МАЛВАРЬ в Linux / APT атакует энергосистемы / ТРОЯН в Android атакует / уловки против EDR / 4

Самое время поговорить об актуальном вредоносном ПО вместе с Алексеем Вишняковым, экспертом Standoff 365, Positive Technologies.

00:00 Приветствие
00:15 Дроппер SecuriDropper для Android, который используется для доставки ВПО и обходит защитную функцию Restricted Settings, появившуюся в Android начиная с версии 13. Детектируется сетевой песочницей PT Sandbox (https://clck.ru/33gG9K)
01:44 Змеиные уловки против EDR: использование легитимных, но уязвимых драйверов, которые позволяют выполнить какие-то действия в ядре по своей задумке
04:15 Обсудим новый метод кражи NTLM-токенов в Microsoft Access. Характерная черта такой атаки — использование нестандартных портов, что поможет отличить нелегитимные попытки от легитимных. И песочница PT Sandbox (https://clck.ru/33gG9K) может помочь в решении такой задачи.
08:00 Sandworm атакует энергосистемы с помощью модифицированных вебшеллов, захватывает гипервизор и получает доступ к промышленному контуру. Регулярная проверка контента такими СЗИ как PT Sandbox (https://clck.ru/33gG9K) и MaxPatrol EDR (https://clck.ru/35xkgh) позволяет выявить факт компрометации инфраструктура на ранних стадиях, и предотвратить развитие атаки.
10:16 PAMалварное закрепление в Linux: разберем подборку вредоносов из мира Linux, которые используют нестандартную технику закрепления в системе с помощью модулей аутентификации (pluggable authentication module — PAM). Для защиты используйте PT Sandbox (https://clck.ru/33gG9K) и MaxPatrol EDR (https://clck.ru/35xkgh)