Skip to main content

Featured

Incident response case study featuring Ryuk and Trickbot (part 2)

This is part 2 of our recent incident response study encountering a Trickbot infection.

Initial compromise Right after tricking a user into running the malicious Office macro on their machine, thus gaining code execution, the first stage Trickbot executable is downloaded and executed. The first stage payload is responsible for three things: First, Trickbot tries to disable Windows Defender by running these commands:    cmd.exe /c sc stop WinDefend
    cmd.exe /c sc delete WinDefend
    cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true
The next step is to unpack itself to all users' AppData/Roaming directory under a less-than-suspicious folder name (such as WinDefrag, WinSocket, GPUDriver, msnet, etc.).Last, but not least, it creates persistence. As we have already mentioned in the first part of this series, Trickbot does not need advanced persistence mechanisms; creating Scheduled task, installing a Service or even a simple Run registry persistence is sufficien…

Képzésünk 2019 februárjában indul az Óbudai Egyetemen

Gyakorlati és azonnal hasznosítható tudás az egyetemi képzésbe integrálva – 2019 februárjára már felvehető a képzésünk az Óbudai Egyetemen

Az Óbudai Egyetem Neumann János kara mérnök-informatikus BSc és Msc hallgatója, vagy a kiberbiztonsági szakember és szakmérnök képzés hallgatója vagy? Érdekel az IT biztonsági terület, vagy gondolkodsz rajta, hogy egyszer nagyvállalati hálózatok IT védelmében töltenél be szerepet? Ha a válasz bármelyikre igen, nézd meg a Blue Team & Security Operations I-II tárgyat, és gyere el január 28-án 16:00 órakor az Óbudai Egyetemen tartandó tájékoztatóra – amely egyúttal alkalom arra, hogy megírd a tesztet, és kiderüljön, neked való-e a képzés.

Az órák során bemutatjuk a nagyvállalati hálózatok biztonsági rendszereit, azok komponenseit és az ezek kapcsán szükséges feladatköröket. Részletesen tárgyaljuk a Blue Team és SOC (Security Operations Center) szerepkörök közül az alábbiakat: L1 elemző; Threat intelligence elemző; L2 elemző; Forensics és Network forensics szakértők; Malware elemző; Threat Hunter; SOC rendszergazda, koordinátor és manager; CISO.A kurzus folyamán egy életszerű APT támadás incidenskezelésén keresztül szemléltetjük az elhárítási folyamat egyes lépéseit, azok egymásra épülését, és azt, hogy ez mit tesz szükségessé az emberi erőforrás oldalon.

Mi, a White Hat csapata hiszünk abban, hogy ha lehetőségünk van visszaadni a közösségnek, akkor ez kötelességünk is – ezért kezdtünk bele egy együttműködésbe a rangos Óbudai Egyetemmel, hogy a már a területen, a piacon tevékenykedő szakemberek számára kidolgozott WHCD kurzusunkat az egyetemi képzési rendszerbe integráljuk. Így alakult ki ez a tárgy, amelyet a fent leírt hallgatók választhatnak.

Egyrészt azért, hogy lehetőséget adjunk évente a teszt alapján a 25 legtehetségesebb hallgatónak arra, hogy up-to-date, aktuális piaci értékkel bíró tudást és gyakorlati készségeket sajátíthassanak el; másrészt, hogy segítsünk az intézményesített felsőoktatást kicsit mi is érdekesebbé, életszerűbbé és piacképesebbé tenni.

Az Óbudai Egyetem kiváló partnernek bizonyult ebben – és így most büszkén jelenthetjük be, hogy 2019 februárjától 25 kiválasztottat taníthatunk a jövő szakembereiből, minden évben. Igen ez számunkra is legalább olyan izgalmas, mint (reményeink szerint) számotokra.

Ha bármilyen kérdésed lenne a képzésről, vagy csak megtudnál kicsit részletesebb információkat, látogass el a blogunkra (https://blog.whitehat.eu), vagy keress meg minket a seminar@whitehat.eu címen közvetlenül, vagy az egyetemen keresztül.

Comments