Как стать автором
Обновить

Комментарии 9

А в чем соль-то? О том, что вояк можно справоцировал на запуск вредоноса, показав им список личного состава на награждение?

...ну, обнаружили на VirusTotal. И что? Или есть подтвержденный факт того, что этот файл попал на "категорированные" компы в/части?

У вояк компы с выходом в интернет, с открытыми usb слотами и т.п.?

Или новость о том, что на "категорированные" компы нельзя загружать и запускать левые исполняемые файлы?

Или какая-то новая технология во вредоносе обнаружена? Зачем в статье указаны значения хэшей и имена файлов во временной директории?

Или эта статья - послание от Алекса к Юстасу?

На астра Линукс

Ох. Ну, как говорится, кто не понял, тот поймет.

А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:

⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts

Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.

⭐Psychology of Intelligence Analysis. R. Heuer

Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.

⭐Компьютерные сети. Принципы, технологии, протоколы
В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.

⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
E. Hutchins, M. Cloppert, and R. Amin

Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.

⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
S. Caltagirone, A, Pendergast, and C. Betz

Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.

Как можно поменять иконку на схожую с OneDrive, оставив хеш сумму "легитимной программой удаленного доступа UltraVNC версии 1.2.0.5". Это должен быть уже другой хеш, и, соответственно, сигнатурой для блокировки

Речь скорее всего не о самом установщике, а ultravnc внутри. То есть это по сути тот же обычный UltraVNC, как надо настроенный.

Мы у себя тоже использовали довольно много лет назад и довольно долго и успешно эту же версию UltraVNC, но у нас был собран из исходников, в которые мы вносили свои патчи, и использовали этот софт у себя. Ни один антивирус не ругался на него. Установщик тоже делали с возможностью полностью тихой установки, но не sfx архив, а через компиляцию в autoit. И это отлично работало - по psexec можно было поставить прямо одним кликом мыши.

Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.

Спасибо за разбор! Интересно было почитать ?

В очередной раз убеждаюсь в необходимости отлить в граните фразу "разрешайте выполнение только в папках, с отсутствием прав на запись от пользователя"

Зарегистрируйтесь на Хабре, чтобы оставить комментарий