Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	216/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 212 213 214 215 216 217 218 219 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

259
После дальнейшего изучения локальной системы можно было сделать вы-
вод:

все началось с фишингового сообщения;

в этом письме было встроенное изображение с гиперссылкой на ском-
прометированный сайт;

вредоносный код был загружен и распакован на локальной системе. Он
содержал множество утилит, таких как mimikatz, procdump и psexec;

этот компьютер не был частью домена, поэтому были скомпрометирова-
ны только локальные учетные данные.

Атак на счета бразильцев становится все больше. К тому времени, когда мы писали эту
главу, компания Talos выявила новую атаку. В блоге Banking Trojan Attempts To Steal Bra-
zillion на странице
http://blog.talosintelligence.com/2017/09/brazilbanking.html описы-
вается сложное фишинговое письмо, в котором использовался легитимный бинарный
файл цифровой подписи компании «VMware».
и
сслеДование

скомпрометированной

системы

в

гибриДном

облаке

В этом сценарии скомпрометированная система будет расположена локально,
а у компании есть облачная система мониторинга, в данном примере – Azure
Security Center. Чтобы показать, каким образом сценарий с гибридным обла-
ком может быть похож на предыдущий, мы будем использовать тот же случай,
что и ранее. Пользователь получил фишинговое письмо, нажал на гиперссылку,
и его компьютер был скомпрометирован. Разница теперь состоит в том, что су-
ществует активный сенсор, осуществляющий мониторинг системы. Он выдаст
оповещение для SecOps, и с пользователем свяжутся. Пользователям не нужно
ждать несколько дней, чтобы понять, что их компьютер скомпрометировали.
Ответ в данном случае более быстрый и точный.
У инженера SecOps есть доступ к панели мониторинга Центра безопасности.
Когда создается оповещение, она показывает флаг
NEW, помимо имени опо-
вещения. Инженер также заметил, что был создан новый инцидент в области
безопасности, как показано на рис. 13.8.
Как упоминалось в главе 11 «Активные сенсоры», инцидент в Azure Security
Center представляет собой два или более оповещений, которые взаимосвяза-
ны. Другими словами, они являются частью одной и той же кампании, направ-
ленной против системы, выбранной в качестве цели. Кликнув мышью на этот
инцидент, инженер SecOps заметил следующие предупреждения (рис. 13.9).

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 212 213 214 215 216 217 218 219 ... 272