Олег Скулки. Упущенная возможность Обнаруживаем легитимное программное обеспечение, используемое атакующими

Ни для кого не секрет, что злоумышленники активно используют средства операционной системы для выполнения различных задач. Правда, иногда этого может быть недостаточно, и тогда атакующие могут задействовать дополнительные, абсолютно легитимные инструменты, которые, скорее всего, не будут обнаружены средствами защиты. Так, чтобы собрать информацию об Active Directory, может использоваться AdFind, а вместо программы-вымогателя — DiskCryptor. В докладе рассмотрены легитимные инструменты, которые могут применяться злоумышленниками на разных этапах жизненного цикла атаки. Разумеется, с примерами из реальных инцидентов, которые доводилось расследовать автору.