S
подскажите, где-то можно взять демо видео из вебинара про выявление сетевых аномалий при удаленной работе?
Size: a a a
2020 May 23
2020 May 25
Z
Ребята,а в планах есть удаление/изменение правила Copy_mimikatz_to_share ?
Z
я когда на него случайно попадаю - начинаю плакать и долго не могу остановиться
Z
хоть в KB не заходи
AT
Привет, @i_zer0way
Расскажи подробнее
Расскажи подробнее
Z
Привет, @i_zer0way
Расскажи подробнее
Расскажи подробнее
Привет Антон
Z
and find_substr(lower(datafield4), "mimikatz.exe") != null
Z
это единственное что ищет правило
Z
из имён файлов
Z
бинарь мы можем переименовать как угодно. лично я видел в составе малвари mimi.exe
Z
с mimidrv.sys и mimilib.dll сложнее дело будет
Z
ну и если оно скачено с того же гитхаба, то имя архива со всем добром mimikatz_trunk.zip
Z
понятно что тут обнаружение так себе
Z
но это чуть больше чем просто mimikatz.exe
Z
ну и object.name == "\\\\*\\C$" смущает)
AT
Справедливо, Денис
Возьмем в работу, чтобы улучшить детект
Возьмем в работу, чтобы улучшить детект
Z
спасибо
v
Ну всё парни! Нам хана!
A
сам виноват
A
сам пригласил)