Comments 2
Спасибо за статью. Отличная иллюстрацию на тему безопасности современной винды. А если в сети несолько тысяч компьютеров, то за всем не уследишь, даже с сиемом. В качестве дополнительных рекомендаций из разряда гигиены:
- закрыть создание и запуск из почтовика всех видов исполняемых файлов.
- создание файлов в автозагрузке запретить по умолчанию, оставить только для доверенных процессов.
- по возможности разрешить запуск повершел-процессов только по белым спискам. Если это трудоемко, то резать запуск все повершелов с base64 в командной строке. В этом как правило нет необходимости на практике, наличие base64 уже должнло порождать алерт.
- зарезать на локальном фаерволе травик для повершелла вообще, или остаивть только по белым спискам. Попытка трафика от повершелла - алерт для мониторинга.
В общем лучше гигиена, чем ловить ветер в поле.
Пробуем на вкус техники MITRE ATT&CK — T1547.001 Ключи запуска в реестре — Папка автозагрузки