Dom Zdravlja Novi Sad - dzns.rs - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html) +--- Thread: Dom Zdravlja Novi Sad - dzns.rs (/thread-133.html)

Dom Zdravlja Novi Sad - dzns.rs - Petar - 10-12-2022 Pozdrav. Prijavljujem sajt dzns.rs za koji sam saznao pre skoro mesec dana da je najverovatnije hakovan pa zarazen. Uocio sam ovo prvi put u firmi gde je XDR resenje pocelo da rpijavljuje odlaske zapsolenih na ovaj sajt sa HIGH alarmom Malware ID: JS/Inject.G4 https://www.virustotal.com/gui/domain/dzns.rs https://urlquery.net/report/65bc504f-9dbb-45c8-944a-52d7314fb413 RE: Dom Zdravlja Novi Sad - dzns.rs - y0d4 - 10-12-2022 si, jedan od indikatora, poslednja linija: wp-content/themes/dzns/assets/js/lib/cyrlatconverter_ignore_list_rs.js?ver=6.0.2 good catch, tnx! Arhivirano: archive.ph/j4rPT RE: Dom Zdravlja Novi Sad - dzns.rs - 1van - 10-12-2022 Neka je "poslednja linija" i ovde. RE: Dom Zdravlja Novi Sad - dzns.rs - maxxa - 10-14-2022 Inače pre ~mesec dana je bila samo poneka detekcija, VT/urlquery ništa, sada vidim i dva različita malware-a detektuje, dakle možda ima više grupa koje ga koriste tako je to sa neadekvatno setovanim wordpressom... RE: Dom Zdravlja Novi Sad - dzns.rs - Petar - 10-14-2022 Kao izazov vidim da napadi postaju sve sofisticiraniji i da ih jednostavno na mreznom nivou sve teze mozemo detektovati i spreciti, i to zato sto: napadaci mogu da koriste QUIC i slicne da zaobidju DeepPacketInspection metode NG Firewall-a, Code Obfuscation i slicna sakrivanja ili sifrovanja payload-a kako bi zeobisli i AV detekciju na samom hostu u prvi mah dok ne dodju na disk ili bar memoriju ako se radi o fileless malware-u, onda ostaje samo da imamo dobar EDR/XDR na hostu koji moze da detektuje neobicna poansanja i/ili prepozna MITRE ATT&CK® metode. Ovo pisem jel smo imali na poslu slican slucaj gde znamo da odredjeni sajt ima ozbiljne propuste i po poseti istog XDR detektuje u nekim slucajevima inficiran kes web browser-a i klasifikuje detektovan maliciozni kod i karantinira ga. Medjutim, poluautomatskim ispitivanjem svih fajlova (HTML, CSS, JS, slike...) koji se preuzimaju sa sajta tokom posete nije detektovan ni jedan maliciozni ni na VirusTotalu ni na klijentskom AV-u. Sav mrezni saobracaj iz SandBox VM-a u opliku .pcap fajla je analiziran pomocu Snort, Zeek i Suricata-e IPS/IDS engine-a i nije pronadjeno nista u vise navrata (sa razlicitim softverima u VM kako bi eventualno zavarali ili trigerovali izvrsavanje potencijalnog trojanca sa sajta). Pa eto teme za razmisljanje kako bi ste vi mozda se unapred bolje spremili za ispitivanje i odgovor ili zastitu u slicnim situacijama. Moj zakljucak je da je danas XDR obavezan kao sto je i Antivirus obavezan na radnim stanicama. RE: Dom Zdravlja Novi Sad - dzns.rs - 1van - 12-15-2023 IP: 95.216.66.15