Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/22 16:10]
Delimar Danko 		racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/26 15:13] (trenutno)
Delimar Danko [Forenzička analiza Cobalt Strike alata]
Redak 1: Redak 1:
  
 ===== Forenzička analiza Cobalt Strike alata ===== ===== Forenzička analiza Cobalt Strike alata =====
 +Video - [[https://ferhr-my.sharepoint.com/:v:/g/personal/dd54160_fer_hr/EbuzcGfbzJ5NhQrE7C4SedYBRKa7Tez1Y5WRdPkNmdzsUg?e=uiUPAI&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Sharepoint]]
 ===== Sažetak ===== ===== Sažetak =====
 Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji. Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji.
Redak 65: Redak 65:
  
 == Detekcija rundll32.exe procesa == == Detekcija rundll32.exe procesa ==
-Ako nije promijenjeno, a po nekim podacima u čak 90% //beacona// nije[6], //beacon// koristi rundll32.exe za izvršavanje poslije eksploitacijskih +Ako nije promijenjeno, a po nekim podacima u čak 90% //beacona// nije[6], //beacon// koristi rundll32.exe za izvršavanje poslije eksploitacijskih aktivnosti. Takve aktivnosti su migriranje u druge procese i izvršavanje poslije eksploitacijskih alata kao što je Rubeus. Ako se detektira da neki proces pokreće rundll32.exe to je jedan od mogućih razloga za dodatnu istragu pomoću ostalih metoda navedenih prije.
  
  
 ===== Zaključak ===== ===== Zaključak =====
 +Cobalt Strike je alat koji je moguće promijeniti do razine da je neprepoznatiljiv tradicionalnih forenzičkim metodama. Na sreću, ili na žalost ovisno o perspektivi, takve modifikacije zahtjevaju značajan trud s napadačke strane i većina napadače nema znanje niti vremena za takve modifikacije. Zato su metode poput YARA potpisa ili analize mrežnog prometa i dalje jako efektivne. Ako se sumnja da je neki proces ili računalo zaraženo Cobalt Strikeom, uvježbani analitičar ga može pronaći pomoću memorijskih artefakata koje ostavlja i tipičnih uzoraka korištenja kao što je pokretanje rundll32.exe procesa za izvršavnje poslije eksploitacijskih aktivnosti.
  
  
racfor_wiki/seminari2024/forenzicka_analiza_cobalt_strike_alata.1737562236.txt.gz · Zadnja izmjena: 2025/01/22 16:10 od Delimar Danko
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0