Комментарии 7
Интересно. Благодарю!
Можно ли уточнить, для повышения образованности, что за ОС была на АРМ в последнем случае? C:\Documents and Settings\Serv\Desktop — намекает на ХР, а C:\Users\DefaultAccount\Desktop — на 7-ку.
Или все же была ОС, где эти два вида организации пользовательских данных совмещались?
Или все же была ОС, где эти два вида организации пользовательских данных совмещались?
Добрый день! ОС была семерка. Папка Documents and Settings залинкована в седьмой версии с users. При этом многие программы для сбора информации с образа отображают папку users как documents and settings.
Еще по поводу,
С момента первого входа под учетной записью АРМ\serv и до момента проведения расследования на хосте фиксировались множественные входящие удаленные сеансы RDP с различных внешних адресов (в среднем 10 000 соединений в сутки)— Семерка действительно нормально справляется с такой нагрузкой — в среднем 7 RDP-сеаносов в минуту? К тому же, RDP-сеансы были ведь под одной и той же учетной — serv? А уникальных IP адресов, с которых эти сеансы осуществлялись, в сутки сколько было?
Конечно же 10 тысяч rdp-сеансов не было. Количество сеансов было сильно меньше. В скобках я указал количество соединений, зафиксированных на сетевом оборудовании по порту 3389. Учитывайте, что все сканеры из Китая и Голландии так же сюда входят, так как хост торчал наружу с белым адресом и открытым портом. Количество адресов, с которых были именно сессии за все время, пока злоумышленники «жили» на хосте — 6 уникальных адресов
Так же могу отметить, что с хоста фиксировались до 150 попыток исходящих соединений по rdp на внешние адреса (из списка тех 500, что были найдены в файле на хосте)
Так же могу отметить, что с хоста фиксировались до 150 попыток исходящих соединений по rdp на внешние адреса (из списка тех 500, что были найдены в файле на хосте)
Интересно и полезно, спасибо.
1. В качестве SIEM используете только Arcsight?
2. >> «обнаружены обращения на известные потенциально опасные ресурсы (IP-адреса C&C-серверов)»
А где подобные списки опасных ресурсов можно получить для личного пользования?
Или это исключительно ваша корпоративная наработка?
1. В качестве SIEM используете только Arcsight?
2. >> «обнаружены обращения на известные потенциально опасные ресурсы (IP-адреса C&C-серверов)»
А где подобные списки опасных ресурсов можно получить для личного пользования?
Или это исключительно ваша корпоративная наработка?
Спасибо за комментарий!
Да, в качестве SIEM используется ArcSight. У каждой SIEM есть свои особенности, от которых зависит реализация правил. Наша текущая логика основывается на возможностях платформы ArcSight. При этом я не готов сходу утверждать, что весь контент заработает на других платформах.
По поводу потенциально опасных ресурсов — мы используем различные источники:
1. Open Source — malwaredomainlist, ransomwaretracker, atlas feeds и другие
2. Коммерческие репутационные базы от отечественных и зарубежных вендоров. Чаще всего это антивирусные вендоры
3. Информация от CERT`ов (отечественных и зарубежных)
4. Собственные наработки нашей forensic-команды + информация агрегируемая в рамках расследования инцидентов у заказчиков и (по возможности) используется в рамках «перекрестного опыления»
Да, в качестве SIEM используется ArcSight. У каждой SIEM есть свои особенности, от которых зависит реализация правил. Наша текущая логика основывается на возможностях платформы ArcSight. При этом я не готов сходу утверждать, что весь контент заработает на других платформах.
По поводу потенциально опасных ресурсов — мы используем различные источники:
1. Open Source — malwaredomainlist, ransomwaretracker, atlas feeds и другие
2. Коммерческие репутационные базы от отечественных и зарубежных вендоров. Чаще всего это антивирусные вендоры
3. Информация от CERT`ов (отечественных и зарубежных)
4. Собственные наработки нашей forensic-команды + информация агрегируемая в рамках расследования инцидентов у заказчиков и (по возможности) используется в рамках «перекрестного опыления»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Один квартал из жизни SOC. Три инцидента без купюр