Pull to refresh
13
Karma
0
Rating
Виктор Сергеев @stvetro

Противодействие техническим разведкам

  • Followers 10
  • Following 1

Несколько историй из жизни JSOC CERT, или Небанальная форензика

Тогда с большой долей вероятности подозрительного траффика вы не увидите и придется анализировать диск статически: выполнить проверку разными AV, посмореть, какие файлы есть в автозагрузке, и т.д.

Несколько историй из жизни JSOC CERT, или Небанальная форензика

Пускай это будет на совести авторов постера =)
Мы только подход к написании методики взяли за основу.

Несколько историй из жизни JSOC CERT, или Небанальная форензика

В последних версиях постеров от SANS действительно перечислено много мест, где стоит искать информацию. Однако оттуда убрали общую методику, описывающую последовательность шагов для поиска вредоносов. Поэтому да, последний постер с ней — 2012 год. Актуальный, без методики, но с большим количеством артефактов можно посмотреть тут.

Про утилиты хочу добавить, что копирование их на исследуемую систему — порочная практика, которую стоит максимально избегать: на практике почти всегда можно запустить нужный софт с удаленной шары или флешки. Тогда и в системе меньше изменений и подарочков злоумышленникам не останется.

Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта

Правильная статья! IT/ИБ-отделам давно пора задуматься над детектированием подобных атак доступными средствами.

Добавлю свои 5 копеек:
К сожалению детектировать DCShadow по траффику совершенно не эффективно в средних и больших предприятиях (у которых по 5 контроллеров и больше): придется тратить кровные $ на установку и администрирование сурикат/снортов на каждый территориально разнесенный контроллер — сложно будет выбить бюджет.

Тут более оптимально будет включение стандартного виндового аудита и мониторинг событий появления новых контроллеров домена в реплике 4928/4929 (такое случае не частно).

Страх и ненависть Threat Intelligence или 8 практических советов по работе с TI

Не только в этом отчете. Многие вендоры сейчас определяют полиморфное вредоносное ПО схожим образом, например:
Polymorphic malware is a type of malware that constantly changes its identifiable features in order to evade detection. Many of the common forms of malware can be polymorphic, including viruses, worms, bots, trojans, or keyloggers. Polymorphic techniques involve frequently changing identifiable characteristics like file names and types or encryption keys to make the malware unrecognizable to many detection techniques.

Страх и ненависть Threat Intelligence или 8 практических советов по работе с TI

В качестве доказательства позвольте процитировать коллег из антивирусного цеха:
Malware and PUAs have become overwhelmingly polymorphic, and over 97% of all malware instances during 2015 were observed on a single endpoint device each.

Вредоносные программы и PUA стали в подавляющем большинстве полиморфными, и более 97% всех экземпляров вредоносных программ в течение 2015 года наблюдались только на одном конечном устройстве.

У других антивирусных вендоров наверняка такие же цифры, но этот отчет попался первым.

Information

Rating
Does not participate
Date of birth
Registered
Activity