В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

secinfosec

2143 membersпожаловаться на группу
2020 August 24

PC

Pavel Cherepanov in secinfosec
PM
Друзья, как в основном кейлогеры инфу забирают? В определённое время на свой хост по определённому порту? Или какие-то другие механизмы есть?
Интересуют которые хром данные воруют
Раз в n загрузка результатов с импланта на c2 по любому протоколу
источник
06:52пожаловаться#1

P

PM in secinfosec
Pavel Cherepanov
Раз в n загрузка результатов с импланта на c2 по любому протоколу
ну то есть файрвол не отследит его активность? как его поймать за руку во время выгрузки
источник
06:53пожаловаться#2

PC

Pavel Cherepanov in secinfosec
Простой ответ - почти никак. Как ты будешь ловить пошивочный пошифрованный трафик до какого-нибудь твиттера?
источник
06:56пожаловаться#3

P

PM in secinfosec
Pavel Cherepanov
Простой ответ - почти никак. Как ты будешь ловить пошивочный пошифрованный трафик до какого-нибудь твиттера?
а если есть файлы этого кейлогера, в них инфу реально откопать по хосту?
источник
06:57пожаловаться#4

PC

Pavel Cherepanov in secinfosec
Какие?
источник
06:58пожаловаться#5

PC

Pavel Cherepanov in secinfosec
Если у тебя нет дешифровки тлс на выходе из организации, ты контент не увидишь
источник
06:59пожаловаться#6

PC

Pavel Cherepanov in secinfosec
Если ты видишь контент, как ты будешь определять легитимный он или нет
источник
06:59пожаловаться#7

PC

Pavel Cherepanov in secinfosec
Файлы кейлоггера - экзешник, длл или скрипт? Или сами данные?
источник
07:01пожаловаться#8

PC

Pavel Cherepanov in secinfosec
Если экзекьютабл, то можешь распилить его и поискать куда стучит
источник
07:01пожаловаться#9

PC

Pavel Cherepanov in secinfosec
Малварь анализируют уже дцать лет, так что было бы желание
источник
07:02пожаловаться#10

P

PM in secinfosec
Pavel Cherepanov
Малварь анализируют уже дцать лет, так что было бы желание
Есть объекты с его участием исполняемые. А чем провести анализ? есть какая-то софтина или статьи на эту тему. Задача найти хост куда сливает.
источник
07:05пожаловаться#11

PC

Pavel Cherepanov in secinfosec
простой вариант - запустить в виртуалке, мониторить все сетевые соединения https://github.com/rshipp/awesome-malware-analysis#network
сложный вариант - отреверсить, разобрать на запчасти эту малварь https://github.com/rshipp/awesome-malware-analysis#debugging-and-reverse-engineering
GitHub
rshipp/awesome-malware-analysis
Defund the Police. Contribute to rshipp/awesome-malware-analysis development by creating an account on GitHub.
источник
07:09пожаловаться#12

P

PM in secinfosec
От души!)
источник
07:10пожаловаться#13

PC

Pavel Cherepanov in secinfosec
еще есть песочницы типа any.run
источник
07:10пожаловаться#14

PC

Pavel Cherepanov in secinfosec
там можно тоже покрутить
источник
07:10пожаловаться#15

P

PM in secinfosec
о для нубов, как я как раз
источник
07:10пожаловаться#16

P

PM in secinfosec
Pavel Cherepanov
еще есть песочницы типа any.run
не ларчик не просто открывался, надо реверсить :/
источник
07:20пожаловаться#17

S

Stanislav in secinfosec
PM
Друзья, как в основном кейлогеры инфу забирают? В определённое время на свой хост по определённому порту? Или какие-то другие механизмы есть?
Интересуют которые хром данные воруют
Иногда только физический съем
источник
09:15пожаловаться#18

q

q|z in secinfosec
Alexey Goncharov
«Нигде нет» - это значит, что ты по доступным триалкам Passive DNS (вроде https://scout.dnsdb.info) его пробил, но без результата?
«нигде нет» - значит, что везде где мог посмотреть - посмотрел.

уже не актуально в любом случае
источник
09:55пожаловаться#19

Р

Руслан Бляхер... in secinfosec
PM
ну то есть файрвол не отследит его активность? как его поймать за руку во время выгрузки
Йфаервол его не пропустит)))
источник
16:50пожаловаться#20