$
Ребят, а можете а можете помочь проанализировать вредоносный док? По данным из virus total 13 срабатываний, но я не могу понять как он работает? за счет чего происходит выполнение кода?
Dde
Size: a a a
2020 April 23
$
Или тебе что-то более детальное?
JD
нет, достаточно. пойду разберусь как икстрактить dde и посмотрю что там происходит
JD
спс
JD
а есть у кого опыт внедрения хаденинга, типо того что описан тут? https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440
JD
Dde
а можешь подсказать как это лучше разверевсить? я взял oletools, там есть msodde - он говорит что dde линков в файле нет. mraptor говорит что там OLE
JD
----------+-----+----+--------------------------------------------------------
Result |Flags|Type|File
----------+-----+----+--------------------------------------------------------
SUSPICIOUS|A-X |OLE:|req_Form-507448.xls
Flags: A=AutoExec, W=Write, X=Execute
Exit code: 20 - SUSPICIOUS
Result |Flags|Type|File
----------+-----+----+--------------------------------------------------------
SUSPICIOUS|A-X |OLE:|req_Form-507448.xls
Flags: A=AutoExec, W=Write, X=Execute
Exit code: 20 - SUSPICIOUS
$
Я не реверсил. Я внимательно отчеты посмотрел
2020 April 24
MK
Переслано от Юля
Друзья, добрый день!
27 апреля в 14:00 (мск) приглашаем вас на бесплатный вебинар компании «Техносерв» «Новая методика моделирования угроз безопасности информации ФСТЭК России». Мы рассмотрим проект методики моделирования угроз безопасности информации, расскажем, что изменилось по сравнению с прошлыми методиками, каким образом нужно проводить моделирование угроз по новой методике, как процесс моделирования угроз организован сейчас и с какими проблемами сталкиваются сотрудники ИБ-служб. Кроме того, проведем детальный анализ каждого этапа моделирования угроз с примерами итоговых таблиц и выясним, что ждет индустрию ИБ после утверждения финального документа. После мероприятия всем участникам по запросу мы вышлем презентацию по теме вебинара!
Регистрация:https://bit.ly/2x7Ycja
27 апреля в 14:00 (мск) приглашаем вас на бесплатный вебинар компании «Техносерв» «Новая методика моделирования угроз безопасности информации ФСТЭК России». Мы рассмотрим проект методики моделирования угроз безопасности информации, расскажем, что изменилось по сравнению с прошлыми методиками, каким образом нужно проводить моделирование угроз по новой методике, как процесс моделирования угроз организован сейчас и с какими проблемами сталкиваются сотрудники ИБ-служб. Кроме того, проведем детальный анализ каждого этапа моделирования угроз с примерами итоговых таблиц и выясним, что ждет индустрию ИБ после утверждения финального документа. После мероприятия всем участникам по запросу мы вышлем презентацию по теме вебинара!
Регистрация:https://bit.ly/2x7Ycja
v
А Ты с администрацией согласовал?
$
А Ты с администрацией согласовал?
100% нет
MK
А Ты с администрацией согласовал?
надо было?
NA
Сразу видно, кто только недавно присоединился. Тут тоталитаризм... а ты пришел без маски и не в перчатках
yt
в день свадьбы моей дочери и без должного уважения (гладит котика)
EB
в день свадьбы моей дочери и без должного уважения (гладит котика)
В-)
PK
Порядок, основанный на правилах и вот это все
Д
Про право первой ночи забыли!!!
SF
Добрый день
Вопросик про wazuh, как сделать чтобы он кушал указанные мной логи?
В agent.conf прописан нужный лог, который каждые 10 секунд обновляется.
Wazuh-manager это принимает, но дальше archives.log дело не идет (да и тут данные сырые, никак не размечены).
Сделал вот так правило, проверил, должно парсить
Но alerts.json по прежнему пуст :(
Подскажите куда копать?
Вопросик про wazuh, как сделать чтобы он кушал указанные мной логи?
В agent.conf прописан нужный лог, который каждые 10 секунд обновляется.
Wazuh-manager это принимает, но дальше archives.log дело не идет (да и тут данные сырые, никак не размечены).
Сделал вот так правило, проверил, должно парсить
Но alerts.json по прежнему пуст :(
Подскажите куда копать?
JD
Добрый день
Вопросик про wazuh, как сделать чтобы он кушал указанные мной логи?
В agent.conf прописан нужный лог, который каждые 10 секунд обновляется.
Wazuh-manager это принимает, но дальше archives.log дело не идет (да и тут данные сырые, никак не размечены).
Сделал вот так правило, проверил, должно парсить
Но alerts.json по прежнему пуст :(
Подскажите куда копать?
Вопросик про wazuh, как сделать чтобы он кушал указанные мной логи?
В agent.conf прописан нужный лог, который каждые 10 секунд обновляется.
Wazuh-manager это принимает, но дальше archives.log дело не идет (да и тут данные сырые, никак не размечены).
Сделал вот так правило, проверил, должно парсить
Но alerts.json по прежнему пуст :(
Подскажите куда копать?
Дебажить надо поток.
1. Wazuh agent. Как то можно было посмотреть список логов, которые он будет мониторить
2. Wazuh-manager смотрим его логи, он может по какой-то причине отбрасывать
1. Wazuh agent. Как то можно было посмотреть список логов, которые он будет мониторить
2. Wazuh-manager смотрим его логи, он может по какой-то причине отбрасывать
SF
Дебажить надо поток.
1. Wazuh agent. Как то можно было посмотреть список логов, которые он будет мониторить
2. Wazuh-manager смотрим его логи, он может по какой-то причине отбрасывать
1. Wazuh agent. Как то можно было посмотреть список логов, которые он будет мониторить
2. Wazuh-manager смотрим его логи, он может по какой-то причине отбрасывать
Благодарю за ответ
Ну судя по всем с агентом все нормально, раз вижу его логи на manager
Логи wazuh-manager через journalctl смотреть или еще где-то лежат?
Ну судя по всем с агентом все нормально, раз вижу его логи на manager
Логи wazuh-manager через journalctl смотреть или еще где-то лежат?