Добрый день, спасибо за комментарий. Как было написано - этот кусок и есть часть задачи, которую mikrotik забрал с CnC после /system scheduler. Так что да, главная задача - это отправить запрос.
Про User-Agent вы частично правы, но есть еще Socks. Потому мы и написали, что предположили. Технических деталей в публичном пространстве мы не нашли.
Антивирусы ведут себя в таких случаях по-разному, в зависимости от включённых механизмов детектирования. Sfx архив с 4 файлами, два из которых абсолютно чистые ( и ещё скачивают тоже чистые файлы), скорее всего пройдут радары антивирусов. Но вот дальнейшая активность, например запуск powershell от wmic вполне может быть обнаружена каким нибудь механизмом современного антивируса, который отслеживает всю активность на ОС
Да, вы правы. В любой корпоративной инфраструктуре подобная сетевая активность должна вызывать подозрение. Но тут есть два аспекта: для обнаружения нужна либо технология dpi, либо процесс по поддержанию актуального перечня IP адресов TOR
Нет, в данной статье речь не только про win платформу. Кейс с Citrix состоял в основном из Linux систем (злоумышленник искал Dirty Cow). Но наш опыт подсказывает, что полезная информация может быть в различных инфраструктурных системах и программах, вне зависимости от того на каких ОС они работают.
Добрый день, спасибо за комментарий. В нашей истории Linksys не встречался. Российские адреса попали в группу Other, поэтому визуально их не видно
Добрый день, спасибо за комментарий. Как было написано - этот кусок и есть часть задачи, которую mikrotik забрал с CnC после /system scheduler. Так что да, главная задача - это отправить запрос.
Про User-Agent вы частично правы, но есть еще Socks. Потому мы и написали, что предположили. Технических деталей в публичном пространстве мы не нашли.