Тогда с большой долей вероятности подозрительного траффика вы не увидите и придется анализировать диск статически: выполнить проверку разными AV, посмореть, какие файлы есть в автозагрузке, и т.д.
В последних версиях постеров от SANS действительно перечислено много мест, где стоит искать информацию. Однако оттуда убрали общую методику, описывающую последовательность шагов для поиска вредоносов. Поэтому да, последний постер с ней — 2012 год. Актуальный, без методики, но с большим количеством артефактов можно посмотреть тут.
Про утилиты хочу добавить, что копирование их на исследуемую систему — порочная практика, которую стоит максимально избегать: на практике почти всегда можно запустить нужный софт с удаленной шары или флешки. Тогда и в системе меньше изменений и подарочков злоумышленникам не останется.
Правильная статья! IT/ИБ-отделам давно пора задуматься над детектированием подобных атак доступными средствами.
Добавлю свои 5 копеек:
К сожалению детектировать DCShadow по траффику совершенно не эффективно в средних и больших предприятиях (у которых по 5 контроллеров и больше): придется тратить кровные $ на установку и администрирование сурикат/снортов на каждый территориально разнесенный контроллер — сложно будет выбить бюджет.
Тут более оптимально будет включение стандартного виндового аудита и мониторинг событий появления новых контроллеров домена в реплике 4928/4929 (такое случае не частно).
Не только в этом отчете. Многие вендоры сейчас определяют полиморфное вредоносное ПО схожим образом, например:
Polymorphic malware is a type of malware that constantly changes its identifiable features in order to evade detection. Many of the common forms of malware can be polymorphic, including viruses, worms, bots, trojans, or keyloggers. Polymorphic techniques involve frequently changing identifiable characteristics like file names and types or encryption keys to make the malware unrecognizable to many detection techniques.
В качестве доказательства позвольте процитировать коллег из антивирусного цеха:
Malware and PUAs have become overwhelmingly polymorphic, and over 97% of all malware instances during 2015 were observed on a single endpoint device each.
Вредоносные программы и PUA стали в подавляющем большинстве полиморфными, и более 97% всех экземпляров вредоносных программ в течение 2015 года наблюдались только на одном конечном устройстве.
У других антивирусных вендоров наверняка такие же цифры, но этот отчет попался первым.
В данном случае ChatGPT не считает это индиктором компрометации. Утилита HuntWithChatGPT.psm1 отфильтрует подобный ответ.
Мы только подход к написании методики взяли за основу.
Про утилиты хочу добавить, что копирование их на исследуемую систему — порочная практика, которую стоит максимально избегать: на практике почти всегда можно запустить нужный софт с удаленной шары или флешки. Тогда и в системе меньше изменений и подарочков злоумышленникам не останется.
Добавлю свои 5 копеек:
К сожалению детектировать DCShadow по траффику совершенно не эффективно в средних и больших предприятиях (у которых по 5 контроллеров и больше): придется тратить кровные $ на установку и администрирование сурикат/снортов на каждый территориально разнесенный контроллер — сложно будет выбить бюджет.
Тут более оптимально будет включение стандартного виндового аудита и мониторинг событий появления новых контроллеров домена в реплике 4928/4929 (такое случае не частно).
У других антивирусных вендоров наверняка такие же цифры, но этот отчет попался первым.