Z
Что там интересного?
может человек не видел пайлоад в hta)
Size: a a a
2019 November 22
$
Что там интересного?
Ничего. Банальщина кривоописанная
к
может человек не видел пайлоад в hta)
дело в том что HTA отличает от обычного HTML 1 дерективой. при этом стандартные средства самозащиты "из коробки" перестают работать.
$
дело в том что HTA отличает от обычного HTML 1 дерективой. при этом стандартные средства самозащиты "из коробки" перестают работать.
Ровно до тех пор пока не стоит запрета на получение hta, так же как exe и т.д.
$
Поэтому первой нашей рекомендацией будет регистрация подобных файлов на жестких дисках и в вашей локальной сети.
$
Делать это можно следующими способами:
На базе IDS
На базе IDS
alert tcp $External_net any -> $Home_net any (msg:"Dowload HTA File from External networks, posible exploit"; flow:to_client,established; content:"<hta:application"; nocase; classtype:misc-activity; sid:40000;rev:1)$
Как алерт влияет на «регистрацию»?Боже, слово-то какое - что хоть значит-то?
Если это просто в логи - то зачем пускать эту (возможную) дрянь вообще во внутрь?
Если это просто в логи - то зачем пускать эту (возможную) дрянь вообще во внутрь?
$
Ладно, больше не буду спамить. Статья прекрасна
к
Как алерт влияет на «регистрацию»?Боже, слово-то какое - что хоть значит-то?
Если это просто в логи - то зачем пускать эту (возможную) дрянь вообще во внутрь?
Если это просто в логи - то зачем пускать эту (возможную) дрянь вообще во внутрь?
Полностью запретить HTA не всегда получиться. Они часто где используются.
$
Полностью запретить HTA не всегда получиться. Они часто где используются.
Окей - песочница, облачное хранилище и тд
A
Ладно, больше не буду спамить. Статья прекрасна
Вот! А ты говоришь, у ИЗ Сока нет! А там даже пишут, чегото
к
Песочница хорошо, если она есть.
$
Alexey
Вот! А ты говоришь, у ИЗ Сока нет! А там даже пишут, чегото
Я этого не говорил
$
Песочница хорошо, если она есть.
Окей, как Алерты защитят инфраструктуру?
RI
Песочница хорошо, если она есть.
Мы точно про SOC говорим? Или центр мониторинга?
A
Я этого не говорил
Скоро будут и вот так писать https://ironnet.com/blog/a-glimpse-into-glimpse/
к
Ruslan Ivanov
Мы точно про SOC говорим? Или центр мониторинга?
хорошо когда всё что попадает в сеть проходит песочницы, но вот только это не всегда так.
$
хорошо когда всё что попадает в сеть проходит песочницы, но вот только это не всегда так.
Можно выгрузить на сервак и транслировать содержимое оттуда.
Или вычищать теги на входе
Или вычищать теги на входе
к
в идеале у нас для запуска и установки ПО не должно прав хватить, только реальность говорит о обратном. ну и 17 год показал что даже экранов не установлено. а мы про песочници
AL
2020?😳
Это кандидаты на награду