SP
к вопросу надежности облачных сервисов от вендора
Size: a a a
2020 July 24
SP
и вообще сервисной модели в принципе )
22
тут вопрос надежности инфраструктуры облачного сервиса. Я думаю МС вряд ли бы зашифровали, хотя все может быть. Но замете они и заводы остановили
22
И там кстати очень интересный шифровальщик )
O
Evil Corp <3
22
https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/
тут неплохой анализ , там целый фреймворк блин (
тут неплохой анализ , там целый фреймворк блин (
O
2 2
И там кстати очень интересный шифровальщик )
Не столько шифровальщик, сколько подход, но он уже common для текущих реалий
22
в первом понравилось IoCs много
O
2 2
в первом понравилось IoCs много
Боюсь, что индикаторы в таких атаках не очень-то эффективны
22
ну как говориться, хотя бы что то с чем можно было бы работать (
с вами согласен тут и фишинг должен был быть нормальный и атака подготовлена.
с вами согласен тут и фишинг должен был быть нормальный и атака подготовлена.
O
2 2
ну как говориться, хотя бы что то с чем можно было бы работать (
с вами согласен тут и фишинг должен был быть нормальный и атака подготовлена.
с вами согласен тут и фишинг должен был быть нормальный и атака подготовлена.
Фишинг там, кстати, такой себе)
22
Ну я не профи по фишингу ) но если сработало значит свою роль выполнило)
O
Кстати, говоря о поддельных обновлениях веб-браузеров, которые и использовались операторами, насколько правомерно называть данную технику Drive-by?
22
Кстати, говоря о поддельных обновлениях веб-браузеров, которые и использовались операторами, насколько правомерно называть данную технику Drive-by?
ну это талос так технику интерпретировал. не заню на сколько это уместно так называть подход
O
2 2
ну это талос так технику интерпретировал. не заню на сколько это уместно так называть подход
Талосы промолчали, что там пользователю нужно кликнуть по кнопке с этим самым обновлением поддельной, чтобы скачать архив с JS
22
Как промолчали, чтобы что то скачать сто пудов надо ткнуть на кнопку
Техника ATT & CK: компромисс Drive-By (T1189)
Как было описано в предыдущих отчетах, первоначальный компромисс, по-видимому, связан с поддельными обновлениями Google Chrome, которые доставляются жертвам с помощью атак с диска за скачиванием, когда жертвы просматривают скомпрометированные веб-сайты. Исходное вредоносное ПО доставляется жертвам в виде ZIP-архива, содержащего вредоносный файл JavaScript. Затем вредоносный JavaScript-код выполняется с помощью wscript.exe, чтобы инициировать процесс заражения
Техника ATT & CK: компромисс Drive-By (T1189)
Как было описано в предыдущих отчетах, первоначальный компромисс, по-видимому, связан с поддельными обновлениями Google Chrome, которые доставляются жертвам с помощью атак с диска за скачиванием, когда жертвы просматривают скомпрометированные веб-сайты. Исходное вредоносное ПО доставляется жертвам в виде ZIP-архива, содержащего вредоносный файл JavaScript. Затем вредоносный JavaScript-код выполняется с помощью wscript.exe, чтобы инициировать процесс заражения
22
зип архив сам не скачется если не ткнуть ))
O
2 2
зип архив сам не скачется если не ткнуть ))
В правильно drive-by как раз благодаря уязвимости, например, в браузере, все скачивается и запускается без взаимодействия с пользователем
22
ну кто то же должен перейти на поддельный сайт, я так думаю там тоже процесс загрузки не может в тихую выполняться