Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить

Все блоги / Про интернет 27 января 2022 143

Сейчас в мире кибербезопасности защищаться дорого, а вот атаковать дешево. Все благодаря «гитхабификации» процессов в offensive-командах. Атакующие создали множество часто переиспользуемых утилит и техник.

Но однозначного преимущества у «красных» нет. Профессиональные Blue Teams давно изучили распространенные методы нападения и легко их вычисляют. Успех кибератаки сегодня во многом зависит от того, как хорошо «красные» смогут замаскировать старую проверенную утилиту, чтобы сбить детект классического защитного средства.

Меня зовут Александр Родченко (gam4er), я — Senior SOC Analyst в «Лаборатории Касперского». Под катом я расскажу, почему атакующие предпочитают использовать старые утилиты, а не писать новые, где (а на самом деле — когда) в CLR появляются артефакты от «старых добрых» утилит, и как ваш SOC может вовремя их задетектить.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Бесплатные утилиты Solarwinds для мониторинга и управления ИТ-инфраструктурой

Мы хорошо знаем Solarwinds и давно с ним работаем, многим также известны их продукты для сетевого (и не только) мониторинга. Но не так широко известно, что они дают скачивать со своего сайта добрых четыре десятка бесплатных утилит, которые помогут контролировать сетевые устройства, управлять

подробнее »

15 апреля 2019

Техника — безопасности: что ожидает айтишника в инфобезе

Привет, Хабр. Меня зовут Антон Иванов, я СТО «Лаборатории Касперского». Сейчас информационная безопасность — обширная область с очень размытым краем. Не всегда можно понять, где кончается обычная разработка и начинается ИБ-разработка. Под катом я расскажу, почему пытаться провести эту грань вообще

подробнее »

26 ноября 2021

Карта дня: «Лаборатория Касперского» показывает кибератаки в реальном времени

«Лаборатория Касперского» представила интерактивную карту, которая демонстрирует все кибератаки, регистрируемые компанией в режиме реального времени. На виртуальном глобусе отмечены вредоносные объекты, обнаруженные на компьютерах в разных частях света, срабатывания почтового и веб-антивируса, а

подробнее »

28 марта 2014

[Перевод] Проверяем уровень защищённости Linux с помощью утилиты Lynis

Разбираемся, как использовать одну из самых мощных свободно распространяемых утилит для аудита Linux-систем. Вы когда-нибудь задумывались о том, насколько безопасна ваша Linux-система? Существует множество дистрибутивов Linux (каждый со своими настройками по умолчанию), на которых вы запускаете

подробнее »

21 мая 2020

Текстовая трансляция со дня открытых дверей Лаборатории Касперского – Open Day 2017

Всем привет! Сегодня мы ведем текстовую трансляцию со дня открытых дверей Лаборатории Касперского – Open Day 2017. Видео-стрим: Текстовая трансляция под катом. Читать дальше →

подробнее »

2 октября 2017

Гайд от эксперта Лаборатории Касперского: об инструментах безопасника, угрозах и тенденциях ИБ

С помощью эксперта «Лаборатории Касперского» разбираемся, какой набор инструментов должен иметь в своем арсенале современный специалист по ИБ. От каких угроз и с помощью каких технологий надо защищаться. Говорим о тенденциях в сфере ИБ, о механизмах работы некоторых продуктов «Лаборатории

подробнее »

25 декабря 2018