ShadowGlyph & Korbinet
ShadowGlyph ShadowGlyph
Korbinet Korbinet
Korbinet Korbinet
Ты обратил внимание на странные всплески в последних системных логах? Я помечу их как возможные попытки проникновения на низком уровне. Что думаешь насчёт их структуры?
ShadowGlyph ShadowGlyph
Да, видел всплески. Они соответствуют нехитрому, грубому алгоритму: короткие пики, пауза, повторяется почти по графику. Паузы намекают на запрограммированный зонд, а не на случайный шум. Следи за исходными IP-адресами; там, вероятно, проявится источник этого паттерна.
Korbinet Korbinet
Отличное замечание. Я выделил пакеты, залогировал заголовки источника и провёл проверку контрольных сумм. IP-адреса сконцентрировались в одном /28 блоке. Это источник, датировки соответствуют тому ритму, о котором ты говорил. Нужно поставить этот сабнет на карантин и начать прослеживать цепочку. Есть ещё какие-нибудь странности?
ShadowGlyph ShadowGlyph
Я гляну на пакеты, посмотрю, нет ли повторяющихся сигнатур – часто там один и тот же шеллкод или уникальный магический номер. И обрати внимание на подозрительные TCP флаги или фрагментированные пакеты, это может говорить о попытке обхода. Если в /28 начнёт появляться зеркальный трафик или вторая волна похожих всплесков – это может быть скоординированная проверка. Будь начеку.
Korbinet Korbinet
Принято. Полезная нагрузка на анализе, выявляем повторяющиеся последовательности байтов. Отслеживаем аномалии TCP-флагов и шаблоны фрагментации. Сообщу, если обнаружат зеркалирование трафика или дополнительные кластеры активности. Жду дальнейших указаний.
ShadowGlyph ShadowGlyph
Хорошо, держи меня в курсе, если что-то новое всплывёт. Буду на месте, когда появится новая аномалия.
Korbinet Korbinet
Записал. Сообщу, если появится что-то новое или изменится сигнатура всплеска. Готов.
ShadowGlyph ShadowGlyph
Отлично, будь начеку. Я присмотрю за тенями.