Привет спецам и просто прохожим! Хочется спросить совета в непростой ситуации. Дело в хакерской атаке через легитимные сервисы обновлений, а также заливку руткитов на мой комп и превразение всего ИТ зоопарка в доме в мутантов с оверлейным интерфесом и круглосуточной выгрузкой данных, фото звуков и тд в блобы на Windows Azure. Логов собрано миллион. Утилиты все подменяются на лету, уровень укоренения а-ля Fancybear Rweverything.exe и т.д. Я конечно по уровню пенетрации военного масштаба понимаю что копаются среди моих железок люди структурные, но вопрос к тем кто сталкивался с подобным зверством. Это вообще законно по меркам РФ? Долго ли можно раскапывать снимки форензики, зачем то они еще и берут админ. контроль с полной выгрузкой винддовых журналов и телеметрии. Забыл упомянуть суть вектора атаки и взятия под контроль устройства. Сначала была осущеситвелена MITM атака насколько я понял, потом укоренение в uefi затем подмена 67% windows panther и assembly библиотек и манифестов, как узналось позже изи MDM шаблона развертки с последующим многовекторным обновлением задач планировщика и защитника для обновления и деплоймента с azure cdn и с обменом wmi и etl данных компа по выборке
П.с в сети лежит любопытный документ методик сбора подобной инфы, прикрепил для наглядности, но в сравнении с моим случаем это лайтовые забугорные лоады а не девайс террор.
Немного скринов все таки положу для интереса общественности
П.с в сети лежит любопытный документ методик сбора подобной инфы, прикрепил для наглядности, но в сравнении с моим случаем это лайтовые забугорные лоады а не девайс террор.
Немного скринов все таки положу для интереса общественности
Вложения
Последнее редактирование модератором: