Forensic analytics harassment intrussion

K

Kvantor

Привет спецам и просто прохожим! Хочется спросить совета в непростой ситуации. Дело в хакерской атаке через легитимные сервисы обновлений, а также заливку руткитов на мой комп и превразение всего ИТ зоопарка в доме в мутантов с оверлейным интерфесом и круглосуточной выгрузкой данных, фото звуков и тд в блобы на Windows Azure. Логов собрано миллион. Утилиты все подменяются на лету, уровень укоренения а-ля Fancybear Rweverything.exe и т.д. Я конечно по уровню пенетрации военного масштаба понимаю что копаются среди моих железок люди структурные, но вопрос к тем кто сталкивался с подобным зверством. Это вообще законно по меркам РФ? Долго ли можно раскапывать снимки форензики, зачем то они еще и берут админ. контроль с полной выгрузкой винддовых журналов и телеметрии. Забыл упомянуть суть вектора атаки и взятия под контроль устройства. Сначала была осущеситвелена MITM атака насколько я понял, потом укоренение в uefi затем подмена 67% windows panther и assembly библиотек и манифестов, как узналось позже изи MDM шаблона развертки с последующим многовекторным обновлением задач планировщика и защитника для обновления и деплоймента с azure cdn и с обменом wmi и etl данных компа по выборке
П.с в сети лежит любопытный документ методик сбора подобной инфы, прикрепил для наглядности, но в сравнении с моим случаем это лайтовые забугорные лоады а не девайс террор.

Немного скринов все таки положу для интереса общественности
 

Вложения

  • 1603.05369.pdf
    3,2 МБ · Просмотры: 417
  • Rkill.txt
    118,4 КБ · Просмотры: 646
  • Снимок экрана (2).png
    Снимок экрана (2).png
    561,8 КБ · Просмотры: 545
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!