From ac8e71677485394123ab6c278402630c07fe686c Mon Sep 17 00:00:00 2001 From: Marat Kharitonov Date: Wed, 27 Mar 2024 16:10:00 -0400 Subject: [PATCH] 02-logs better --- 01-main/02-monitoring/02-logs/README.md | 5 ++--- 1 file changed, 2 insertions(+), 3 deletions(-) diff --git a/01-main/02-monitoring/02-logs/README.md b/01-main/02-monitoring/02-logs/README.md index 56e71a0..2a62f9d 100644 --- a/01-main/02-monitoring/02-logs/README.md +++ b/01-main/02-monitoring/02-logs/README.md @@ -394,10 +394,9 @@ После этого пользователь открыл вредоносный документ, разрешил взаимодействие с ним и дополнительно разрешил выполнение макросов. Через 17 секунд пользователь окончательно усыпил бдительность и пошёл смотреть тик-токи перед сном. На следующий день пользователь обнаружил, что имеет проблему. -Вероятнее всего в документе содержался зловред, вероятно, бьющий файлы на диске. +Вероятнее всего в документе содержался зловред бьющий файлы на диске или же шифрующий их. Механизм был активирован в тот момент, когда пользователь разрешил исполнение макросов в документе. Также мы заметили большое количество подключений по RDP с разных источников, в том числе ботнетов, замеченных в брутфорсах RDP. С данной проблемой связи это не имеет. -В дальнейшем стоит использовать антивирус, который имеет возможность ограничения его доступа (или же групповые политики Windows) запретить выполнение макросов в Office и настроить ограничение сетевого доступа с помощью межсетевого экрана (используя UTM с прокси сервером в составе, мы также получим возможность заблокировать пользователю возможность смотреть тик-токи на рабочем месте, чтобы не расслаблялся). - +В дальнейшем стоит использовать антивирус, который имеет возможность ограничения его отключения или добавления исключений. (или же групповые политики Windows) запретить выполнение макросов в Office и настроить ограничение сетевого доступа с помощью межсетевого экрана (используя UTM с прокси сервером в составе, мы также получим возможность заблокировать пользователю возможность смотреть тик-токи на рабочем месте, чтобы не расслаблялся). **Выполнил:** Харитонов Марат Русланович, М235314 \ No newline at end of file