HT
Полагаю имелись ввиду не аномалии вида «много трафика» и т.п., а детектирование всяких удаленных созданий задач планировщика, пайпы всяких кобальтов, psexec, crackmapexec и тп
В зашифрованном smbv3 трафике увы этого не увидеть
Size: a a a
2020 February 11
RI
Теймур, ну мы же понимаем, что во-первых, злоумышленник это может обфусцировать в самом ps-скрипте
HT
Stealthwatch тут тоже не особо поможет
RI
Во-вторых, как ты правильно написал, в v3 это тоже не особо поможет
JD
Ruslan Ivanov
Теймур, ну мы же понимаем, что во-первых, злоумышленник это может обфусцировать в самом ps-скрипте
может, но скорее всего не будет
HT
может, но скорее всего не будет
Даже если обфусцирует, техника остается не изменной
RI
Stealthwatch тут тоже не особо поможет
Ну если это аномальное обращение - как минимум покажет. Ну и записи flow для расследования будут хотя бы
HT
Дроп бинаря в admin$ с последующим обращением к пайпу svcctl доя установки скопированного файла в качестве сервиса
RI
Даже если обфусцирует, техника остается не изменной
Поведенческая
RI
Теймур про это
JD
В зашифрованном smbv3 трафике увы этого не увидеть
вот. и тут собственно делема. что выбрать: защиту от того что на Wi-Fi кто-то включить неразборчивый режим и будет слушать ходит в трафике или видеть горизонтальное перемещение на ids
HT
Ruslan Ivanov
Поведенческая
Нет :) технику обфусцировать весьма нетривиально ) так практически не делают
RI
Как-то всё в кучу
RI
Нет :) технику обфусцировать весьма нетривиально ) так практически не делают
Я не обфускацию, я как раз про поведенческие детекты
HT
Ruslan Ivanov
Ну если это аномальное обращение - как минимум покажет. Ну и записи flow для расследования будут хотя бы
Можно увидеть много smb трафика межлу рабочими станциями, это бесспорно
JD
Нет :) технику обфусцировать весьма нетривиально ) так практически не делают
возможно решение в том чтобы покрыть все детектами на хостах
HT
Ruslan Ivanov
Я не обфускацию, я как раз про поведенческие детекты
Не пойму тебя. Можешь пояснить?
JD
Ruslan Ivanov
Как-то всё в кучу
я чуть запутался. что в кучу?
$
я чуть запутался. что в кучу?
Это они с Теймуром рассуждают)))
У них все в кучу.
Один силён в хостовых детектах, второй в сетевых.
Сейчас о точках отсчета договорятся и разберут кучу (наверное) :)
У них все в кучу.
Один силён в хостовых детектах, второй в сетевых.
Сейчас о точках отсчета договорятся и разберут кучу (наверное) :)
RI
Можно увидеть много smb трафика межлу рабочими станциями, это бесспорно
Я вообще сторонник того, чтобы между рабочими станциями в нормальном режиме его не было. Да и к серверам - это тоже скорее устаревшая технология