TT
Прошу заметить, контекст был не в плане цензуры, а больше о приватности, свободе и правах, законах их уважающих и защищающих. И с последним там всё в порядке, собственно
Size: a a a
2021 March 28
TT
А вообще, сейчас даже Швейцария сыпется под натиском в этом плане. Но из двух зол выбирать меньшее в наше время это обыденность.
TT
И обратно, а как ты относишься к судебным блокировкам онемэ у нас в стране?
Негативно
q
Ищется мифический человек, работавший с я.облаком на практике, и осознающий их упоротую сетевую логику :)
#
Не подскажите, в какой стране поднять свой ВПН чтоб обойти РКН? Любая кроме СНГ и Европы? или что-то есть прям мастхэв для этого?
Швеция. Лояльные к впн и всяким свободам законы, которые и не только на бумаге
IN
Ищется мифический человек, работавший с я.облаком на практике, и осознающий их упоротую сетевую логику :)
Добавил тебя в их группу в телеге
q
ооо, пасиба)
IN
Они там как раз такое обсуждают. Пиши вопросы туда
q
уже)
KM
привет всем. вопрос к знатокам:
есть *.mem дамп памяти
необходимо найти .NET малварь.
Нашёл svchost.exe запущенный с Desktop и решил копать по нему дальше.
Нашёл библиотеки (через dlllist) clrjit.dll, mscorlib.ni.dll, clr.dll — как индикатор использования .NET
Нашёл стринг ReflectionAssembly (через yarascan)
Где и что ещё можно найти, посоветуйте, плез
есть *.mem дамп памяти
необходимо найти .NET малварь.
Нашёл svchost.exe запущенный с Desktop и решил копать по нему дальше.
Нашёл библиотеки (через dlllist) clrjit.dll, mscorlib.ni.dll, clr.dll — как индикатор использования .NET
Нашёл стринг ReflectionAssembly (через yarascan)
Где и что ещё можно найти, посоветуйте, плез
q
волатилкой крутил?
KM
облазил гугл все запускают powershell скрипты в момент атаки и довольные показывают результат, который срипт отдаёт.
А чтобы с использованием volatility, что то не нашёл
А чтобы с использованием volatility, что то не нашёл
KM
волатилкой крутил?
да, с ней и развлекаюсь. через неё нужно найти
Ω
AD
привет всем. вопрос к знатокам:
есть *.mem дамп памяти
необходимо найти .NET малварь.
Нашёл svchost.exe запущенный с Desktop и решил копать по нему дальше.
Нашёл библиотеки (через dlllist) clrjit.dll, mscorlib.ni.dll, clr.dll — как индикатор использования .NET
Нашёл стринг ReflectionAssembly (через yarascan)
Где и что ещё можно найти, посоветуйте, плез
есть *.mem дамп памяти
необходимо найти .NET малварь.
Нашёл svchost.exe запущенный с Desktop и решил копать по нему дальше.
Нашёл библиотеки (через dlllist) clrjit.dll, mscorlib.ni.dll, clr.dll — как индикатор использования .NET
Нашёл стринг ReflectionAssembly (через yarascan)
Где и что ещё можно найти, посоветуйте, плез
Все нужно посмотреть, и подозрительные сетевые коннекты на ip в интернет, и инжекты через malfind, и нестандартные места запуска приложений. Смотреть дерево процессов, искать подозрительные процессы, запускающие не типовые для себя процессы. Все подозрительное выгружать и проверять на virustotal и any.run. (что произошло) Если что то интересное попадется, строить timeline mactime - sleuthkit и смотреть что в предистории было (как произошло). Можно ещё поискать следы закрепления, выгрузить файлы реестра и в regriper, смотреть автозагрузку, реестр, планировщик.
KM
Все нужно посмотреть, и подозрительные сетевые коннекты на ip в интернет, и инжекты через malfind, и нестандартные места запуска приложений. Смотреть дерево процессов, искать подозрительные процессы, запускающие не типовые для себя процессы. Все подозрительное выгружать и проверять на virustotal и any.run. (что произошло) Если что то интересное попадется, строить timeline mactime - sleuthkit и смотреть что в предистории было (как произошло). Можно ещё поискать следы закрепления, выгрузить файлы реестра и в regriper, смотреть автозагрузку, реестр, планировщик.
все внешние соединения показываются с PID "-1", хедера MZ нигде нет, нестандартный запуск - это вот svchost с Desktop (откуда я и начал расследовать)
Из нетипового это подгрузка библиотек .NET. На вирустотале все dllки чистые, кроме двух (
https://www.virustotal.com/gui/file/67c38367bf52327e95320f6064ce5b3b153fa99a422cccbc81504b9f35aeed19/detection
https://www.virustotal.com/gui/file/637165de194441243120a8b5ccb8a8e6f1ffcf806e729f15af16142541f95e6c/detection
как то не очень malicious
с запуском процесса на any.run не пробовал, сейчас попробую, спасибо)
Из нетипового это подгрузка библиотек .NET. На вирустотале все dllки чистые, кроме двух (
https://www.virustotal.com/gui/file/67c38367bf52327e95320f6064ce5b3b153fa99a422cccbc81504b9f35aeed19/detection
https://www.virustotal.com/gui/file/637165de194441243120a8b5ccb8a8e6f1ffcf806e729f15af16142541f95e6c/detection
как то не очень malicious
с запуском процесса на any.run не пробовал, сейчас попробую, спасибо)
KM
Благодарю
'
о волатлити
'
классная штука