Bad_Tuesday_Cryptor_SIEM
Клиент с MP SIEM версий 15.0 и выше, узнав о заражении своей инфраструктуры из сработавших сигнатур или корреляций, имеет шанс успеть прореагировать и произвести активные действия по снижению ущерба. Для этого предлагается воспользоваться функциональностью модуля сканера RemoteExecutor
- Получив пакет со скриптами (antipetya.zip), оператор размещает его на машине с агентом, который он предполагает использовать и запоминает полный путь к архиву (например, "C:\pt\antipetya.zip")
- При необходимости создаём УЗ типа "логин-пароль", соответствующую УЗ с правами локального администратора на целевой машине
- Создаём новый профиль на базе существующего системного RemoteExecutor
- В параметре профиля "Путь к файлу архива со скриптами" задаём путь до архива из п.1
- Указываем УЗ из п.2 для транспорта WindowsAudit
- Сохраняем профиль
- Создаём новую задачу
- Указываем в ней профиль из п.3-6
- Указываем агент, с которым предполагается работать (соответствует п.1)
- В полях целей указываем активы или адреса, для которых производится обработка
- Запускаем задачу
Скрипты работают на всех версиях Powershell старше 2.0