10-14-2022, 09:03 PM
Kao izazov vidim da napadi postaju sve sofisticiraniji i da ih jednostavno na mreznom nivou sve teze mozemo detektovati i spreciti, i to zato sto:
Ovo pisem jel smo imali na poslu slican slucaj gde znamo da odredjeni sajt ima ozbiljne propuste i po poseti istog XDR detektuje u nekim slucajevima inficiran kes web browser-a i klasifikuje detektovan maliciozni kod i karantinira ga.
Medjutim, poluautomatskim ispitivanjem svih fajlova (HTML, CSS, JS, slike...) koji se preuzimaju sa sajta tokom posete nije detektovan ni jedan maliciozni ni na VirusTotalu ni na klijentskom AV-u.
Sav mrezni saobracaj iz SandBox VM-a u opliku .pcap fajla je analiziran pomocu Snort, Zeek i Suricata-e IPS/IDS engine-a i nije pronadjeno nista u vise navrata (sa razlicitim softverima u VM kako bi eventualno zavarali ili trigerovali izvrsavanje potencijalnog trojanca sa sajta).
Pa eto teme za razmisljanje kako bi ste vi mozda se unapred bolje spremili za ispitivanje i odgovor ili zastitu u slicnim situacijama.
Moj zakljucak je da je danas XDR obavezan kao sto je i Antivirus obavezan na radnim stanicama.
- napadaci mogu da koriste QUIC i slicne da zaobidju DeepPacketInspection metode NG Firewall-a,
- Code Obfuscation i slicna sakrivanja ili sifrovanja payload-a kako bi zeobisli i AV detekciju na samom hostu u prvi mah dok ne dodju na disk ili bar memoriju ako se radi o fileless malware-u,
- onda ostaje samo da imamo dobar EDR/XDR na hostu koji moze da detektuje neobicna poansanja i/ili prepozna MITRE ATT&CK® metode.
Ovo pisem jel smo imali na poslu slican slucaj gde znamo da odredjeni sajt ima ozbiljne propuste i po poseti istog XDR detektuje u nekim slucajevima inficiran kes web browser-a i klasifikuje detektovan maliciozni kod i karantinira ga.
Medjutim, poluautomatskim ispitivanjem svih fajlova (HTML, CSS, JS, slike...) koji se preuzimaju sa sajta tokom posete nije detektovan ni jedan maliciozni ni na VirusTotalu ni na klijentskom AV-u.
Sav mrezni saobracaj iz SandBox VM-a u opliku .pcap fajla je analiziran pomocu Snort, Zeek i Suricata-e IPS/IDS engine-a i nije pronadjeno nista u vise navrata (sa razlicitim softverima u VM kako bi eventualno zavarali ili trigerovali izvrsavanje potencijalnog trojanca sa sajta).
Pa eto teme za razmisljanje kako bi ste vi mozda se unapred bolje spremili za ispitivanje i odgovor ili zastitu u slicnim situacijama.
Moj zakljucak je da je danas XDR obavezan kao sto je i Antivirus obavezan na radnim stanicama.