Ukryte zagrożenie w ISO: SOC skutecznie zneutralizował MSIL/Kryptik.AKBD

Zespół SOC (Security Operations Center) otrzymał alert o wykryciu podpięcia podejrzanego dysku ISO na jednym z komputerów w sieci. Obraz ISO zawierał zagnieżdżony plik wykonywalny EXE, zaklasyfikowany jako zagrożenie MSIL/Kryptik.AKBD.

Ze względu na sposób umiejscowienia pliku wykonywalnego, jego detekcja przez systemy antywirusowe nastąpiła dopiero po uruchomieniu pliku.

Analitycy SOC natychmiast podjęli działania w celu zbadania i zażegnania zagrożenia:

Analiza i identyfikacja

• Analitycy SOC przeprowadzili szczegółową analizę pliku wykonywalnego, wykorzystując narzędzia typu sandbox do analizy złośliwego oprogramowania, takie jak VirusTotal czy Hybrid Analysis.
• Zidentyfikowali, że plik został załadowany z zamontowanego dysku ISO, co jest typową techniką stosowaną przez threat aktorów w łańcuchu dostaw, w celu ominięcia zabezpieczeń na warstwie serwera pocztowego

Reakcja i zapobieganie

• Analitycy natychmiast odizolowali komputer, na którym wykryto zagrożenie, aby zapobiec dalszemu rozprzestrzenianiu się infekcji.
• Następnie usunęli plik MSIL/Kryptik.AKBD i przeprowadzili pełne skanowanie systemu w poszukiwaniu innych oznak kompromitacji środowiska.
• Aby zapobiec podobnym incydentom w przyszłości, zaktualizowali polityki bezpieczeństwa, aby zablokować montowanie nieautoryzowanych dysków ISO oraz zablokować załączniki z plikami ISO/IMG na poziomie serwera poczty.

Analiza poincydentalna

• Zespół SOC przeprowadził szczegółową analizę poincydentalną, aby zrozumieć, w jaki sposób doszło do infekcji i opracować lepsze procedury wykrywania i reagowania.
• Na podstawie wniosków z analizy, SOC zarekomendował aktualizację polityk bezpieczeństwa organizacji, a także przeprowadzenie szkolenia pracowników, w celu zwiększenia poziomu świadomości o zagrożeniach

Podsumowanie operacji:

Dzięki szybkiej reakcji i skutecznym działaniom zespołu SOC, firma uniknęła poważnych konsekwencji wynikających z infekcji złośliwym oprogramowaniem MSIL/Kryptik. Ciągłe doskonalenie procesów bezpieczeństwa pozwoli na jeszcze lepszą ochronę przed podobnymi zagrożeniami w przyszłości.