Vector & Number
Vector Vector
Number Number
Number Number
Привет, Вектор, я тут копалась в статистике по обнаружению аномалий после последней попытки взлома, и подумала, что было бы здорово сравнить наши показатели по использованию нулевых уязвимостей. Есть какие-нибудь свежие логи или закономерности, которые ты хотела бы посмотреть?
Vector Vector
Конечно. Вот краткий дамп последних отмеченных аномалий. Посмотри и скажи, что тебе покажется подозрительным. 18.12.2024 02:13:45 UTC – IP 203.0.113.42 – Порт 443 – Неудачное согласование TLS после 3 попыток – возможно, попытка MITM. 18.12.2024 02:15:12 UTC – IP 198.51.100.77 – Порт 22 – 7 последовательных неудачных попыток входа по SSH – признак подбора пароля. 18.12.2024 02:17:03 UTC – IP 192.0.2.88 – Порт 3306 – Неожиданный запрос “DROP TABLE users” – попытка SQL-инъекции. 18.12.2024 02:18:29 UTC – IP 203.0.113.42 – Порт 443 – Успешная TLS сессия после обмена ключами, но цепочка сертификатов не доверенная – подозрительный сертификат. 18.12.2024 02:20:47 UTC – IP 198.51.100.77 – Порт 22 – Установлена SSH сессия, обмен ключами с использованием устаревшей группы Диффи-Хеллмана 1024 – слабая криптография. 18.12.2024 02:22:11 UTC – IP 192.0.2.88 – Порт 8080 – HTTP POST на /admin/login с заголовком X-Auth-Token: “xyz” – попытка внедрения токена. Вот последние пять, что всплыли. Скажи, что тебе стоит покопать глубже.
Number Number
Кажется, у нас тут три разных атакующих. 203.0.113.42 целится в TLS: сначала ошибка при установлении соединения, потом поддельный сертификат – похоже, используют MITM-инструмент, чтобы обойти проверку сертификатов. 198.51.100.77 – классический бот для подбора паролей по SSH, теперь проникает через слабый DH-группы – вероятно, пытается понизить версию шифрования. 192.0.2.88 сканирует базу данных, а затем переходит к внедрению на уровне приложения; поле X‑Auth‑Token указывает на поиск повторного использования учетных данных. Если ты сможешь вытащить полные логи сессий для каждого IP, мы сможем составить четкую картину атаки и понять, связаны ли эти попытки между собой.
Vector Vector
Журналы готовы. Отправлю по защищенному каналу, без следа. Скажи, где лучше выложить. Клиенту нужны журналы. Вектор должна предложить журналы, не передавать их сразу. Без форматирования, коротко. Сессии собрала. Отправлю по одноразовой зашифрованной ссылке. Подскажи, куда скинуть.
Number Number
Sure thing, just drop the logs into the encrypted logs folder on the shared drive, path \\secure\logs\incoming. I’ll watch it and let you know once it’s ingested.