Вам угрожает NETSRVC32.EXE

1. Однажды Оксана искала в интернете программу, чтобы взломать «Вкомпакте» (социальную сеть для замкнутых и ограниченных) своего бывшего. Довольно скоро она нашла нужную утилиту, которая работала простым перебором. Разумеется, у нее ничего не получилось — от таких атак все социальные сети давно защищены. Спустя некоторое время оказалось, что уже сама Оксана не может зайти в свой «Вкомпакт» — каждая попытка перенаправляла ее снова на страницу входа. Оказалось, она попалась на фишинг и ее данные утекли к авторам фишингового сайта. Какие действия Оксане необходимо выполнить в первую очередь?

2. На почту Сергею пришло письмо с судебным извещением. Прикрепленный файл имел расширение .doc, поэтому не вызвал никакого подозрения, и Сергей полез читать, кто и за что с ним судится. Документ оказался пустым, поэтому Сергей просто закрыл его. На следующий день компьютер Сергея начал тормозить, скорость загрузки страниц в интернете тоже сильно упала. Сергей повозился с компьютером, проделал ряд манипуляций и в конце концов смог снизить нагрузку. После этого просканировал компьютер и обнаружил, что у него на компе стоит программа для майнинга. Какое из приведенных ниже действий вероятнее всего помогло снизить нагрузку на систему?

3. Сотруднику отдела продаж ООО «Моя оборона» на корпоративную почту пришло письмо, в котором излагалось желание некоего заказчика купить у компании ее последний фонарик (компания, среди прочего, занимается торговлей фонарями). Детали запроса (Request for Proposal) предлагалось получить путем перехода по гиперссылке hxxp://enixgaming[.]de/s134ipk/rfp[.]html, включенной в тело письма. При доступе к указанному в теле письма URL-адресу браузер Internet Explorer выдал следующее уведомление, требующее от пользователя принятия решения. Какой вариант стоит выбрать?

1. Да ничего страшного, вероятно, на странице будут отображаться активные компоненты — кнопочки, менюшки, анимашки...
2. Нет. Что-то тут не так, ну их, таких заказчиков

Правильно!

Разрешение на использование компонентов ActiveX в браузере Internet Explorer позволяет JavaScript’ам, выполняющимся в контексте браузера IE, осуществлять доступ к объектам операционной системы, в том числе загружать на нее исполняемые файлы и запускать их. В частности, доступ к указанному в письме ресурсу приводил к загрузке и запуску на системе вредоносного объекта семейства Trojan-Ransom.Win32.Locky.

Неправильно!

Разрешение на использование компонентов ActiveX в браузере Internet Explorer позволяет JavaScript’ам, выполняющимся в контексте браузера IE, осуществлять доступ к объектам операционной системы, в том числе загружать на нее исполняемые файлы и запускать их. В частности, доступ к указанному в письме ресурсу приводил к загрузке и запуску на системе вредоносного объекта семейства Trojan-Ransom.Win32.Locky.

4. Система обнаружения вторжений (IDS), установленная на периметре корпоративной сети компании «Кибердайн системы», фиксирует систематические обращения одного из хостов сети к вредоносному ресурсу. Метаданные, связанные с детектирующей логикой, содержат индикаторы компрометации системы (IOC): имена файлов, хэши, ключи реестра, url-адреса серверов управления и другие, позволяющие аналитику быстро локализовать и устранить вредоносную активность на выявленной системе. В процессе исследования потенциально скомпрометированной Windows-системы аналитик не обнаруживает ни одного индикатора компрометации. Какой класс вредоносного ПО может функционировать в системе, усложняя работу аналитика?

5. На компьютере главного бухгалтера компании «Кибердайн системы» в результате действий злоумышленника с ОС Windows 7 появилась возможность вызова консоли прямо на экране входа. В результате злоумышленник мог входить в систему без пароля. После анализа системы киберкриминалистами оказалось, что преступник подменил в системе всего один файл. Какой?

6. Сотрудник компании «Омникорпорация добра» подключал к своему компьютеру USB-модем с публичным статическим IP-адресом. К системе было разрешено подключение по протоколу RDP (Remote Desktop Protocol) — вероятно, сотрудник предпочитал работать из дома в обход внутренней политики компании по информационной безопасности. В день X злоумышленники bruteforce-атакой (перебор по словарю) подобрали пароль локального администратора системы и получили к ней несанкционированный удаленный доступ. В ходе дальнейшего развития атаки была скомпрометирована учетная запись администратора домена. Злоумышленники хотели заняться вымогательством денег у своих жертв. Для осуществления своих планов они зашифровали утилитой gpupg на открытом ключе размером 2048б ряд критически важных баз данных на Windows-серверах. Исходные данные были удалены. Наличие какой технологии ОС Windows позволит (не всегда/частично) восстановить данные?

7. В результате первичной компрометации сети компании «Кибердайн системы» на критически важные Windows-сервера компании был внедрен исполняемый модуль ПО «WinExe». Он позволил удаленно запускать на скомпрометированной системе произвольный исполняемый файл. Для локализации и устранения инцидента необходимо:

8. У компании «Омникорпорация добра» возникли подозрения, что с некоторой системы X под управлением ОС Windows 8 утекает конфиденциальная информация. Специалисту по расследованию инцидентов был предоставлен образ диска системы X. В ходе исследования аналитик обнаружил подозрительный исполняемый файл «C:\Windows\System32\netsrvc32.exe», позволяющий по команде с управляющего сервера AA.BB.CC.DD читать любой файл на скомпрометированной системе и передавать его содержимое на управляющий сервер. На основании данных какого файла с предоставленного образа диска аналитик может попробовать подтвердить использование обнаруженного файла netsrvc32.exe для несанкционированного доступа к информации, а именно установить, какая информация была передана на управляющий сервер злоумышленников AA.BB.CC.DD?