• Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда

  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Хакеры злоупотребляют форензик-инструментом Velociraptor

Sascha Оффлайн

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,480
Баллы
155
ИБ-специалисты Sophos

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.
на кибератаку, в рамках которой неизвестные злоумышленники использовали опенсорсный форензик-инструмент для мониторинга эндпоинтов

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.
.

«В этом инциденте атакующие использовали инструмент для загрузки и запуска Visual Studio Code с вероятным намерением создать туннель к подконтрольному им управляющему серверу», — рассказывают эксперты Sophos Counter Threat Unit.
Нажмите, чтобы раскрыть...
В отчете отмечается, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.

Как показал анализ этого инцидента, атакующие использовали Windows-утилиту msiexec для загрузки MSI-установщика с домена Cloudflare Workers, который также служит плацдармом для других используемых хакерами решений, включая инструмент туннелирования Cloudflare и утилиту удаленного администрирования Radmin.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.


MSI-файл предназначался для развертывания Velociraptor, который затем устанавливал связь с другим доменом Cloudflare Workers. После этого полученный доступ использовался для загрузки Visual Studio Code с того же промежуточного сервера с помощью закодированной PowerShell-команды и его запуска с включенной опцией туннелирования, чтобы обеспечить как удаленный доступ, так и удаленное выполнение кода.

Кроме того, злоумышленники были замечены в повторном использовании утилиты Windows msiexec для загрузки дополнительных пейлоадов.

«Организациям следует отслеживать и расследовать несанкционированное применение Velociraptor и рассматривать использование такой тактики как преддверие развертывания вымогательского ПО», — предупреждают в Sophos.
Нажмите, чтобы раскрыть...
После публикации этого отчета Sophos ИБ-компания Rapid7, которая разрабатывает Velociraptor, выпустила

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.
, который детально описывает, как специалисты организаций могут обнаружить злоупотребление Velociraptor в своих средах.

«Rapid7 известно о сообщениях, предупреждающих о злоупотреблениях опенсорсным инструментом для реагирования на инциденты Velociraptor. Velociraptor широко применяется защитниками для легитимных задач цифровой криминалистики и реагирования на инциденты. Но, как и многие другие инструменты для безопасности и администрирования, он может использоваться во вред, если попадает в неправильные руки», — комментируют разработчики.
Нажмите, чтобы раскрыть...
Источник:

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.
Нажмите, чтобы раскрыть...
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.
Вверх Снизу