Касперский был и остается лидером в области TI(Threat Intelligence), сколько всякого государственного кибершпионского дерьма нашли - Эквейшены, Дуку и прочие Триангуляции - не нашел никто. Тоже самое с 0day.
Шифровальщики не отправляют никаких файлов на С2. Эксфильтрируют данные в основном вручную операторы, в том числе с помощью легитимных утилит, когда уже сидят на жертве. Потом запускают локера.
Для EDR систем нет проблем обнаружить подобные действия. Проблема в том, что шифровальщик запускают уже в полностью скомпрометированой сети зачастую с доступом администратора домена.
Отличная статья. К сожалению ключи оптимизации и даже минорное изменение версии раста - сильно меняют сигнатуры,не говоря уже о тулчейнах, но это все же лучше чем ничего. А вот по поводу гидры вы ошиблись, все она умеет в сигнатуры прекрасно - function ID пробуйте. Мало того - генерит из бинаря прямо из интерфейса программы, что очень удобно!
Касперский был и остается лидером в области TI(Threat Intelligence), сколько всякого государственного кибершпионского дерьма нашли - Эквейшены, Дуку и прочие Триангуляции - не нашел никто. Тоже самое с 0day.
В декабре еще все описали - https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ , а тут живое выступление на конференции со всем подробностями https://twitter.com/oct0xor/status/1740138938621407610
Касперский не находится ни под какими санкциями. Не вводите людей в заблуждение.
Это не смартфон. Это паурбанк с функциями смартфона. Скорее всего будет поддерживать зарядку сторонних устройств.
А поясните конкретнее пожалуйста
Шифровальщики не отправляют никаких файлов на С2. Эксфильтрируют данные в основном вручную операторы, в том числе с помощью легитимных утилит, когда уже сидят на жертве. Потом запускают локера.
Все так
Это я обобщил
Для EDR систем нет проблем обнаружить подобные действия. Проблема в том, что шифровальщик запускают уже в полностью скомпрометированой сети зачастую с доступом администратора домена.
Где вы такой бред только находите. Нет в ОАЭ никаких банов и уголовок, все его используют и местные и туристы.
Все так, кроме одного - эта атака никакого отношения к Пегасу не имеет
Все, ответ увидел на фото)
Спасибо, очень интересно. Как там с выпивкой? или сухой закон?
Интересно, как это у него мак окирпичился за полгода? Краденый, что ли был..
В Расте тоже самое все и оптимизации и разные версии компилятора, которые портят ранее созданые сигнатуры. И все по новой.
Пореверьсте пожалуйста стрипнутый раст, и потом расскажите как вам понравилось)
Думал Лурк ожил , а нет смотрю Хабр)
Отличная статья. К сожалению ключи оптимизации и даже минорное изменение версии раста - сильно меняют сигнатуры,не говоря уже о тулчейнах, но это все же лучше чем ничего. А вот по поводу гидры вы ошиблись, все она умеет в сигнатуры прекрасно - function ID пробуйте. Мало того - генерит из бинаря прямо из интерфейса программы, что очень удобно!
Это неправда у Касперского как минимум в 2009 году было в продуктах.
Это тоже неправда.Ваш отчёт вышел 26 , Malwarebytes и Kaspersky 24 октября.
https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
https://securelist.com/bad-rabbit-ransomware/82851/
С симки можно считать ICCID, и расшифровать его, узнав страну и оператора. Так что симку придётся вытащить
А как обычное приложение может получить доступ к этой информации?