AI
Работает там не совсем так;)
Возможно, я не эксперт в этой области. Тем не менее, неудивительно, что высокая концентрация недооцененных технических специалистов порождает криминал..
Size: a a a
2020 March 20
AC
Может кому-то будет интересно (оффтоп): http://murders.ru/Alb_Gon_1.html
AC
там и русскоговорящим место нашлость
O
Возможно, я не эксперт в этой области. Тем не менее, неудивительно, что высокая концентрация недооцененных технических специалистов порождает криминал..
Там, кстати, не всегда специалисты, как раз благодаря тому, что многим переоцененным нашлось место в ИБ)
IM
Не надо обижать товарища полковника 🤣
O
Не надо обижать товарища полковника 🤣
Виноват, товарищ подполковник!
A
Хорошо, сменим формулировку. У меня стоит на сервере scada. Админ гипервизора крадёт информацию с мониторинга и продаёт конкурентам. Как поймать его?
Дополнительные вводные:
Про shield vm на сервер 2016 слышал, но обновиться с 2012 нет возможности
Дополнительные вводные:
Про shield vm на сервер 2016 слышал, но обновиться с 2012 нет возможности
Актуально ещё?
L
Актуально
A
Панель мониторинга, получается, является неким окном программы внутри запущенной ОС?
A
И какой гипервизор?
L
Панель мониторинга, получается, является неким окном программы внутри запущенной ОС?
Верно
A
На сервер с гипервизором админ ходит по RDP? Или физически сидит?
L
Вот этот момент и пытаюсь отловить. Если по rdp, то есть вариант взлома или компрометации данных. А я хочу подтвердить или опровергнуть, что админ напрямую подключается
IM
Вот этот момент и пытаюсь отловить. Если по rdp, то есть вариант взлома или компрометации данных. А я хочу подтвердить или опровергнуть, что админ напрямую подключается
rdp - это одна большая дыра в безопасности. Возможно там не только админ ходит.
L
rdp - это одна большая дыра в безопасности. Возможно там не только админ ходит.
Все возможно, но пока цель только такая
O
К слову, раз уж мы заговорили о старине Ли и сотоварищах, решил я перечитать The ICS Threat Landscape, а то тут все время говорят о бумажках каких-то да специфических протоколах, а оказалось что:
HEXANE - випонизированные документы в почте
PARASITE - уязвимости VPN и опенсорсный пентестерский хлам
MAGNALLIUM - снова фишинг и пассворд спрэинг и вайперы, могут вообще не добраться до ОТ
WASSONITE - снова фишинг, DTrack и стандартный набор для продвижения и прочего
XENOTIME - Trisis, Cobalt Strike и всего скорее тоже фишинг
DYMALLOY - снова ИТ и пара троев
ALLANITE - вообще watering hole + PowerShell, пассворд дамперы и PsEsec в ходе пост-эксплуатации (yes, again)
CHRYSENE - опять фишинг и уотерин хол
RASPITE - раты, которые тоже всего скорее были доставлены схожими способами
Не говоря уже об атаках через какой-нить брут RDP (привет, REvil) или commodity malware (привет, Ryuk)
Где ваши протоколы то? Или принято детектить на последней стадии киллчейна? Так там и без средств защиты можно задетектить, когда все упадет)
HEXANE - випонизированные документы в почте
PARASITE - уязвимости VPN и опенсорсный пентестерский хлам
MAGNALLIUM - снова фишинг и пассворд спрэинг и вайперы, могут вообще не добраться до ОТ
WASSONITE - снова фишинг, DTrack и стандартный набор для продвижения и прочего
XENOTIME - Trisis, Cobalt Strike и всего скорее тоже фишинг
DYMALLOY - снова ИТ и пара троев
ALLANITE - вообще watering hole + PowerShell, пассворд дамперы и PsEsec в ходе пост-эксплуатации (yes, again)
CHRYSENE - опять фишинг и уотерин хол
RASPITE - раты, которые тоже всего скорее были доставлены схожими способами
Не говоря уже об атаках через какой-нить брут RDP (привет, REvil) или commodity malware (привет, Ryuk)
Где ваши протоколы то? Или принято детектить на последней стадии киллчейна? Так там и без средств защиты можно задетектить, когда все упадет)
IM
Все возможно, но пока цель только такая
в логах что пишут?
L
Нет ни файлов логов, ни службы eventlog
IM
Нет ни файлов логов, ни службы eventlog
безопасность я смотрю у вас на высоте 😭