Условия возникновения инцидента
Параметры компьютера (далее также "актива"), на котором произошел инцидент:
- ОС актива – Windows 10.
- Программное обеспечение актива – Kaspersky Administration Kit, Kaspersky Endpoint Security.
Параметры KUMA:
- Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
- Установлены правила корреляции SOC_package из комплекта поставки программы.
Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:
- Скачал вредоносный файл со своего сервера.
- Выполнил команду для создания ключа реестра в ветви
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. - Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
- Очистил журнал событий безопасности Windows.
- Завершил сессию.
В начало