Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить
Сейчас в мире кибербезопасности защищаться дорого, а вот атаковать дешево. Все благодаря «гитхабификации» процессов в offensive-командах. Атакующие создали множество часто переиспользуемых утилит и техник.
Но однозначного преимущества у «красных» нет. Профессиональные Blue Teams давно изучили распространенные методы нападения и легко их вычисляют. Успех кибератаки сегодня во многом зависит от того, как хорошо «красные» смогут замаскировать старую проверенную утилиту, чтобы сбить детект классического защитного средства.
Меня зовут Александр Родченко (gam4er), я — Senior SOC Analyst в «Лаборатории Касперского». Под катом я расскажу, почему атакующие предпочитают использовать старые утилиты, а не писать новые, где (а на самом деле — когда) в CLR появляются артефакты от «старых добрых» утилит, и как ваш SOC может вовремя их задетектить.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов
- Как мы строим real-time data-пайплайны для анонимных крипто-свапалок: опыт на примере risetocrypto
- [Перевод] Ай! Не туда! Как злоупотреблять симлинками и повышать привилегии (LPE-шиться) в Windows
- Шифрование скриптов
- Vaultwarden: как я поднял свой менеджер паролей и перестал беспокоиться?
- BGGP3: Хороший тамада и конкурсы интересные
- IP-телефония в России: запрет или новые правила? Разбираемся
- Что остаётся после нас в онлайне — и как с этим быть
- Android. Кража данных через клавиатуру: миф или реальность?
- Spark_news: Продолжается рост закупок госкомпаний у самозанятых