Анализ Outlook-бэкдора кибергруппы Turla

[shane54]

Мда, «круто». Наверно вариант как отследить эту заразу, если она работает — каким-то образом скриптами сравнивать состояние локального почтового ящика (OST/PST) и журналов на Exchange'е. Раз малварь подтирает свои принятые мейлы с командами и отосланные мейлы с украденной информацией/статусами — все равно эти письма прошли через Exchange и до туда малварь дотянуться не может. Значит есть дельта. Но отслеживать такое, если ящиков/пользователей тысячи… Хотя если все можно делать со стороны Exchange — может и не так уж нереально. Если то что у пользователя в Outlook (в OST файле) «видно» со стороны сервера — тогда можно сравнивать с журналами транспорта, тогда все реализуемо. Поправьте если не так.