No description, website, or topics provided.
Switch branches/tags
Nothing to show
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Failed to load latest commit information.
Bad_Tuesday_Cryptor.co
Bruteforce_diff_dst_from_same_src.co
Potential_attack_psexesvc_schtasks.co
README.md
antipetya.zip

README.md

Bad_Tuesday_Cryptor_SIEM

Клиент с MP SIEM версий 15.0 и выше, узнав о заражении своей инфраструктуры из сработавших сигнатур или корреляций, имеет шанс успеть прореагировать и произвести активные действия по снижению ущерба. Для этого предлагается воспользоваться функциональностью модуля сканера RemoteExecutor

  1. Получив пакет со скриптами (antipetya.zip), оператор размещает его на машине с агентом, который он предполагает использовать и запоминает полный путь к архиву (например, "C:\pt\antipetya.zip")
  2. При необходимости создаём УЗ типа "логин-пароль", соответствующую УЗ с правами локального администратора на целевой машине
  3. Создаём новый профиль на базе существующего системного RemoteExecutor
  4. В параметре профиля "Путь к файлу архива со скриптами" задаём путь до архива из п.1
  5. Указываем УЗ из п.2 для транспорта WindowsAudit
  6. Сохраняем профиль
  7. Создаём новую задачу
  8. Указываем в ней профиль из п.3-6
  9. Указываем агент, с которым предполагается работать (соответствует п.1)
  10. В полях целей указываем активы или адреса, для которых производится обработка
  11. Запускаем задачу

Скрипты работают на всех версиях Powershell старше 2.0