Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

От мониторинга к форенсике и обратно

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Nächste SlideShare
Сколько надо SOC?
Сколько надо SOC?
Wird geladen in …3
×

Hier ansehen

1 von 48 Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von Sergey Soldatov (15)

Aktuellste (20)

Anzeige

От мониторинга к форенсике и обратно

  1. 1. От мониторинга к реагированию и обратно Сергей Солдатов Руководитель SOC
  2. 2. Операционка и Проекты Проект Операционка Как понять Влияние внешних факторов Низкая Высокая Детерминированность задач Низкое Высокое Особенности Начало Запрос Дата начала подписки Окончание Достижение целей Дата окончания подписки Сроки План проекта Длительность подписки Качество результата Выполнение ТЗ*, срок, бюджет Метрики SLA * Уникальный результат
  3. 3. Типовой цикл* операционной ИБ Начало Анализ событий Активный поиск угроз Расследование по телеметрии MDR Обнаружена подозрительная активность Детект в продуктах Конец Постоянный контроль эффективности реагирования Возможно автоматическое реагирование Команда исследования угроз Команда расследования и реагирования Команда анализа событий и поиска угроз Мониторинг Расследование Реагирование Сервис Kaspersky Managed Detection and Response Продукты Сервисы Incident response Digital forensics Malware analysis Реагирование в MDR Обнаружены дополнительные индикаторы (IoC/IoA) * Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY
  4. 4. Типовой цикл* операционной ИБ * Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY Начало Анализ событий Активный поиск угроз Расследование по телеметрии MDR Обнаружена подозрительная активность Форенсика Анализ ВПО Реагирование на инцидент Детект в продуктах Конец Анализ извлеченных уроков Требуется более глубокое исследование Обнаружены дополнительные индикаторы (IoC/IoA) Постоянный контроль эффективности реагирования Постоянное совершенствование Требуется ручное реагирование Возможно автоматическое реагирование Возможно автоматическое реагирование Команда исследования угроз Команда расследования и реагирования Команда анализа событий и поиска угроз Мониторинг Расследование Реагирование Сервис Kaspersky Managed Detection and Response Продукты Сервисы Incident response Digital forensics Malware analysis Реагирование в MDR Обнаружены дополнительные индикаторы (IoC/IoA)
  5. 5. Сценарии • «Из мониторинга в реагирование» • SOC à DFIR • Собираемой телеметрии недостаточно • Инструментальное реагирование неэффективно • «Поддержка с воздуха» • DFIR à SOC • Быстрый IoC pivoting и hunting* • Контроль эффективности реагирования * https://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
  6. 6. 6 Из мониторинга в реагирование
  7. 7. Классификация по критичности • С участием человека • Большой ущерб – потенциальный или реальный • Без участия человека • Средний уровень воздействия на бизнес • Низкий уровень влияния на бизнес 2021, %, Мир
  8. 8. Видимость инцидента Возможности телеметрии Активность в рамках инцидента
  9. 9. Видимость инцидента Возможности телеметрии Инцидент 1 Активность в рамках инцидента Инцидент 2 Инцидент 3 Инцидент 4
  10. 10. Видимость инцидента Возможности телеметрии Инцидент 1 Активность в рамках инцидента Инцидент 2 Инцидент 3 Инцидент 4
  11. 11. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N … Инцидент Публикация Эффективность SOC
  12. 12. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3 … Инцидент Публикация Эффективность SOC Эффективность DFIR
  13. 13. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3 … Инцидент Публикация Эффективность SOC Эффективность DFIR
  14. 14. №1. Закрепление в планировщике Persistence T1053.005: Scheduled Task/Job: Scheduled Task • Машинка (M1) • Учетка (У1)
  15. 15. №1. М1, У1: Выполнение Persistence T1053.005: Scheduled Task/Job: Scheduled Task Execution T1059: Command and Scripting Interpreter • Другая Машинка (М2) • Другая Учетка (У2) • Такие же задачи планировщика
  16. 16. №1. M2, У2: Выполнение ВПО Persistence T1053.005: Scheduled Task/Job: Scheduled Task Execution T1059: Command and Scripting Interpreter T1574.001: Hijack Execution Flow: DLL Search Order Hijacking Эскалация в DFIR: • M1, У1, М2, У2 • Закрепление, запуск
  17. 17. №2. «Подозрительная активность» (1/4) Initial Access Execution T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1566.001: Phishing: Spearphishing Attachment T1566.003: Phishing: Spearphishing via Service Discovery T1087: Account Discovery
  18. 18. №2. «Подозрительная активность» (2/4) Initial Access Execution Persistence Discovery T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery
  19. 19. №2. «Подозрительная активность» (3/4) Initial Access Execution Persistence Defense Evasion T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service Discovery T1018: Remote System Discovery T1087: Account Discovery
  20. 20. №2. «Подозрительная активность» (4/4) Initial Access Execution Persistence Defense Evasion T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service Discovery T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Command and Control Exfiltration T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits Эскалация в DFIR: • Закрепление, запуск • DNS C&C • Рекогносцировка Discovery
  21. 21. 21 Результаты расследований
  22. 22. №1. SOC Execution Persistence T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking
  23. 23. №1. DFIR Execution Persistence T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking • Направленный фишинг (Gmail) • Вредоносные вложения • Персональные для каждого получателя • Подготовленная социалка (заметна подготовка) • Вредоносный XLSM документ (Excel с VBA макросом) выбрасывает на диск «контент»: • C:Users<USERNAME>AppDataLocalMicrosoft OneDriveversion.DLL • Стартер, запускает UnistoreDB.exe • C:Users<USERNAME>AppDataLocalCommsUnistoreDB.exe • Закрепление (задачи планировщика), запускают ActiveSyncHost.exe, ActiveSync.exe • C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSync.exe • Замечены разные версии такого файла (в т.ч. без функционала) • C&C по HTTP и DNS • Удаленное управление: запуск команд, скачиваниезакачивание файлов, удаление файлов, остановка процессов и т.п. • C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSyncHost.exe • Замечены разные версии такого файла (в т.ч. без функционала) • Килоггер • Удаленное управление: запуск команд • Это было ~полгода назад
  24. 24. №1. DFIR: Функционал «контента» Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing Credential Access T1110: Brute Force T1056: Input Capture T1018: Remote System Discovery T1021.004: Remote Services: SSH Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  25. 25. №2. SOC Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  26. 26. №2. DFIR Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits • Направленный фишинг («рекрутер» на LinkedIn) • Атакующий интерактивно общался с жертвой J • «Job Offer.xlsb», «Job Offer.xlsm» - выбрасывает файлы: • C:Users<USERNAME>AppDataRoamingMicrosoftVaultLocalServiceNetworkFirewall • Реализует WCF-сервер* (удобно для распределенного сбора информации) • Общается с C&C по HTTPS • C:Users<USERNAME>AppDataLocalMicrosoftOneDriveuserenv.dll • DLL order hijacking OneDrive.exe • Создает задачи планировщика • C:<USERNAME>johnAppDataRoamingMicrosoftVaultMicrosoftEdgeApp • Общение с C&C через DNS • Реализует WCF- клиент • Выполняет команды с помощью cmd.exe, msbuild.exe • Все попытки успешно предотвращены АВЗ * https://learn.microsoft.com/ru-ru/dotnet/framework/wcf/whats-wcf
  27. 27. №2. DFIR (2/2) Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits • ZIP-архив с «Job Offer.exe»: • Выбрасывает файлы, отмеченные ниже • Задача каждые 5 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftOfficeProdcutChecker.exe • Расшифровывает конфиг, находит и удаляет процессы в соответствии с конфигом • Задача каждые 10 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftWindows LocalServiceNetworkFirewall.exe • Известный нам уже WCF-сервер и клиент HTTPS-C&C • Задача каждые 2 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftWindowsAppsMicrosoftEdgeApp.exe • Известный нам уже WCF-клиент и клиент DNS-C&C • Собирает данные о ПК и сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows RTX<RANDOM>.dll • Собирает данные из AD по LDAP, сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows RTX<RANDOM>.dll, отправляет по HTTPS • После окончания каждой стадии, общается с C&C по DNS • Инциденты №1 и №2 – действия одной группировки!
  28. 28. SOC1-2 DFIR1 DFIR2 Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1622: Debugger Evasion T1566.003: Phishing: Spearphishing via Service Credential Access T1110: Brute Force T1056: Input Capture T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery T1021.004: Remote Services: SSH Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  29. 29. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  30. 30. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  31. 31. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  32. 32. 32 Поддержка с воздуха* * https://reply-to-all.blogspot.com/2017/05/blog-post.html
  33. 33. Инструментарий CobaltStrike Mimikatz SoftPerfect Network Scanner Remote Monitoring & Management Reverse proxy
  34. 34. История Initial Access T1190: Exploit Public-Facing Application • ProxyLogon (CVE-2021-26855, CVE-2021-27065) • Принесли и запустил ngrok • Принесли и поставил Atera • Принесли SoftPerfect Network Scanner • Принесли procdump64, psexec • Неудачные попытки принести mimk, CS beacon, cryptor, анти-руткиты…
  35. 35. История Initial Access Execution T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution • Прошел ~день • Часть инструментов запускали через PsExec
  36. 36. История Initial Access Execution Persistence T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation • Прошел еще ~один день • Создали себе локального админа • Существующего админа активировали и поменял ему пароль • Закрепились в реестре через Windows Print Spooler Port Monitor (ключик тоже назывался «Slayer» J ) * * https://posts.slayerlabs.com/monitor-persistence/
  37. 37. История Initial Access Execution Persistence Defense Evasion T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools • В тот же день • Принесли инструменты для отключения АВЗ • Утилиты для обнаружения и нейтрализации руткитов • Отключение через уязвимый драйвер • Отключили АВЗ • Сдампили lsass (procdump) • Нашли доменного админа (!) • Принесли CobaltStrike beacon (HEUR:Trojan.Win64.Cobalt.gen, Trojan.Win64.Crypt.*, HEUR:Backdoor.Win64.Agent.gen, прописал его как Port Monitor) • Ненужные файлики удаляли (они нашлись в Корзине J )
  38. 38. История Initial Access Execution Persistence Defense Evasion Discovery T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning • Прошел еще ~один день • Сканировали сеть (результаты сохраняли в фаликах)
  39. 39. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software • Внутри сети ходили по RDP • Иногда пробрасывались через ngrok • На пациенте «0» развернули Atera
  40. 40. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction • Принесли шифровальщика (Trojan- Ransom.Win64.Freeud.a, HEUR:Trojan- Ransom.Win32.Generic ) • Принесли Wiper* • Принесли KillDisk * https://github.com/r3nt0n/wiper
  41. 41. 41 Сколько дней прошло?
  42. 42. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction 1 1 1
  43. 43. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  44. 44. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  45. 45. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  46. 46. Расследование • Причина: «Подозрительная активность на нескольких системах в сети» • Повезло: среди «подозрительных» был «Пациент 0» • Включили мониторинг • Цели подключения Мониторинга: • Быстрая проверка выявленных в рамках форесики артефактов на всей сети • Контроль успешности лечения • Защита пролеченных Особенность «Плюс» «Минус» Поставка телеметрии встроена в АВЗ Активация не заметна для атакующего Атакующий отключает вместе с АВЗ
  47. 47. Выводы • Мониторинг • Подтверждает эффективность DFIR • Ускоряет его • Если работают люди, то лучше скрываться*, минимизировав • Запуск релевантных инструментов • Изменение конфигураций * https://reply-to-all.blogspot.com/2017/07/blog-post_28.html
  48. 48. Спасибо за внимание!

×