Может после неудачной попытки следы замели сразу конечно... Как сейчас

вообще принято у них? Явно же RAT какой то был

cryptocurrency russian codeby

23 ответов

На хабре недавно была статья про вредонос с таким функционалом

_track2 [GiN]- Автор вопроса
Тов.Майор
На хабре недавно была статья про вредонос с таким ...

Там похоже RAT был, бух говорит на полторы-две минуты подвисло все, скорей всего руками вбивали меняли, демонстрируя при этом скрин

_track2 [GiN]- Автор вопроса
📞
Wireshark смотрел?

нет, по быстрому в наиболее вероятных местах посмотрел +netstat с сопоставлением с процессами пробежался

📞
Wireshark смотрел?

А что он покажет?. Это надо снова в ту ситуацию попасть и чтоб шарк был включён

Mikhail
А что он покажет?. Это надо снова в ту ситуацию по...

Так если он по дефолту висит и не удалился, полюбому покажет пакеты?

_track2 [GiN]- Автор вопроса
📞
Так если он по дефолту висит и не удалился, полюбо...

он бы и нетстатом показал соединения. Либо входящие слушает (что вряд ли сегодня), либо инициирует... ngrok какой нибудь

📞
Так если он по дефолту висит и не удалился, полюбо...

Не. У бухов каждый день операции, злоумышленники сначала смотрят, изучают, а потом делают среди общей массы свой платёж.

Mikhail
Не. У бухов каждый день операции, злоумышленники с...

Ну как то они проникли в систему. Или кобальт, если так без ничего и в оперативке. Или удаленная уязвимость? Это ж еще сообразить надо, где гарантии что они не висели и не смотрели, ждали момента? Через какой ни будь HVNC?)

_track2 [GiN]- Автор вопроса
📞
Ну как то они проникли в систему. Или кобальт, есл...

нужно смотреть, что то должно быть. я сказал, что может не быть условной файла "вирус" в папке temp

Mikhail
нужно смотреть, что то должно быть. я сказал, что ...

Ааа, да я не спорю, я ж не так сильно силён))) интересно рассуждение , на эту тему, ситуация то интересная

_track2 [GiN]- Автор вопроса
Mikhail
нужно смотреть, что то должно быть. я сказал, что ...

про бесфайловое хранение в мае была тема, честно говоря посчитал это экзотикой какой то... Неужели явление не такое и редкое?

_track2 [GiN]
про бесфайловое хранение в мае была тема, честно г...

Если не обнаружишь, можешь ханипот сделать? Повторить ситуацию, что бы к примеру будут какие то подозрения что зловреды есть. Пусть меняют, только поставить какой ни будь mitmproxy и слушать трафик?

_track2 [GiN]- Автор вопроса
📞
Если не обнаружишь, можешь ханипот сделать? Повтор...

вряд ли кто после фейла повторно сунется в здравом уме... Я думаю диск прогнать софтом для восстановления файлов (все же пока версию с зловредом в RAM оставлю на закуску) и посмотреть, что было удалено в период, когда их спалили?

_track2 [GiN]
вряд ли кто после фейла повторно сунется в здравом...

Посмотри материалы от тех же грибов касательно подготовке техники для анализа на киберпреступления.

_track2 [GiN]- Автор вопроса
Mikhail
Посмотри материалы от тех же грибов касательно под...

спасибо, обязательно... Тема интересная и важная

Похожие вопросы