Пожалуй, начну сегодня с небольшого ликбеза. Знаешь ли ты тако | T.Hunter

Пожалуй, начну сегодня с небольшого ликбеза. Знаешь ли ты такой термин, как IOC? В народе безопасников так обозначается индикатор компрометации. IOC — это сущность (айпишник, ссылка, почтовый адрес, хэш и т.д.), выявление которой на устройстве с большой долей вероятности означает компрометацию этого устройства. Если непонятно, то вот тебе пример.

Тут как раз Бизоны обнаружили новую фишинговую атаку, в ходе которой жертва, открывшая вредоносный файл, получает целый букет всякой дряни на своей машине. Примечательно, что многие вредоносы и инструменты взяты с обучающего репозитория с милым названием NYAN CAT.

Казалось бы, очередная история с человеческим фактором, когда можно только бить по рукам незадачливых сотрудников в надежде на их внимательность. Однако, именно здесь в на сцену выходят IOC`и. Дело в том, что при конкретной атаке злодейское ПО всегда загружается с одного и того же файлообменника top4top[.]io. И именно ссылка на него, в данном случае, и является индикатором компрометации.

Теперь, если вы хотите защитить свою сеть от обнаруженной атаки, необходимо блокировать все запросы к top4top[.]io. Этот файлообменник довольно редко используется в наших краях, а потому, любое обращение к нему почти наверняка должно вызывать серьёзные подозрения.