How to become an author
Search
Write a publication
Pull to refresh

Comments 8

До сих пор так делают? ставят .pdf в название exe файла?

This comment wasn’t rated yet0

Как видите, бывает и такое 🙂

Примеры кибератак с использованием двойного расширения можете также посмотреть в матрице MITRE ATT&CK, а еще в отчете коллег.

This comment wasn’t rated yet0

"В коде мы заметили известные приемы обхода средств защиты " почему нельзя задокументировать приемы обхода средств защиты по аналогии с матрицей техник MITRE ATT&CK чтобы средства защиты гарантированно на эти приемы реагировали, приемов же ведь не бесконечное количество? или бесконечное количество реализаций этих приёмов и поэтому хоть эти приемы и известны, но из-за новой реализации они не детектятся с помощью СЗИ?

This comment wasn’t rated yet0

В статье обсуждается поведенческий анализ. Перечисленные техники, кроме многократного вызова RegCloseKey, затрудняют статический анализ. Для их обнаружения подойдет, например, сигнатурный детект, а это совсем другая история)

Многократный вызов RegCloseKey может создать проблемы для динамического анализа файлов в отладчике или с помощью apimon-а. Для решений класса EDR это не проблема.

This comment wasn’t rated yet0

sha1, надеюсь, есть у этого файла?

This comment wasn’t rated yet0

А почему он 200 рублей стоит, не увидел?)

This comment wasn’t rated yet0

Привет! О его низкой стоимости упоминалось во многих статьях, например, в самом начале есть ссылка на материал на SecurityLab.

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr