artrone 19 окт в 07:19

Док-файл, который смог: от скромного резюме до мастера туннелей

Простой

4 мин

4.7K

Информационная безопасность * Windows *

Туториал

Комментарии 14

diakin 19 окт в 08:05

winword.exe и excel.exe. Офисные программы не должны создавать постоянные сетевые подключения.

А нельзя просто запретить офисным программам создавать постоянные сетевые подключения?

artrone 19 окт в 08:31

Можно. Есть несколько вариантов: Firewall, Applocker, Microsoft Office Trust Center

apcs660 19 окт в 08:36

а непостоянные можно? записываем: пакетный режим можно.

apcs660 19 окт в 08:30

Один знакомый любил фразу "в системе обнаружен вирус: Windows!" и при этом смеялся.. У меня до сих пор Windows сладко спит в виде виртуальных машин (10я и 11я) - включаю изредка, может раз в полгода.

artrone 19 окт в 08:44

истинный линуксовод :)

apcs660 19 окт в 09:18

Когда я встретил этого человека в стартапе, то я был свежим MCSE (NT 4.0), перековывавшимся в программиста; в стартапе для разработки был только Линукс, пришлось освоить. В 2001 сдал LPI и на этом успокоился. Были проекты и на windows позже, C#, C++ но после мака не смог себя заставить вернуться на windows и в итоге уже лет 10 сижу в Линукс в качестве десктопа. В чем причина? Основная причина возможность почти полного контроля системы, а в случае windows даже админ на самом деле гость.

artrone 19 окт в 09:49

Всё верно, но каждому своё. Кому-то нравится рулить всем в системе, а кто-то даже UAC никогда не вызывал, подтверждая открытие файла.

MxMaks 19 окт в 10:09

Графика в вмках очень медленно работает, с тех пор появились улучшения какие?

apcs660 20 окт в 05:11

сложно сказать - не пользуюсь акселераторами в вм, пользуюсь CPU графикой, в игрушки не играю. Перешел на мелкие lenovo/minisforum, к ним пару eGPU прицепил, для CUDA но не для графики (серверная установка). Если нужно поехать (а езжу часто) - в рюкзак и небольшую сумку кинул и кластер перевез

ВМ только для офиса и иногда для бухгалтерского софта.

AlexeyK77 19 окт в 10:00

ага, так вы и запретите сейчас офисному ПО создавать сетевые соединения. Это когда микрософт вложил максим умусилий, что бы все эти офисы365 непрерывно были в онлайне с облаком и всякими внутренними ресурсами внутри сети. Это очень нетривиальное дело, почти утопическое. Времена, когда можно было просто фаерволом подрезать трафик и ничего не поломать ушли в прошлое. Ну и вишенка, сейчас трафик приложения проксируется через встроенный броузер, и фаерволом вообще уже не подрежешь. Кстати фаерволов на винду, где можно было указывать не только имя процесса, но и parent process вообще нет.

nikulin_krd 19 окт в 21:59

А теперь представим что атакующий имеет чуть больше скила, чем банальный скрипткидди. Что будете делать с инжектами в легитимные процессы и всякого рода методами скрытия "полезной" нагрузки?

artrone 20 окт в 00:21

Тогда уровень статьи не был бы "Лёгкий", а разбор был бы другим)

Byaka8kaka 28 окт в 10:02

Событий очень много. Чтобы не утонуть в них, сгруппируем результаты по имени процесса - это покажет, какие программы выполняли сетевое взаимодействие.

Среди всех процессов выделяются два подозрительных: winword.exe и excel.exe. Офисные программы не должны создавать постоянные сетевые подключения.

wtf.exe совсем не подозрительно)))

artrone 5 ноя в 03:48

Разумеется, подозрительно, ровно как и posh, sihost и тд. Такая формулировка была специально выбрана для сокращения объема статьи и, как следствие, указания верного хода мыслей и фильтрации получаемой информации по результатам работы фильтра в контексте данного киллчейна (помним, что мы ищем точку входа).

Зарегистрируйтесь на Хабре, чтобы оставить комментарий