Добавил решение для Task 7 [OSW#2: Task-7]#426
Conversation
There was a problem hiding this comment.
У Вас получилось правило уже с FP. В тестах "object.fullpath": "/Users/user/1547562099/Chromium/Chrome/Password1" - это каталог вредоноса, в который собираются данные перед отправкой на С2.
Сами по себе названия браузеров chrome, firefox, ... очень общие мы не может ограничивать пользователя в создании таких каталогов.
| filter { | ||
| filter::NotFromCorrelator() | ||
| and action == 'read' | ||
| and regex(lower(object.fullpath),"(\/users\/|~).*?(chrome|chromium|firefox|yandex|opera|safari|browser)",0 ) != null |
There was a problem hiding this comment.
Наверное, здесь стоит завязаться на структуру и иерархию каталогов. Например, /Users/<>/Library/Application Support/Google/Chrome
/Users/<>/Library/Application Support/Firefox
| filter { | ||
| filter::NotFromCorrelator() | ||
| and action == 'execute' | ||
| and regex(lower(object.process.name), "chrome|chromium|firefox|yandex|opera|safari", 0) == null |
There was a problem hiding this comment.
Здесь также. Как минимум, перечисленные браузеры - громоздкие GUI приложения. Они отличаются от CLI-утилит тем, что завернуты в Application Bundle - /Applications/Google Chrome.app/Contents/MacOS/Google Chrome или /Applications/Safari.app/Contents/MacOS/Safari. Устанавливаются в каталог /Applications/, а название бандла и исполняемого файла, как правило, совпадают <>.app/Contents/MacOS/<>
2 participants
Resolves #372