PC
Size: a a a
2018 May 09
PC
типа ин зе вайлд встречается
D
а разве то что встречается в ITW сразу обладает предензией на advanced ? скорее просто стабильно работало и выполняло свои задачи - вот и все
PC
просто хочу разницу понять, между "ручками запуск пауэршельного скрипта" или запуск через такую прокладку
D
сущности, последовательность действий, поведение системы, оставление слеов в разных журналах логирования, наличие и отсуствие детектов у средст защиты на тот и другой подход
D
средство защиты может знать и контролировать 10 способов запуска PS скриптов, а ты 11
PC
спасибо
D
не за что
AS
объясните плз, в чем смысл вот таких техник? https://github.com/redcanaryco/atomic-red-team/blob/master/Windows/Execution/CMSTP.md
Ну то есть я понимаю, что это надо, для того чтобы "условно доверенный процесс" стартанул какой-то код, но разве это не будет точно так же палиться как и прямой запуск кода, типа создался чайлд процесс с вредоносом?
Ну то есть я понимаю, что это надо, для того чтобы "условно доверенный процесс" стартанул какой-то код, но разве это не будет точно так же палиться как и прямой запуск кода, типа создался чайлд процесс с вредоносом?
Да таких методов много
AS
Суть в том, что ав их плохо ловят
AS
Там еще вариантов до кучи с mshtml или недавно было с mavinject
AS
Повершеллы все уже боятся как и vbs и типа могут просто нафиг блочить
AS
А такие вещи проходят чаще и стабильнее
PC
разве аверы не должны такое эвристикой ловить? не, я понимаю что может и должны, но не ловят)
AS
У ав сложности... как бы там же все эти запуски это фичи и дизайн)
AS
Щас это ловят именно средствами едр
AS
Типа сисмона или карбонблек
2018 May 12
V
кто нибудь пользовался адаптером на базе Atheros AR9271?
V
AR9271L
G
полагаю, большинство им так или иначе пользовалось, даже не задаваясь вопросом что там за чип