Чуть сложнее, чем кажется: как атакует группировка TinyScouts

[Maslukhin]

Мне кажется, само наличие обращений к Tor — уже плохой маркер, независимо от конкретного зловреда. Т.е. это может/должно быть универсальное правило

[JSOC_CERT]

Да, вы правы. В любой корпоративной инфраструктуре подобная сетевая активность должна вызывать подозрение. Но тут есть два аспекта: для обнаружения нужна либо технология dpi, либо процесс по поддержанию актуального перечня IP адресов TOR

[adante]

И вся эта сложная и красивая архитектура была бы просто бесполезна, если бы пользователи просто не открывали любые потенциально исполняемые файлы.

[Thoth777]

.lnk с точки зрения системы — просто ссылка, плюс винда любит скрывать расширения известных ей файлов, пользователь попросту не понимает что за файл он сейчас откроет. Спасибо майкрософту за заботу!

[Full-R]

PowerShell вообще надо выламывать у всех пользоватеоей кроме админов (а может он и админам не нужен). Система без него нормально работает: нужно лишь разблокировать папку PS. Поставьте, к примеру, PeaZip и найдете у себя целый репозиторий Chocolatey, который неизвестно что делает пока вы клювом щелкаете.

[site6893]

тогда уж и .NET нужно выламывать ( я б на это посмотрел) ) ибо все что делает скрипт отлично получится и без PowerShell при наличии .NET.
PowerShell тут больше как удобный врапер используется.

[Zed-nsk]

Интересует реакция на такое заражение стандартных антивирусов, типа Касперский и иже с ними. Или это все руками контролируется?

[JSOC_CERT]

Антивирусы ведут себя в таких случаях по-разному, в зависимости от включённых механизмов детектирования. Sfx архив с 4 файлами, два из которых абсолютно чистые ( и ещё скачивают тоже чистые файлы), скорее всего пройдут радары антивирусов. Но вот дальнейшая активность, например запуск powershell от wmic вполне может быть обнаружена каким нибудь механизмом современного антивируса, который отслеживает всю активность на ОС