Sunday, July 17, 2016

Updates

Book Update
I recently and quite literally stumbled across an image online that was provided as part of a challenge, involving a compromised system.  I contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author, as well as discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book with my tech editor, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of both conversations is that I will be extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book with an additional chapter.  This image is from a Windows 2008 web server that had been "compromised", and I thought it would be great to add this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of "cases" that were already being covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

RDP Bitmap Cache Parser
I ran across this French web site recently, and after having Google translate it for me, got a bit better view into what went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RDP bitmap cache parsing tool. This is a pretty fascinating idea; I know that I've run across a number of cases involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RDP, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by an intruder or a malicious insider, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been valuable clues left behind in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bitmap cache file.

Pancake Viewer
I learned from David Dym recently that Matt (works with David Cowen) is working on something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "pancake viewer", which is as DFVFS-backed image viewer using wxPython for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI.  This looks like a fascinating project, and something that will likely have considerable use, particularly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "future functionality" is added.


Web Shells
Web shells are nothing new; here is a Security Disclosures blog post regarding web shells from 3 years ago.  What's "new" is what is has recently been shared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of web shells.

This DFIR.IT blog post provides some references (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post) where ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r firms have discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of web shells, and this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecureWorks site provides insight as to how a web shell was used as a mechanism to deploy ransomware.

This DFIR.IT blog post (#3 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series) provides a review of tools used to detect web shells.

A useful resource for Yara rules used to detect web shells includes this one by 1aNOrmus.





No comments: