Professional Documents
Culture Documents
сіем компексна лаба
сіем компексна лаба
SIEM системи
ЗВІТ
Київ, 2023
Метою комплексної лабораторної роботи є закріплення отриманих
знань, розвиток умінь та навичок щодо:
здійснення аналітичної роботи по дослідженню інцидентів (визначення
цілей, характерних часових показників, інструментарію, який застосовувався,
та його можливостей, уразливостей інформаційних систем, які
експлуатувалися тощо);
здійснення адміністрування SIEM-системи (за результатами проведеної
аналітичної роботи) шляхом створення відповідних кореляційних правил
механізму користувальницьких правил даної системи;
Завдання:
вибрати один із останніх кіберінцидентів та дослідити причини, які
призвели до його успішності (індикатори кіберзагроз – показники (технічні
дані), що використовуються для виявлення та реагування на кіберзагрози);
за кожним результатом аналізу конкретного кіберінциденту,
використовуючи можливості системи IBM QRadar SIEM, розробити
кореляційні правила та втілити їх у систему.
Програма-Вимагач AvosLocker
Як послуга (RaaS)
AvosLocker — це афілійована група програми-вимагача як послуги
(RaaS), яка націлена на жертв у багатьох секторах критичної інфраструктури
в Сполучених Штатах, включаючи, але не обмежуючись, сектора фінансових
послуг, критичного виробництва та державних установ.
Що сталося?
Вперше це було помічено в середині 2021 року, коли зловмисники
використовували спам-кампанії електронної пошти як початкові вектори
зараження для доставки програм-вимагачів.
AvosLocker стверджує, що безпосередньо веде переговори про викуп, а
також публікує та розміщує викрадені дані жертв після того, як їхні філії
заражають цілі.
У результаті індикатори компрометації (IOC) AvosLocker відрізняються
між індикаторами, характерними для зловмисного програмного забезпечення
AvosLocker, і індикаторами, характерними для окремої філії, відповідальної
за вторгнення.
Як і будь-яке інше програмне забезпечення-вимагач, AvosLocker
шифрує файли на комп’ютері жертви та перейменовує їх із розширенням
[ім’я] та .avos у середовищі Windows, у середовищі Linux — «.avoslinux».
Потім зловмисники залишають певний тип повідомлення на сервері-
жертві та містять посилання на певний тип платежу або посилання на
платіжний сайт AvosLocker .onion.
Ви отримаєте повні інструкції щодо того, як сплатити викуп, у деяких
ситуаціях вам навіть може зателефонувати зловмисник і вказати, як
заплатити йому гроші за відновлення ваших файлів.
Джерело: https://purplesec.us/security-insights/avoslocker-ransomware/