Comments 11
Уровень "боженька"... Waireshark - дальше, в принципе, можно не читать, но было уже очень интересно!
В чем автор опуса видит принципиальную разницу между трояном, RAT, буткитом и сетевым червем? И как он будет относить тот или иной случай к каждой из категорий?
Это о чём?
Может быть, глупость спрошу, но зачем вытаскивать "мать" при бутките. Он же, вроде, заражает только диск... или я что-то путаю?
Конкретные утилиты здесь не рассмотрены. Но, про то как пользоваться sysinternals для поиска подозрительных процессов много пишут - https://compress.ru/article.aspx?id=14481#Process Explorer . Основные утилиты - Dbgview, procexp, Procmon
"Проверка процессов с помощью утилит sysinternals"
Каких именно процессов? С помощью каких именно утилит их больше 50.
В статье не раскрыт один из самых интересных этапов - идентификация наличия зловреда. Каким образом производится выявление например троянов? Они могут не проявлять себя, как например шифровальщик. Если АВР не сработало или отсутствует, то это поиск иголки в стоге сена, а если АВР есть, то большинство пунктов не актуально, тк антивирус должен поместить его в карантин.
Про посторонней устройство в сети классно, конечно, но вы в реальности пробовали искать? Как вы поняли, что оно подключено, если вы ещё даже не знаете его айпи/мак? Обычно сценарий начинается с алерта от системы инвентори или NAC.
Для инфраструктуры 1000+ арм не применимо, тк без средств мониторинга, контроля и анализаторов не обойтись.
Спасибо за комментарий!
За свою практику, несколько раз находил ноуты принесенные из дома - либо они начинали сканировать сеть и срабатывало правило на антивирусе, либо шел по офису и увидел что-то постороннее. Вообще в СИЕМ есть функционал позволяющий проводить скан сети и получение доменных имен - в соответствии с этим можно написать правило корреляции, которое будет срабатывать на имена устройств отличающихся от корпоративных
Короткие инструкции реагирования на инциденты ИБ