B1is7aj 24 мая 2024 в 08:54

Доверяй, но проверяй: история расследования инцидента на основе OSINT

5 мин

6.8K

Блог компании МТСИнформационная безопасность*Исследования и прогнозы в IT*

+10

Комментарии 8

ifap 24 мая 2024 в 09:29

Поэтому, если вы сталкиваетесь с потенциально вредоносным файлом, отсутствие информации о нём в подобных базах и других открытых источниках не повод не беспокоиться.

По-моему, если по пути C:\Windows\System32\ обнаруживается файл, о котором нет никаких сведений в паблике, это уже повод забеспокоиться...

qw1 27 мая 2024 в 14:44

Для меня повод забеспокоиться - файл в директории \Windows\System32, без валидной цифровой подписи от Microsoft.

B1is7aj 29 мая 2024 в 10:48

Верно. Но подозрительная длл могла быть обнаружена и не в системной директории, и вывод распространяется и на такие случаи.

MaxStirlits 24 мая 2024 в 22:23

Список библиотек разрешённых внутри периметра карма не позволяет создать и вести?

B1is7aj 29 мая 2024 в 10:44

Как вы представляете этот процесс со стороны внешнего SOC?)

MaxStirlits 29 мая 2024 в 20:13

Задача более чем решаемая. Вопрос в подходе и нужности декларируемого результата. :)

B1is7aj 31 мая 2024 в 08:00

SOC не может вносить изменения в инфраструктуру заказчика. Наша задача - мониторить то что по факту имеем, а рекомендации по безопасности не факт что будут приняты на практику.

Devastor87 25 мая 2024 в 04:36

Спасибо! Годный кейс ?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий