Открыть список
Как стать автором
Обновить

Комментарии 7

Интересно. Благодарю!
Можно ли уточнить, для повышения образованности, что за ОС была на АРМ в последнем случае? C:\Documents and Settings\Serv\Desktop — намекает на ХР, а C:\Users\DefaultAccount\Desktop — на 7-ку.
Или все же была ОС, где эти два вида организации пользовательских данных совмещались?
Добрый день! ОС была семерка. Папка Documents and Settings залинкована в седьмой версии с users. При этом многие программы для сбора информации с образа отображают папку users как documents and settings.
Еще по поводу,
С момента первого входа под учетной записью АРМ\serv и до момента проведения расследования на хосте фиксировались множественные входящие удаленные сеансы RDP с различных внешних адресов (в среднем 10 000 соединений в сутки)
— Семерка действительно нормально справляется с такой нагрузкой — в среднем 7 RDP-сеаносов в минуту? К тому же, RDP-сеансы были ведь под одной и той же учетной — serv? А уникальных IP адресов, с которых эти сеансы осуществлялись, в сутки сколько было?
Конечно же 10 тысяч rdp-сеансов не было. Количество сеансов было сильно меньше. В скобках я указал количество соединений, зафиксированных на сетевом оборудовании по порту 3389. Учитывайте, что все сканеры из Китая и Голландии так же сюда входят, так как хост торчал наружу с белым адресом и открытым портом. Количество адресов, с которых были именно сессии за все время, пока злоумышленники «жили» на хосте — 6 уникальных адресов

Так же могу отметить, что с хоста фиксировались до 150 попыток исходящих соединений по rdp на внешние адреса (из списка тех 500, что были найдены в файле на хосте)
Интересно и полезно, спасибо.

1. В качестве SIEM используете только Arcsight?
2. >> «обнаружены обращения на известные потенциально опасные ресурсы (IP-адреса C&C-серверов)»
А где подобные списки опасных ресурсов можно получить для личного пользования?
Или это исключительно ваша корпоративная наработка?
Спасибо за комментарий!

Да, в качестве SIEM используется ArcSight. У каждой SIEM есть свои особенности, от которых зависит реализация правил. Наша текущая логика основывается на возможностях платформы ArcSight. При этом я не готов сходу утверждать, что весь контент заработает на других платформах.

По поводу потенциально опасных ресурсов — мы используем различные источники:
1. Open Source — malwaredomainlist, ransomwaretracker, atlas feeds и другие
2. Коммерческие репутационные базы от отечественных и зарубежных вендоров. Чаще всего это антивирусные вендоры
3. Информация от CERT`ов (отечественных и зарубежных)
4. Собственные наработки нашей forensic-команды + информация агрегируемая в рамках расследования инцидентов у заказчиков и (по возможности) используется в рамках «перекрестного опыления»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.