Strax innan sommaren stod i full blom och vi alla såg fram emot en hemester med vacker stockholmsskärgård och tankeväckande regnig västkust råkade jag på en skadlig kod som placerat en del av sig själv i en ADS (Alternate Data Stream). ADS har funnits med i decennier men ifall man behöver mer info om fenomenet […]
Om man arbetar med säkerhetsincidenter är det viktigt att kunna få insyn i vad som hänt på en enhet som beter sig underligt. Om exempelvis antivirusprogrammet larmar för att det tagit bort skadlig kod behöver man möjligen kontrollera så att den skadliga koden verkligen försvunnit och kanske även i vissa fall reverse-engineera koden. Det finns […]
Om man i sin verksamhet använder sig av subdomäner för att avskilja olika internetbaserade tjänster så är det viktigt att komma ihåg att inaktivera subdomänen då den inte används längre. Särskilt viktigt är det förstås ifall subdomänen pekar mot en domän som man själv inte har kontroll över. Det finns exempelvis användningsfall där man använder […]
I Kibana finns fina möjligheter till att skapa egna visualiseringsplugin exempelvis genom React-kod. I denna bloggpost publicerar jag ett litet visualiseringsplugin för Kibana som laddar ned en extern webbsida och visar den direkt i Kibana-gränssnittet. Detta kan exempelvis vara nyttigt då man vill se information från ett annat system i en Kibana-dashboard (se exempel i […]
Kibana is becoming a versatile tool for viewing Elasticsearch logs. However, when using Kibana a while it soon becomes clear that you would like to have some features that are missing or yet to be incorporated in the Kibana application. Luckily it is easy to write Kibana plugins for the features that one requires. The […]
TheHive (https://thehive-project.org/) är ett open source Incident-Response-hanteringssystem/Plattform som på senare tid börjat användas hos CERTs världen över. TheHive har ett enkelt ticketing-system och är specifikt utvecklat för just CERTs/SOCs vilket gör att man undviker mycket strul med tidsslösande anpassningar. Dessutom är det open source vilket gör licenshanteringen smidig (och kostnadseffektiv). Det finns en mängd integrationer […]
I Elasticsearch-stacken finns Logstash med som loggmottagare. Logstash är ofta inte önskvärt som loggmottagare eftersom det utnyttjar en stor mängd systemresurser vilket förstås inte alltid är lämpligt. Därför används ofta andra loggmottagare eller egenutvecklade loggmottagare. Lumberjack är det protokoll som vanligen används av Elasticsearch beats-suiten (https://www.elastic.co/products/beats) såsom Filebeat och Winlogbeat då loggar ska skeppas. Protokollet […]
Då man arbetar med säkerhet finns flera tillfällen då det är viktigt att kunna analysera exakt vilka filer som öppnas i ett system. Detta kan exempelvis vara: Reverse engineering av malware Triage i en Incidenthanteringsrutin Verktyg för Data leakage prevention/detection Vanligen finns redan färdiga verktyg för detta, exempelvis Sysinternals gamla vanliga verktyg. Windows har sedan […]
På Simovits Consulting använder vi, för arbete med dokument, en server som saknar kopplingar till andra nätverk (air gapped system). Detta är en helt självklar säkerhetsåtgärd för ett IT-säkerhetsföretag. Att ha ett galvaniskt åtskilt nätverk är dock inte den enda säkerhetsåtgärden som krävs för att ha kontroll över viktiga resurser. Eftersom Simovits Consulting utför penetrationstester […]