DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Habrahabr
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.
Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:
Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
Пользователи обнаруживали, что их учетная запись заблокирована.
Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.

Читать дальше →