Pull to refresh
36
Karma
0
Rating

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Добрый день, спасибо за комментарий. В нашей истории Linksys не встречался. Российские адреса попали в группу Other, поэтому визуально их не видно

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Добрый день, спасибо за комментарий. Как было написано - этот кусок и есть часть задачи, которую mikrotik забрал с CnC после /system scheduler. Так что да, главная задача - это отправить запрос.

Про User-Agent вы частично правы, но есть еще Socks. Потому мы и написали, что предположили. Технических деталей в публичном пространстве мы не нашли.

Чуть сложнее, чем кажется: как атакует группировка TinyScouts

Антивирусы ведут себя в таких случаях по-разному, в зависимости от включённых механизмов детектирования. Sfx архив с 4 файлами, два из которых абсолютно чистые ( и ещё скачивают тоже чистые файлы), скорее всего пройдут радары антивирусов. Но вот дальнейшая активность, например запуск powershell от wmic вполне может быть обнаружена каким нибудь механизмом современного антивируса, который отслеживает всю активность на ОС

Чуть сложнее, чем кажется: как атакует группировка TinyScouts

Да, вы правы. В любой корпоративной инфраструктуре подобная сетевая активность должна вызывать подозрение. Но тут есть два аспекта: для обнаружения нужна либо технология dpi, либо процесс по поддержанию актуального перечня IP адресов TOR

Расследование инцидентов ИБ in the wild: неожиданные источники информации

Нет, в данной статье речь не только про win платформу. Кейс с Citrix состоял в основном из Linux систем (злоумышленник искал Dirty Cow). Но наш опыт подсказывает, что полезная информация может быть в различных инфраструктурных системах и программах, вне зависимости от того на каких ОС они работают.

Information

Rating
Does not participate
Works in
Registered
Activity