Человек выше этажом утверждает, что существуют некие секретные методы обнаружения песочницы, о которых рассказывать в приличном обществе не принято. А я ему говорю, что это чушь собачья. Не может вирус содержать внутри себя секретный механизм обнаружения песочницы.
Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
Команда отключает не службу, а конкретный уязвимый протокол.
Надо обновлять систему.
На роутер не надейтесь, если не знаете, как именно он у вас работает, может он 445 порт через upnp пробросил?
Не очень понял, почему я должен делиться опытом. Я себя специалистом по безопасности не называл и никаких доменов не регистрировал, просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?
1. Элемент управления атакой, очевидно же.
2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
Ну у меня еще много идей, для чего этот домен мог бы быть нужен. Например, переключить заражение со случайных ip на сплошной скан локалок.
Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
Ну так и проверил бы в лаборатории, а то из описания следует, что он увидел, что тварь стучится в домен, так он зарегистрировал его и позволил зараженным машинам его увидеть. А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать.
Ну если агент может вставить флешку и запустить с неё exe, то значит, что в организации нет службы безопасности. А если нет службы безопасности, то зачем все так усложнять?
Ну мне вообще не понятно, как суд будет принимать электронные документы, особенно подписанные простой ЭП или самодельным алгоритмом.
Суд документы примет, если обе стороны процесса их признают таковыми. Если же одна из сторон заявит, что представленные документы рассматривать нельзя, то позиция документов, подписанных простыми и самодельными ЭП, очень слабая, на мой взгляд.
Если можно легко показать, что ЭП не обеспечивает однозначного соответствия содержимого и подписи, то как вообще можно рассматривать такие документы?
Давайте RCE от root, не меньше.
Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
Надо обновлять систему.
На роутер не надейтесь, если не знаете, как именно он у вас работает, может он 445 порт через upnp пробросил?
Могли бы, если бы давали декриптор. А дают ли?
2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
Ну если агент может вставить флешку и запустить с неё exe, то значит, что в организации нет службы безопасности. А если нет службы безопасности, то зачем все так усложнять?
Ну мне вообще не понятно, как суд будет принимать электронные документы, особенно подписанные простой ЭП или самодельным алгоритмом.
Суд документы примет, если обе стороны процесса их признают таковыми. Если же одна из сторон заявит, что представленные документы рассматривать нельзя, то позиция документов, подписанных простыми и самодельными ЭП, очень слабая, на мой взгляд.
Если можно легко показать, что ЭП не обеспечивает однозначного соответствия содержимого и подписи, то как вообще можно рассматривать такие документы?