može da uvede program u pogrešnu if else granu, poređenje realnih brojeva je kod mnogih problema fundamentalno neizbežno. I šta ćemo onda da radimo? Takođe, postoje zadaci kod kojih se ulazi u pogrešnu if else granu zbog toga, ali je ukupna greška načinjena na taj način mala. Naravno, osim compiler warrning-a se može koristiti neki dodatan alat, ali se sva statička analiza može ugraditi i u kompajler u vidu warrning-a i ako je kompajler dobar (a jeste), ne idu alati za statičku analizu mnogo dalje od toga. Nije bitno koji su zaključci izvučeni, već kako se do njih došlo. Odgovor na temu

Branimir Maksimovic Član broj: 64947 Poruke: 5534 82.117.201.26 +1064 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 12:37 - pre 47 meseci Citat: bachi: Sve jedno da li je Petar Perić ili multimilijarderska kompanija. Sam proces ponašanja zlonamernog softvera je onakav kakvim ga je Nikola opisao. Imaš ciljane napade, ali imaš i opšte. Mislim da protiv ciljanih napada nema leka. Cim covek zasedne da ti hakuje masinu, i uspece, to je sigurno. AV nam treba protiv opstih ;) To je ono sto neki sajt moze da pokusa da ti uvali, ili da te navuku da pokrenes neki program na drugi nacin. Odgovor na temu

Branimir Maksimovic Član broj: 64947 Poruke: 5534 82.117.201.26 +1064 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 12:37 - pre 47 meseci Citat: SlobaBgd: Citat: Branimir Maksimovic: ... neki filtar sajtova, kad vec postoji filtar za emailove Filtar? FILTAR?! Ne govorim filtar, ali sam video da se izraz koristi kod drugih, a nije na odmet da istrolam trola :P Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 13:13 - pre 47 meseci Citat: Branimir Maksimovic: Mislim da protiv ciljanih napada nema leka. Cim covek zasedne da ti hakuje masinu, i uspece, to je sigurno. AV nam treba protiv opstih ;) Sustina odbrane protiv ciljanih napada nije "da se odbranis" tek tako. Prvo, covek ne zasedne da hakuje masinu - jer vecina masina nije vidljiva na netu. Obicno napada usera. Prva linija odbrane je inrges : Firewall, Anti-Spam na mail serveru, Anti-Mallware na mail serveru, Reputation filter na DNS-u, Reputation na http proxy-ju. Ako mu posle svega prodje do racunara, na scenu stupa trening koji si radio. :) Onda anti-malware koji detektuje ponasanje na kompu, zatim IDS (ili IPS) na ruteru koji detektuje maliciozni saobracaj, kao i, opet, reputation filter. Zatim netflow u mrezu koji detektuje ponasanje na mrezi, anti-mallware na serverima koji detektuje ponasanje korisnika, sve u inetgraciji sa directory serverom, i naravno SIEM/SOAR sistemom. Tu je i DLP da spreci data exfiltration. Sustina je da, ako moze, primetis napad, ako ne da primetis da je racunar zarazen. Sam racunar je najmanje bitan ako je data na mrezi, treba zastiti servere na kojima je data i treba zastititi da se ne prosiri na mnogo vise racuara - jedan je lako reimage-ovati. AV treba u celom procesu, samo ti kazemo da nije AV ono sto je nekad bio, avanzovao je iz generalnog sekretara radikalne stranke, ahem, iz prostog signature detection-a u mnogo vise. Ajde razmisli sam, koliko bi tebi trebalo da, uz primere i gotov framework, preradis postojeci mallware pisan u shell-u (powershell, recimo, ali skript jezik) da se ne dektuje po hash-u ili nekom drugom signature-u? :) Sat? Dan? Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

bachi Vladimir Vučićević System administrator Beograd, Srbija Član broj: 17912 Poruke: 5318 Sajt: www.bachi.in.rs +2827 Profil Re: Minhen & Linux, sprdnja ili šta je... 29.05.2020. u 13:45 - pre 47 meseci Što se tiče restrikcija, ono što Nikola piše jeste neki najbolji mogući scenario, ali iz ugla security baje u IT timu, u realnosti se tu prave neki kompromisi, što zbog budžeta, što zbog načina poslovanja i manjka osoblja ili kvafilikovanog IT osoblja. Dakle, gleda se da se uvede neki balans između bezbednosti i komfora. ... Vladimir Vučićević aka. Bachi ~~~ www.bachi.in.rs <<<<>>>> [email protected] >>> It's nice to be important, but it's more important to be nice... Odgovor na temu