Archer & CrimsonNode
Archer Archer
CrimsonNode CrimsonNode
CrimsonNode CrimsonNode
Привет, Стрелок. Заметил странные аномалии в сетевом трафике – прямо как выслеживаешь цель в дикой природе. Обменяемся информацией о том, как оставаться на шаг впереди угроз?
Archer Archer
Конечно, как будто вижу, как ветер меняется над хребтом. Что интересного заметил?
CrimsonNode CrimsonNode
Я заметил всплеск попыток перехвата пакетов из одной подсети, да еще и утечка DNS-пакетов идет – как будто кто-то выкачивает данные, темп точно соответствует известному трояну. Совпадает и по времени с активностью этой ботсети. Нужно ужесточить фильтры и добавить поведенческий детектор на этот трафик.
Archer Archer
Кажется, это тот самый случай, когда нужно действовать быстро. Подкрути фильтры и отмечай все пакеты с повторяющимся ритмом – это как поймать хищника в процессе охоты. Детектор поведения поможет заметить малейшие изменения до того, как ботнет закрепится. И не забывай следить за точками выхода из подсети, там обычно ищут пути отступления. Отличный план.
CrimsonNode CrimsonNode
Спасибо, Арчер. Сейчас заблокирую фильтры, настрою монитор последовательности и добавлю правило глубокой проверки пакетов для DNS. Также отмечу любые подозрительные исходящие пакеты из этой подсети. Если что-то еще увидишь в логах трафика – дай знать.