постоянные вредоносные программыОдной из наиболее распространенных угроз сегодня, с которой сталкиваются как организации, так и отдельные лица, является использование программ-вымогателей. В 2021 году 37% организаций заявили, что стали жертвами какого-то вида атаки вымогателей. Программы-вымогатели могут практически мгновенно сделать недоступными большие объемы важных данных. Это делает реагирование на потенциальные события вымогателей своевременным и точным чрезвычайно важным. Использование средства защиты конечных точек имеет решающее значение для снижения уровня этих угроз. Тем не менее, важно сохранять бдительность и ситуационную осведомленность при устранении этих угроз, а не полагаться исключительно на одну часть информации при проведении анализа. Дополнительная информация доступна вот здесь

Группа аналитиков AT&T Managed Extended Detection and Response (MXDR) получила аварийный сигнал о том, что SentinelOne обнаружил программы-вымогатели на активах клиента. Журналы предполагают, что угроза была автоматически помещена в карантин, но дальнейший анализ показывает, что что-то более зловещее уже было. Один и тот же вредоносный исполняемый файл был обнаружен на этом активе дважды, оба раза, как сообщается, автоматически помещался в карантин. Этот тип постоянного вредоносного ПО может быть индикатором более глубокой инфекции, такой как руткит. После более глубокого анализа и совместной работы с клиентом было принято решение поместить актив в карантин и отключить питание, а также заменить его полностью из-за этой постоянной вредоносной программы.

Подписывайтесь на нас ВКОНТАКТЕ


Расследование

Первоначальный анализ аварийных сигналов

Показатели компромисса (МОК)

Первоначальный аварийный сигнал SentinelOne предупредил нас о исполняемом файле «mssecsvc.exe»:

Постоянное вредоносное ПО IoC

Имя исполняемого файла, а также путь к файлу искусно созданы для имитации законной программы Windows.

Расширенное расследование

Поиск событий

События поиска хэша файла выявили, что он неоднократно обнаруживался на одном и том же активе за последние 2 недели. В каждом экземпляре журнал событий сообщает, что исполняемый файл автоматически помещается в карантин SentinelOne.

Постоянные события вредоносных программ

Кроме того, поиск в USM Anywhere выявил два предыдущих расследования, открытых для одного и того же исполняемого файла на одном и том же активе. В обоих предыдущих расследованиях клиент отметил, что SentinelOne автоматически поместил файл в карантин, но не предпринял никаких дальнейших действий в отношении актива.

Для того, чтобы не попасть в этот «послужной» отчёт, нужно вовремя задуматься над своей безопасностью в сети. Например, купив пару-тройку прокси для своего сервера в официальном магазине shopproxy.net.


Читайте также:

Нет комментариев

Оставить комментарий

Регистрация или вход через : 

©2022 Материалы представленные на kyk.su взяты из открытых источников с активной ссылкой на материал и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам и если Вы обнаружили материалы, которые нарушают авторские права, принадлежащие Вам, Вашей компании или организации, сообщите нам.

*Администрация сайта не несет ответственности за содержание материала *Копирование материала разрешено только с обратной активной ссылкой.

Введите данные:

Forgot your details?