Kaspersky Unified Monitoring and Analysis Platform

Условия возникновения инцидента

Параметры компьютера (далее также "актива"), на котором произошел инцидент:

  • ОС актива – Windows 10.
  • Программное обеспечение актива – Kaspersky Administration Kit, Kaspersky Endpoint Security.

Параметры KUMA:

  • Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
  • Установлены правила корреляции SOC_package из комплекта поставки программы.

Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:

  1. Скачал вредоносный файл со своего сервера.
  2. Выполнил команду для создания ключа реестра в ветви \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  3. Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
  4. Очистил журнал событий безопасности Windows.
  5. Завершил сессию.