На горячую, к сожалению, не получится. Предварительно Вам нужно будет записать pcap, который далее подать на вход brimcap, сконвертировать его в формат zng, понятный для ZUI, и далее с помощью командной утилиты zq выполнять запросы, аналогичные Desktop версии. https://github.com/brimdata/brimcap?tab=readme-ov-file
Правило сработает, если будет выявлена следующая цепочка запуска процессов: consent.exe -> iexplore.exe (x64) -> iexplore.exe (x86) -> cmd.exe|powershell.exe.
Вы правы, запуск IE с правами SYSTEM уже сам по себе подозрителен, но для однозначного выявления факта эксплуатации описанной уязвимости необходимо обнаружить всю цепочку событий.
Вы абсолютно правы. Удивительно то, что по каким-то непонятным причинам антивирусы не считают xlm зловредными, в отличие от vba. Видимо еще не было претендентов.
На горячую, к сожалению, не получится. Предварительно Вам нужно будет записать pcap, который далее подать на вход brimcap, сконвертировать его в формат zng, понятный для ZUI, и далее с помощью командной утилиты zq выполнять запросы, аналогичные Desktop версии.
https://github.com/brimdata/brimcap?tab=readme-ov-file
Вы правы, запуск IE с правами SYSTEM уже сам по себе подозрителен, но для однозначного выявления факта эксплуатации описанной уязвимости необходимо обнаружить всю цепочку событий.
Отличная статья. Ещё можно было бы добавить про пароли в GPP.
*Прецедентов
Вы абсолютно правы. Удивительно то, что по каким-то непонятным причинам антивирусы не считают xlm зловредными, в отличие от vba. Видимо еще не было претендентов.