SOLDATOV_IN_TELEGRAM Telegram 715
tgoop.com » United States » Солдатов в Телеграм » Telegram web » Post 715
Солдатов в Телеграм
Картинка того, как выглядит в телеметрии MDR эмуляция обсуждаемой вчера эксплуатации

eventtype_str - название события
file_path, filecmdline - потомок
processfilepath, processcmdline - родитель
parentprocessfilepath, parentprocesscmdline - родитель родителя

Главный вектор атаки – выполнение вредоносного кода на этапе preinstall. Здесь стандартный мониторинг EPP/EDR (рабочих станций разработчиков и CI/CD-серверов) позволит обнаружить любой подозрительный по поведению процесс, инициированный из node_modules/.bin или напрямую из пакета NPM. В этом случае задача сводится к стандартной – контроль запусков подозрительных процессов с плохой или неопределенной репутацией.

На картинке запускали powershell.

Сухой остаток: supply chain звучит страшно, но стандартные инструменты мониторинга это прекрасно обнаруживают, ну а то, что мы всегда уязвимы, мы знали и ранее.

#MDR
🔥54👏1🤣1
www.tgoop.com/soldatov_in_telegram/715
834 views



tgoop.com/soldatov_in_telegram/715
Create:
Last Update:

Картинка того, как выглядит в телеметрии MDR эмуляция обсуждаемой вчера эксплуатации

eventtype_str - название события
file_path, filecmdline - потомок
processfilepath, processcmdline - родитель
parentprocessfilepath, parentprocesscmdline - родитель родителя

Главный вектор атаки – выполнение вредоносного кода на этапе preinstall. Здесь стандартный мониторинг EPP/EDR (рабочих станций разработчиков и CI/CD-серверов) позволит обнаружить любой подозрительный по поведению процесс, инициированный из node_modules/.bin или напрямую из пакета NPM. В этом случае задача сводится к стандартной – контроль запусков подозрительных процессов с плохой или неопределенной репутацией.

На картинке запускали powershell.

Сухой остаток: supply chain звучит страшно, но стандартные инструменты мониторинга это прекрасно обнаруживают, ну а то, что мы всегда уязвимы, мы знали и ранее.

#MDR

BY Солдатов в Телеграм




Share with your friend now:
tgoop.com/soldatov_in_telegram/715

View MORE
Open in Telegram


Telegram News

Date: |

Telegram message that reads: "Bear Market Screaming Therapy Group. You are only allowed to send screaming voice notes. Everything else = BAN. Text pics, videos, stickers, gif = BAN. Anything other than screaming = BAN. You think you are smart = BAN. The main design elements of your Telegram channel include a name, bio (brief description), and avatar. Your bio should be: The Channel name and bio must be no more than 255 characters long "Doxxing content is forbidden on Telegram and our moderators routinely remove such content from around the world," said a spokesman for the messaging app, Remi Vaughn. A Hong Kong protester with a petrol bomb. File photo: Dylan Hollingsworth/HKFP.
from us


Картинка того

 Солдатов в Телеграм TG
web: 715
Солдатов в Телеграм.Telegram web
Солдатов в Телеграм Telegram TG Channel
Telegram Updated:
Telegram Солдатов в Телеграм
FROM American