{"id":1670,"date":"2017-07-19T20:55:51","date_gmt":"2017-07-19T17:55:51","guid":{"rendered":"https:\/\/www.artifex.co.il\/he\/?p=1670"},"modified":"2017-07-20T09:09:38","modified_gmt":"2017-07-20T06:09:38","slug":"%d7%97%d7%a7%d7%99%d7%a8%d7%94-%d7%95%d7%90%d7%99%d7%aa%d7%95%d7%a8-%d7%a4%d7%95%d7%92%d7%a2%d7%a0%d7%99%d7%9d-%d7%a0%d7%a4%d7%95%d7%a6%d7%99%d7%9d-%d7%91%d7%90%d7%9e%d7%a6%d7%a2%d7%95%d7%aa-%d7%a9","status":"publish","type":"post","link":"https:\/\/www.artifex.co.il\/he\/?p=1670","title":{"rendered":"\u05d7\u05e7\u05d9\u05e8\u05d4 \u05d5\u05d0\u05d9\u05ea\u05d5\u05e8 \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd \u05e0\u05e4\u05d5\u05e6\u05d9\u05dd \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05e9\u05d9\u05de\u05d5\u05e9 \u05d1-ELK (\u05db\u05dc\u05d5\u05de\u05e8 Elasticsearch, Logstash & Kibana)"},"content":{"rendered":"

\u05ea\u05e0\u05d5 \u05dc\u05d9 \u05e0\u05e7\u05d5\u05d3\u05ea \u05de\u05e9\u05e2\u05df \u05d5\u05d0\u05e0\u05d9\u05e3 \u05d0\u05ea \u05d4\u05e2\u05d5\u05dc\u05dd. \/ \u05d0\u05e8\u05db\u05d9\u05de\u05d3\u05e1<\/p><\/blockquote>\n

 <\/p>\n

ELK \u05d0\u05d5 Elastic stack \u05d4\u05d9\u05d0 \u05db\u05dc\u05d9 (\u05d8\u05d5\u05d1, \u05d0\u05d5\u05e1\u05e3 \u05db\u05dc\u05d9) \u05e7\u05d5\u05d3 \u05e4\u05ea\u05d5\u05d7 \u05de\u05d1\u05d9\u05ea \u05d7\u05d1\u05e8\u05ea Elastic \u05d4\u05de\u05d0\u05e4\u05e9\u05e8 \u05d0\u05ea \u05d0\u05d9\u05e1\u05d5\u05e4\u05dd \u05d5\u05e0\u05d9\u05ea\u05d5\u05d7\u05dd \u05e9\u05dc \u05db\u05de\u05d5\u05d9\u05d5\u05ea \u05e0\u05ea\u05d5\u05e0\u05d9\u05dd \u05d2\u05d3\u05d5\u05dc\u05d5\u05ea \u05d1\u05d9\u05d5\u05ea\u05e8 (\u05d9\u05e9\u05e0\u05dd \u05d9\u05d9\u05e9\u05d5\u05de\u05d9\u05dd \u05d4\u05de\u05d8\u05e4\u05dc\u05d9\u05dd \u05d1\u05db\u05de\u05d5\u05d9\u05d5\u05ea \u05e0\u05ea\u05d5\u05e0\u05d9\u05dd \u05d1\u05e1\u05d3\u05e8 \u05d2\u05d5\u05d3\u05dc \u05e9\u05dc \u05de\u05e1\u05e4\u05e8 PB \u05d1\u05d5\u05d3\u05d3\u05d9\u05dd). \u05d0\u05d7\u05d3 \u05d4\u05e9\u05d9\u05de\u05d5\u05e9\u05d9\u05dd \u05d4\u05d0\u05e4\u05e9\u05e8\u05d9\u05d9\u05dd \u05d5\u05d4\u05e0\u05e4\u05d5\u05e6\u05d9\u05dd \u05dc\u05db\u05dc\u05d9 \u05e9\u05db\u05d6\u05d4 \u05d4\u05d5\u05d0 \u05d0\u05d9\u05e1\u05d5\u05e3 \u05dc\u05d5\u05d2\u05d9\u05dd \u05de\u05de\u05d2\u05d5\u05d5\u05df \u05de\u05e2\u05e8\u05db\u05d5\u05ea \u05d4\u05d0\u05d1\u05d8\u05d7\u05d4 \u05d1\u05d0\u05e8\u05d2\u05d5\u05df \u05dc\u05e6\u05d5\u05e8\u05da \u05d4\u05ea\u05e8\u05d0\u05d4 \u05d0\u05d5 \u05ea\u05d7\u05e7\u05d5\u05e8 \u05e9\u05dc \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9 \u05e1\u05d9\u05d9\u05d1\u05e8 \u05e9\u05d5\u05e0\u05d9\u05dd.<\/p>\n

\u05d1\u05de\u05d0\u05de\u05e8 \u05d4\u05d6\u05d4, \u05dc\u05d0 \u05d0\u05ea\u05de\u05e7\u05d3 \u05d1\u05d0\u05d5\u05e4\u05df \u05d4\u05d4\u05ea\u05e7\u05e0\u05d4 \u05d4\u05de\u05d5\u05de\u05dc\u05e5 \u05e9\u05dc \u05d4\u05db\u05dc\u05d9\u05dd \u05d4\u05dc\u05dc\u05d5 \u05d0\u05dc\u05d0 \u05d3\u05d5\u05d5\u05e7\u05d0 \u05d1\u05d0\u05d5\u05e4\u05df \u05e9\u05d1\u05d5 \u05d9\u05d1\u05d5\u05d0\u05d5 \u05dc\u05d9\u05d3\u05d9 \u05d1\u05d9\u05d8\u05d5\u05d9 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05e0\u05e4\u05d5\u05e6\u05d5\u05ea \u05d1\u05dc\u05d5\u05d2\u05d9\u05dd \u05e9\u05dc \u05de\u05e2\u05e8\u05db\u05d5\u05ea \u05d4\u05d0\u05d1\u05d8\u05d7\u05d4 \u05d4\u05dc\u05dc\u05d5 \u05d5\u05d1\u05d0\u05d5\u05e4\u05df \u05e9\u05d1\u05d5 \u05e0\u05d9\u05ea\u05df \u05dc\u05d0\u05ea\u05e8\u05dd \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05db\u05dc\u05d9 \u05d4-ELK. \u05dc\u05de\u05e8\u05d5\u05ea \u05e9\u05d1\u05de\u05d0\u05de\u05e8 \u05d4\u05d6\u05d4 \u05d0\u05ea\u05de\u05e7\u05d3 \u05d1\u05de\u05e1\u05e4\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05e1\u05e4\u05e6\u05d9\u05e4\u05d9\u05d5\u05ea, \u05d6\u05d5 \u05dc\u05d0\u05d5 \u05d3\u05d5\u05e7\u05d0 \u05d4\u05d2\u05d9\u05e9\u05d4 \u05d4\u05de\u05d5\u05e2\u05d3\u05e4\u05ea \u05e2\u05dc\u05d9\u05d9. \u05d0\u05e0\u05d9 \u05e1\u05d1\u05d5\u05e8 \u05e9\u05d4\u05e0\u05d9\u05e1\u05d9\u05d5\u05df \u05dc\u05d0\u05ea\u05e8, \u05dc\u05e6\u05d5\u05e8\u05da \u05d4\u05d3\u05d5\u05d2\u05de\u05d0 \u05d0\u05ea \u05de\u05ea\u05e7\u05e4\u05ea WannaCry \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea ELK \u05dc\u05d0 \u05d1\u05d4\u05db\u05e8\u05d7 \u05de\u05d1\u05d8\u05d9\u05d7\u05d4 \u05d4\u05e6\u05dc\u05d7\u05d4 \u05d1\u05d0\u05d9\u05ea\u05d5\u05e8 \u05de\u05ea\u05e7\u05e4\u05ea Petya (\u05dc\u05de\u05e9\u05dc). \u05dc\u05db\u05df, \u05d4\u05d2\u05d9\u05e9\u05d4 \u05e9\u05d0\u05e0\u05d9 \u05de\u05de\u05dc\u05d9\u05e5 \u05e2\u05dc\u05d9\u05d4 \u05d4\u05d9\u05d0 \u05d3\u05d5\u05e7\u05d0 \u05dc\u05e0\u05e1\u05d5\u05ea \u05dc\u05d0\u05ea\u05e8 \u05d1\u05db\u05de\u05d4 \u05e9\u05d9\u05d5\u05ea\u05e8 \u05de\u05d3\u05d3\u05d9\u05dd \u05d0\u05ea \u05d4\u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05ea \u05d4\u05e0\u05d5\u05e8\u05de\u05dc\u05d9\u05ea \u05d5\u05d4\u05d4\u05d2\u05d9\u05d5\u05e0\u05d9\u05ea \u05d1\u05d0\u05e8\u05d2\u05d5\u05df \u05d5\u05dc\u05d4\u05d2\u05d3\u05d9\u05e8 \u05d0\u05ea \u05d4\u05de\u05ea\u05e7\u05e4\u05d4 \u05db\u05d7\u05e8\u05d9\u05d2\u05d4 \u05de\u05e9\u05de\u05e2\u05d5\u05ea\u05d9\u05ea \u05de\u05d0\u05d5\u05ea\u05dd \u05de\u05d3\u05d3\u05d9\u05dd \u05e9\u05db\u05df, \u05dc\u05d3\u05e2\u05ea\u05d9, \u05e8\u05e7 \u05d1\u05d0\u05d5\u05e4\u05df \u05d4\u05d6\u05d4 \u05d9\u05d4\u05d9\u05d4 \u05e0\u05d9\u05ea\u05df \u05dc\u05d6\u05d4\u05d5\u05ea \u05dc\u05de\u05e2\u05e9\u05d4 \u05d0\u05ea \u05d4\u05de\u05ea\u05e7\u05e4\u05d4 \u05d4\u05d1\u05d0\u05d4 \u05e2\u05d5\u05d3 \u05dc\u05e4\u05e0\u05d9 \u05e9\u05d9\u05e9 \u05dc\u05d4 \u05e9\u05dd.<\/p>\n

\u05d7\u05e9\u05d5\u05d1 \u05dc\u05d9 \u05dc\u05d4\u05d3\u05d2\u05d9\u05e9 \u05e9\u05dc\u05d3\u05e2\u05ea\u05d9, \u05d4\u05d8\u05db\u05e0\u05d9\u05e7\u05d5\u05ea \u05d4\u05de\u05d5\u05d1\u05d0\u05d5\u05ea \u05d1\u05e4\u05d5\u05e1\u05d8 \u05d4\u05d6\u05d4 \u05d4\u05df \u05d0\u05db\u05df \u05d0\u05e4\u05e7\u05d8\u05d9\u05d1\u05d9\u05d5\u05ea \u05dc\u05d0\u05d9\u05ea\u05d5\u05e8 \u05de\u05e7\u05e8\u05d9\u05dd \u05e9\u05dc \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd, \u05d0\u05d1\u05dc \u05d1\u05d4\u05d7\u05dc\u05d8 \u05e2\u05e9\u05d5\u05d9\u05d5\u05ea \u05dc\u05d4\u05d7\u05d6\u05d9\u05e8 \u05d2\u05dd False Positives \u05d0\u05e9\u05e8 \u05e2\u05e9\u05d5\u05d9\u05d9\u05dd \u05d1\u05d4\u05d7\u05dc\u05d8 \u05dc\u05d4\u05e7\u05e9\u05d5\u05ea \u05e2\u05dc \u05ea\u05d4\u05dc\u05d9\u05da \u05d4\u05d7\u05e7\u05d9\u05e8\u05d4. \u05d0\u05e0\u05d9 \u05d0\u05e6\u05d9\u05e2 \u05dc\u05e7\u05e8\u05d0\u05ea \u05e1\u05d5\u05e3 \u05d4\u05de\u05d0\u05de\u05e8 \u05e4\u05ea\u05e8\u05d5\u05df \u05e9\u05dc\u05d3\u05e2\u05ea\u05d9 \u05e2\u05e9\u05d5\u05d9 \u05dc\u05d4\u05d9\u05d5\u05ea \u05de\u05d5\u05e6\u05dc\u05d7 \u05dc\u05d4\u05ea\u05de\u05d5\u05d3\u05d3\u05d5\u05ea \u05e2\u05dd \u05d1\u05e2\u05d9\u05d4 \u05d6\u05d5. \u05e2\u05dd \u05d6\u05d0\u05ea – \u05dc\u05d0 \u05db\u05dc \u05d4\u05d8\u05db\u05e0\u05d9\u05e7\u05d5\u05ea \u05d4\u05de\u05e4\u05d5\u05e8\u05d8\u05d5\u05ea \u05db\u05d0\u05df \u05e0\u05d5\u05e1\u05d5 \u05e2\u05dc \u05d9\u05d3\u05d9 \u05dc\u05d0\u05d5\u05e8\u05da \u05d6\u05de\u05df \u05d5\u05dc\u05db\u05df \u05d0\u05d9\u05df \u05d1\u05d0\u05e4\u05e9\u05e8\u05d5\u05ea\u05d9 \u05dc\u05e7\u05d1\u05d5\u05e2 \u05d1\u05d5\u05d5\u05d3\u05d0\u05d5\u05ea \u05d0\u05ea \u05de\u05d9\u05d3\u05ea \u05d4\u05d0\u05e4\u05e7\u05d8\u05d9\u05d1\u05d9\u05d5\u05ea \u05e9\u05dc\u05d4\u05df.<\/p>\n

 <\/p>\n

\u05dc\u05de\u05e8\u05d5\u05ea \u05d4\u05d0\u05de\u05d5\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05d0\u05d3\u05d2\u05d9\u05dd \u05d1\u05d0\u05d5\u05e4\u05df \u05e2\u05e7\u05e8\u05d5\u05e0\u05d9 \u05d0\u05ea \u05d4\u05d6\u05d9\u05d4\u05d5\u05d9 \u05e9\u05dc \u05de\u05e1\u05e4\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05d5\u05db\u05dc\u05d9 \u05ea\u05e7\u05d9\u05e4\u05d4 \u05e0\u05e4\u05d5\u05e6\u05d9\u05dd:<\/p>\n

    \n
  1. Ransomware\n
      \n
    1. \u05dc\u05e4\u05d9 \u05de\u05d7\u05e7\u05e8\u05d9\u05dd \u05e9\u05e0\u05e2\u05e9\u05d5(1), \u05d7\u05dc\u05e7 \u05de\u05ea\u05d5\u05db\u05e0\u05d5\u05ea \u05d4\u05db\u05d5\u05e4\u05e8\u05d4 (Ransomware) \u05db\u05d2\u05d5\u05df CryptoLocker ,Critroni ,CTB Locker \u05d5\u05d0\u05d7\u05e8\u05d5\u05ea \u05de\u05d1\u05e6\u05e2\u05d5\u05ea \u05db\u05d7\u05dc\u05e7 \u05de\u05e4\u05e2\u05d5\u05dc\u05ea\u05df (\u05d1\u05d7\u05dc\u05e7 \u05de\u05d4\u05df \u05e2\u05dd \u05ea\u05d7\u05d9\u05dc\u05ea \u05e4\u05e2\u05d5\u05dc\u05ea\u05df \u05d8\u05e8\u05dd \u05d4\u05d4\u05e6\u05e4\u05e0\u05d4 \u05d5\u05d1\u05d7\u05dc\u05e7 \u05d0\u05d7\u05e8 \u05dc\u05d0\u05d7\u05e8 \u05d4\u05d4\u05e6\u05e4\u05e0\u05d4) \u05e4\u05e0\u05d9\u05d5\u05ea \u05dc\u05e9\u05e8\u05ea\/\u05d9 C&C \u05dc\u05e6\u05d5\u05e8\u05da \u05e2\u05d3\u05db\u05d5\u05df \u05d0\u05d5 \u05e7\u05d1\u05dc\u05ea \u05de\u05e4\u05ea\u05d7 \u05d4\u05e6\u05e4\u05e0\u05d4 \u05dc\u05e6\u05d5\u05e8\u05da \u05d4\u05e6\u05e4\u05e0\u05ea \u05d4\u05ea\u05d7\u05e0\u05d4. \u05e4\u05e0\u05d9\u05d5\u05ea \u05d0\u05dc\u05d5 \u05d1\u05d2\u05e8\u05e1\u05d0\u05d5\u05ea \u05e8\u05d0\u05e9\u05d5\u05e0\u05d5\u05ea \u05d1\u05d5\u05e6\u05e2\u05d5 \u05d1-HTTP (\u05d1\u05d7\u05dc\u05e7 \u05de\u05d4\u05df \u05e2\u05dd \u05d4\u05e6\u05e4\u05e0\u05ea \u05d4-Body \u05d1\u05d0\u05dc\u05d2\u05d5\u05e8\u05d9\u05ea\u05de\u05d9\u05dd \u05db\u05de\u05d5 RC4 \u00a0\u05d0\u05d5 AES \u05d5\u05d1\u05d7\u05dc\u05e7 \u05dc\u05dc\u05d0 \u05d4\u05e6\u05e4\u05e0\u05d4) \u05d5\u05d1\u05d2\u05e8\u05e1\u05d0\u05d5\u05ea \u05de\u05ea\u05e7\u05d3\u05de\u05d5\u05ea \u05d9\u05d5\u05ea\u05e8 \u05de\u05d1\u05d5\u05e6\u05e2 \u05e9\u05d9\u05de\u05d5\u05e9 \u05d1\u05d4\u05e6\u05e4\u05e0\u05d4 \u05e9\u05dc \u05d4\u05ea\u05d5\u05d5\u05da \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea HTTPS \u05d0\u05d5 TOR.<\/li>\n
    2. \u05dc\u05e4\u05d9 \u05de\u05d7\u05e7\u05e8 \u05e9\u05e2\u05e9\u05ea\u05d4 \u05d7\u05d1\u05e8\u05ea Elastic \u05d1\u05e0\u05d5\u05e9\u05d0(2) \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9 WannaCry \u05de\u05d1\u05e6\u05e2\u05d9\u05dd, \u05e2\u05dd \u05d4\u05e4\u05e2\u05dc\u05ea\u05dd, \u05e4\u05e0\u05d9\u05d5\u05ea \u05e8\u05d1\u05d5\u05ea \u05dc\u05ea\u05d7\u05e0\u05d5\u05ea \u05d1\u05d0\u05d5\u05ea\u05d4 \u05e8\u05e9\u05ea (Subnet) \u05d5\u05dc\u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05e6\u05d9\u05d1\u05d5\u05e8\u05d9\u05d5\u05ea \u05d0\u05e7\u05e8\u05d0\u05d9\u05d5\u05ea, \u05e4\u05e0\u05d9\u05d5\u05ea \u05d0\u05dc\u05d5 \u05d4\u05df \u05dc\u05e4\u05d5\u05e8\u05d8 445 (\u05d1\u05e4\u05e8\u05d5\u05d8\u05d5\u05e7\u05d5\u05dc tcp) \u05dc\u05e6\u05d5\u05e8\u05da \u05d0\u05d9\u05ea\u05d5\u05e8 \u05ea\u05d7\u05e0\u05d5\u05ea \u05d5\u05e9\u05e8\u05ea\u05d9\u05dd \u05d1\u05e8\u05e9\u05ea \u05d4\u05de\u05e7\u05d5\u05de\u05d9\u05ea \u05d5\u05d1\u05e2\u05d5\u05dc\u05dd \u05d0\u05e9\u05e8 \u05de\u05d0\u05e4\u05e9\u05e8\u05d5\u05ea \u05d0\u05dc\u05d9\u05d4\u05df \u05d2\u05d9\u05e9\u05d4 \u05d1\u05e4\u05e8\u05d5\u05d8\u05d5\u05e7\u05d5\u05dc SMB. \u05d1\u05e0\u05d5\u05e1\u05e3, WannaCry, \u05e2\u05dc \u05e4\u05d9 \u05d0\u05d5\u05ea\u05d5 \u05de\u05d7\u05e7\u05e8, \u05de\u05d1\u05e6\u05e2\u05ea \u05d4\u05e4\u05e2\u05dc\u05d4 \u05e9\u05dc \u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05d9\u05d9\u05d7\u05d5\u05d3\u05d9\u05d9\u05dd \u05d0\u05e9\u05e8 \u05d1\u05d3\u05e8\u05da \u05db\u05dc\u05dc \u05dc\u05d0 \u05de\u05d1\u05d5\u05e6\u05e2\u05d9\u05dd \u05d1\u05ea\u05d7\u05e0\u05d5\u05ea \u05e7\u05e6\u05d4 \u05db\u05d2\u05d5\u05df "attrib +h" (\u05d1\u05e2\u05d6\u05e8\u05ea\u00a0tasksche.exe) \u05d0\u05d5 "cmd.exe \/c vssadmin delete shadows". \u05d1\u05e0\u05d5\u05e1\u05e3, WannaCry, \u05e2\u05dc \u05e4\u05d9 \u05d0\u05d5\u05ea\u05d5 \u05de\u05d7\u05e7\u05e8, \u05de\u05d1\u05e6\u05e2\u05ea \u05e4\u05e0\u05d9\u05d5\u05ea \u05dc\u05d3\u05d5\u05de\u05d9\u05d9\u05e0\u05d9\u05dd (\u05db\u05dc\u05d5\u05de\u05e8 \u05de\u05e0\u05e1\u05d4 \u05dc\u05d0\u05d7\u05d6\u05e8 \u05db\u05ea\u05d5\u05d1\u05ea IP \u05e2\u05d1\u05d5\u05e8\u05dd \u05d5\u05dc\u05d0\u05d7\u05e8 \u05de\u05db\u05df \u05de\u05d1\u05e6\u05e2\u05ea \u05e4\u05e0\u05d9\u05d9\u05ea HTTP \u05d0\u05dc\u05d9\u05d4\u05dd) \u05d1\u05e9\u05de\u05d5\u05ea \u05db\u05d0\u05dc\u05d5 "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" \u05d0\u05d5 "www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com". \u05d1\u05d4\u05e7\u05e9\u05e8 \u05d4\u05d6\u05d4 \u05db\u05d3\u05d0\u05d9 \u05dc\u05e6\u05d9\u05d9\u05df \u05e9\u05d2\u05dd \u05d4\u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd Petya, Not-Petya \u05d5\u05e8\u05d1\u05d9\u05dd \u05d0\u05d7\u05e8\u05d9\u05dd, \u05de\u05ea\u05e4\u05e9\u05d8\u05d9\u05dd \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05e4\u05e0\u05d9\u05d5\u05ea SMB \u05d1\u05e4\u05d5\u05e8\u05d8 445 (\u05db\u05e4\u05d9 \u05e9\u05de\u05d5\u05e4\u05d9\u05e2 \u05d1\u05de\u05d0\u05de\u05e8(7) \u05e9\u05dc Iain Thompson \u05d1\u05d0\u05ea\u05e8 The Register)<\/li>\n
    3. \u05dc\u05e4\u05d9 \u05de\u05d7\u05e7\u05e8(4) \u05e9\u05e2\u05e9\u05ea\u05d4 \u05d7\u05d1\u05e8\u05ea MalwareBytes \u05dc\u05d2\u05d1\u05d9 \u05ea\u05d5\u05db\u05e0\u05ea \u05d4\u05db\u05d5\u05e4\u05e8\u05d4 Locky \u05d4\u05e4\u05d5\u05d2\u05e2\u05df \u05d1\u05d3"\u05db \u05de\u05d2\u05d9\u05e2 \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05e7\u05d5\u05d1\u05e5 MS Office (\u05dc\u05d3\u05d5\u05d2\u05de\u05d4 \u05e7\u05d5\u05d1\u05e5 doc) \u05d1\u05de\u05e1\u05d2\u05e8\u05ea \u05e7\u05de\u05e4\u05d9\u05d9\u05df \u05e4\u05d9\u05e9\u05d9\u05e0\u05d2 \u05d1\u05de\u05d9\u05d9\u05dc \u05d0\u05e9\u05e8 \u05de\u05d5\u05e8\u05d9\u05d3 \u05e7\u05d5\u05d1\u05e5 exe. \u05de\u05d9\u05d3 \u05e2\u05dd \u05d4\u05e4\u05e2\u05dc\u05ea\u05d5 \u05d4\u05d5\u05d0 \u05de\u05d5\u05e8\u05e5 \u05db\u05e7\u05d5\u05d1\u05e5 \u05d1\u05e9\u05dd svchost.exe \u05de\u05ea\u05d5\u05da \u05ea\u05d9\u05e7\u05d9\u05d9\u05ea %TEMP%. \u05d1\u05e0\u05d5\u05e1\u05e3, Locky \u05de\u05ea\u05e7\u05e9\u05e8 \u05e2\u05dd \u05de\u05e1\u05e4\u05e8 \u05db\u05ea\u05d5\u05d1\u05d5\u05ea IP \u05d1\u05e2\u05d5\u05dc\u05dd \u05d4\u05de\u05d5\u05d2\u05d3\u05e8\u05d5\u05ea \u05d1\u05e7\u05d5\u05d3 \u05d4\u05ea\u05d5\u05db\u05e0\u05d4 (Hardcoded) \u05d1\u05d7\u05dc\u05e7 \u05de\u05df \u05d4\u05d2\u05e8\u05e1\u05d0\u05d5\u05ea \u05de\u05d3\u05d5\u05d1\u05e8 \u05d1-3 \u05db\u05ea\u05d5\u05d1\u05d5\u05ea IP \u05d5\u05d1\u05e0\u05d5\u05e1\u05e3, \u05d4\u05d5\u05d0 \u05de\u05e9\u05ea\u05de\u05e9 \u05d2\u05dd \u05d1-DGA \u05e2\u05dc \u05de\u05e0\u05ea \u05dc\u05d9\u05d9\u05e6\u05e8 \u05d1\u05d0\u05d5\u05e4\u05df \u05d3\u05d9\u05e0\u05d0\u05de\u05d9 \u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d3\u05d5\u05de\u05d9\u05d9\u05df \u05e9\u05d0\u05dc\u05d9\u05d4\u05df \u05d9\u05e9 \u05dc\u05e4\u05e0\u05d5\u05ea.<\/li>\n<\/ol>\n<\/li>\n
    4. Phishing\n
        \n
      1. \u05de\u05de\u05d7\u05e7\u05e8(3) \u05e9\u05e2\u05e9\u05ea\u05d4 \u05d7\u05d1\u05e8\u05ea TrendMicro \u05e2\u05d5\u05dc\u05d4 \u05db\u05d9 \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05dc\u05e1\u05d1\u05d9\u05d1\u05ea Android \u05de\u05d6\u05d5\u05d4\u05d5\u05ea \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05e9\u05dd \u05d1\u05de\u05d1\u05e0\u05d4 \u05d4\u05d3\u05d5\u05de\u05d4 \u05dc\u05e9\u05dd \u05d3\u05d5\u05de\u05d9\u05d9\u05df, \u05dc\u05de\u05e9\u05dc \u05d4\u05e9\u05dd \u05e9\u05de\u05d6\u05d4\u05d4 \u05d0\u05ea \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d9\u05ea \u05e4\u05d9\u05d9\u05e1\u05d1\u05d5\u05e7 \u05d4\u05d5\u05d0 "com.facebook.katana", \u05e0\u05d9\u05ea\u05df \u05dc\u05e8\u05d0\u05d5\u05ea \u05d6\u05d0\u05ea \u05d1\u05db\u05ea\u05d5\u05d1\u05ea \u05d4-URL \u05d4\u05de\u05e9\u05de\u05e9\u05ea \u05dc\u05d4\u05d5\u05e8\u05d3\u05ea \u05d4\u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d4 \u05de\u05d4-Google Play Store. \u05dc\u05d4\u05dc\u05df \u05d4\u05db\u05ea\u05d5\u05d1\u05ea \u05d4\u05de\u05dc\u05d0\u05d4: https:\/\/play.google.com\/store\/apps\/details?id=com.facebook.katana. \u05de\u05d0\u05d5\u05ea\u05d5 \u05de\u05d7\u05e7\u05e8 \u05de\u05ea\u05d1\u05e8\u05e8 \u05db\u05d9 \u05d4\u05e9\u05dd \u05d4\u05d6\u05d4 \u05d0\u05d9\u05e0\u05d5 \u05e0\u05d3\u05e8\u05e9 \u05dc\u05d4\u05d9\u05d5\u05ea \u05d9\u05d9\u05d7\u05d5\u05d3\u05d9 \u05d1\u05d0\u05d5\u05e4\u05df \u05d0\u05d5\u05e0\u05d9\u05d1\u05e8\u05e1\u05dc\u05d9 \u05d0\u05dc\u05d0 \u05e8\u05e7 \u05d9\u05d9\u05d7\u05d5\u05d3\u05d9 \u05d1\u05d0\u05d5\u05ea\u05d5 \u05de\u05db\u05e9\u05d9\u05e8<\/strong>. \u05dc\u05d3\u05d5\u05d2\u05de\u05d4, \u05d7\u05d1\u05e8\u05ea \u05d0\u05d3\u05d5\u05d1\u05d9 \u05d4\u05e4\u05e1\u05d9\u05e7\u05d4 \u05d0\u05ea\u00a0\u05e4\u05d9\u05ea\u05d5\u05d7 \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d9\u05ea \u05d4-Flash \u05e9\u05dc\u05d4 \u05dc\u05d0\u05e0\u05d3\u05e8\u05d5\u05d0\u05d9\u05d3 (\u05e9\u05d4\u05d9\u05ea\u05d4 \u05d6\u05de\u05d9\u05e0\u05d4 \u05ea\u05d7\u05ea \u05d4\u05e9\u05dd "com.adobe.flashplayer") \u05d1-2012 \u05d5\u05de\u05d0\u05d6 \u05d4\u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d4 \u05e9\u05dc\u05d4\u05dd \u05db\u05d1\u05e8 \u05dc\u05d0 \u05e7\u05d9\u05d9\u05de\u05ea \u05d1-Google Play Store \u05d5\u05dc\u05db\u05df, \u05ea\u05d5\u05e7\u05e4\u05d9\u05dd \u05d9\u05d9\u05e6\u05e8\u05d5 \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05d6\u05d3\u05d5\u05e0\u05d9\u05d5\u05ea \u05ea\u05d7\u05ea \u05e9\u05de\u05d5\u05ea \u05d3\u05d5\u05de\u05d9\u05dd, \u05dc\u05de\u05e9\u05dc:\u00a0"con.adobe.flash.player",\u00a0"com.adobe.flash.player", \u05d5\u05d0\u05d7\u05e8\u05d9\u05dd \u05d3\u05d5\u05de\u05d9\u05dd.<\/li>\n<\/ol>\n<\/li>\n
      2. \u05db\u05dc\u05d9 \u05ea\u05e7\u05d9\u05e4\u05d4 \u05e0\u05e4\u05d5\u05e6\u05d9\u05dd\n
          \n
        1. WMImplant\u00a0<\/strong>– \u05dc\u05e4\u05d9 \u05d4\u05de\u05d0\u05de\u05e8(5) \u05e9\u05dc \u05d7\u05d1\u05e8\u05ea FireEye \u05db\u05de\u05d5 \u05d2\u05dd \u05dc\u05e4\u05d9 \u05d4\u05de\u05d0\u05de\u05e8(6) \u05e9\u05dc SecurityWeek \u05e9\u05e0\u05db\u05ea\u05d1 \u05e2\u05dc \u05d9\u05d3\u05d9 Ionut Arghire \u05db\u05dc\u05d9 \u05d6\u05d4, \u05d4\u05db\u05ea\u05d5\u05d1 \u05d1-PowerShell, \u05de\u05d0\u05e4\u05e9\u05e8 \u05d2\u05d9\u05e9\u05d4 \u05de\u05e8\u05d7\u05d5\u05e7 (RAT) \u05e2\u05dc \u05d9\u05d3\u05d9 \u05e9\u05d9\u05de\u05d5\u05e9 \u05d1\u05e9\u05d9\u05e8\u05d5\u05ea \u05d4-WMI \u05d4\u05e7\u05d9\u05d9\u05dd \u05d1\u05db\u05dc \u05d4\u05d2\u05e8\u05e1\u05d0\u05d5\u05ea \u05d4\u05d7\u05d3\u05e9\u05d5\u05ea \u05e9\u05dc Windows. \u05d4\u05db\u05dc\u05d9 \u05de\u05d0\u05e4\u05e9\u05e8 \u05d4\u05e9\u05ea\u05dc\u05d8\u05d5\u05ea \u05dc\u05de\u05e2\u05e9\u05d4 \u05de\u05dc\u05d0\u05d4 \u05e2\u05dc \u05d4\u05ea\u05d7\u05e0\u05d4, \u05dc\u05d4\u05e4\u05e2\u05d9\u05dc \u05e7\u05d5\u05d3, \u05dc\u05db\u05d1\u05d5\u05ea \u05d0\u05ea \u05d4\u05ea\u05d7\u05e0\u05d4 \u05d5\u05db\u05d3\u05d5'. \u05de\u05db\u05d9\u05d5\u05d5\u05df \u05e9\u05db\u05da, \u05d4\u05d5\u05d0 \u05e4\u05d5\u05e4\u05d5\u05dc\u05d0\u05e8\u05d9 \u05de\u05d0\u05d3 \u05d2\u05dd \u05d1\u05d9\u05df \u05d4\u05d0\u05e7\u05e8\u05d9\u05dd \u05d4\u05de\u05e2\u05d5\u05e0\u05d9\u05d9\u05e0\u05d9\u05dd \u05dc\u05d4\u05e9\u05d9\u05d2 \u05e9\u05dc\u05d9\u05d8\u05d4 \u05e2\u05dc \u05ea\u05d7\u05e0\u05d5\u05ea Windows \u05d0\u05d5 \u05dc\u05db\u05ea\u05d5\u05d1 \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd \u05d4\u05de\u05e9\u05ea\u05de\u05e9\u05d9\u05dd \u05d1\u05d5 \u05db\u05d3\u05d9 \u05dc\u05d4\u05ea\u05e4\u05e9\u05d8 \u05d1\u05d9\u05df \u05ea\u05d7\u05e0\u05d5\u05ea (Lateral movement). \u05d1\u05e2\u05ea \u05d4\u05e9\u05d9\u05de\u05d5\u05e9 \u05d1\u05db\u05dc\u05d9 \u05d6\u05d4 \u05e4\u05e7\u05d5\u05d3\u05d5\u05ea \u05d4\u05de\u05d5\u05e4\u05e2\u05dc\u05d5\u05ea \u05e2\u05dc \u05d9\u05d3\u05d5 \u05e2\u05d5\u05d1\u05e8\u05d5\u05ea \u05ea\u05d4\u05dc\u05d9\u05da Obfuscation (\u05dc\u05de\u05e9\u05dc \u05db\u05da: 'Inv`oke-Ex`pression') \u05d4\u05de\u05e7\u05e9\u05d4 \u05e2\u05dc \u05d0\u05d9\u05ea\u05d5\u05e8\u05df \u05d1\u05dc\u05d5\u05d2 \u05d4\u05de\u05e2\u05e8\u05db\u05ea.<\/li>\n
        2. Remote Code Exec via Services.msc – \u05dc\u05e4\u05d9 \u05de\u05d0\u05de\u05e8 (8) \u05d1\u05d0\u05ea\u05e8 CyberWarDog \u05d0\u05d7\u05ea \u05d4\u05d3\u05e8\u05db\u05d9\u05dd \u05d4\u05e0\u05e4\u05d5\u05e6\u05d5\u05ea \u05dc\u05d4\u05e4\u05e2\u05dc\u05ea \u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05e2\u05dc \u05de\u05d7\u05e9\u05d1\u05d9\u05dd \u05de\u05e8\u05d5\u05d7\u05e7\u05d9\u05dd \u05d4\u05d9\u05d0 \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05d4\u05d5\u05e1\u05e4\u05d4, \u05d4\u05e4\u05e2\u05dc\u05d4, \u05db\u05d9\u05d1\u05d5\u05d9 \u05d5\u05d4\u05e1\u05e8\u05d4 \u05e9\u05dc Services \u05de\u05de\u05d7\u05e9\u05d1\u05d9 Windows \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05d4\u05d0\u05e4\u05e9\u05e8\u05d5\u05ea \u05dc\u05e2\u05e9\u05d5\u05ea \u05d6\u05d0\u05ea \u05de\u05e8\u05d7\u05d5\u05e7. \u05db\u05dc\u05d9\u05dd \u05db\u05d2\u05d5\u05df PsExec \u05de\u05e0\u05e6\u05dc\u05d9\u05dd \u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05ea \u05d6\u05d5 \u05dc\u05d8\u05d5\u05d1\u05ea \u05e4\u05e2\u05d5\u05dc\u05ea\u05dd \u05d4\u05ea\u05e7\u05d9\u05e0\u05d4. \u05dc\u05e4\u05d9 \u05d4\u05de\u05d0\u05de\u05e8\u05d9\u05dd (8) \u05d5-(9) \u05e0\u05e8\u05d0\u05d4 \u05db\u05d9 \u05db\u05dc\u05d9\u05dd \u05e9\u05e4\u05d5\u05e2\u05dc\u05d9\u05dd \u05d1\u05d0\u05d5\u05e4\u05df \u05d6\u05d4 \u05d9\u05d1\u05e6\u05e2\u05d5 \u05d7\u05d9\u05d1\u05d5\u05e8\u05d9\u05dd \u05dc\u05e9\u05d9\u05ea\u05d5\u05e3 \u05d4\u05d7\u05d1\u05d5\u05d9 $ADMIN \u05d5\u05de\u05e2\u05d3\u05db\u05e0\u05d9\u05dd \u05d0\u05ea \u05e8\u05e9\u05d9\u05de\u05ea \u05d4-Services \u05d4\u05de\u05d0\u05d5\u05d7\u05e1\u05e0\u05ea \u05d1\u05e8\u05d9\u05e9\u05d5\u05dd \u05d4\u05de\u05e2\u05e8\u05db\u05ea.<\/li>\n
        3. Mimikatz – \u05db\u05dc\u05d9 \u05d6\u05d4 (9) \u05de\u05d0\u05e4\u05e9\u05e8 \u05dc\u05d1\u05e6\u05e2 \u05d1\u05d3\u05d9\u05e7\u05d5\u05ea \u05e9\u05d5\u05e0\u05d5\u05ea \u05dc\u05d0\u05d1\u05d8\u05d7\u05ea \u05de\u05d9\u05d3\u05e2 \u05e9\u05dc \u05de\u05e2\u05e8\u05db\u05d5\u05ea Windows \u05db\u05d2\u05d5\u05df \u05d7\u05d9\u05dc\u05d5\u05e5 \u05e1\u05d9\u05e1\u05de\u05d0\u05d5\u05ea, \u05e7\u05d5\u05d3\u05d9 PIN, \u05d5-Kerberos Tickets \u05de\u05d6\u05d9\u05db\u05e8\u05d5\u05df \u05d4\u05de\u05e2\u05e8\u05db\u05ea, \u05d1\u05d9\u05e6\u05d5\u05e2 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 Pass-The-Hash \u05d5\u05e2\u05d5\u05d3. \u05db\u05dc\u05d9 \u05d6\u05d4 \u05e0\u05d9\u05ea\u05df \u05dc\u05d4\u05e8\u05e6\u05d4 \u05d9\u05e9\u05d9\u05e8\u05d5\u05ea \u05de\u05d6\u05db\u05e8\u05d5\u05df \u05d4\u05de\u05e2\u05e8\u05db\u05ea \u05dc\u05dc\u05d0 \u05e9\u05de\u05d9\u05e8\u05d4 \u05d1\u05d3\u05d9\u05e1\u05e7 \u05db\u05de\u05d5 \u05d2\u05dd \u05dc\u05d4\u05e8\u05e6\u05d4 \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05d4\u05e4\u05e2\u05dc\u05ea \u05e7\u05d5\u05d1\u05e5 \u05d4\u05e9\u05de\u05d5\u05e8 \u05d1\u05d3\u05d9\u05e1\u05e7.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

           <\/p>\n

          \u05dc\u05d3\u05e2\u05ea\u05d9, \u05e7\u05d9\u05d9\u05de\u05ea \u05d3\u05e8\u05da \u05d8\u05d5\u05d1\u05d4 (\u05d0\u05dd \u05db\u05d9 \u05d0\u05de\u05e0\u05dd \u05dc\u05d0 \u05de\u05d5\u05e9\u05dc\u05de\u05ea…) \u05dc\u05d0\u05d9\u05ea\u05d5\u05e8 \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05de\u05e1\u05d5\u05d2\u05d9\u05dd \u05d0\u05dc\u05d5 \u05d1\u05d6\u05de\u05df \u05d0\u05de\u05ea (\u05d0\u05d5 \u05e7\u05e8\u05d5\u05d1 \u05dc\u05d6\u05de\u05df \u05d0\u05de\u05ea) \u05d5\u05db\u05de\u05d5\u05d1\u05df \u05d2\u05dd \u05d1\u05d3\u05d9\u05e2\u05d1\u05d3. \u05e2\u05dc \u05d9\u05d3\u05d9 \u05d0\u05d9\u05e1\u05d5\u05e3 \u05e9\u05dc \u05de\u05e1\u05e4\u05d9\u05e7 \u05de\u05d9\u05d3\u05e2 \u05d0\u05d9\u05db\u05d5\u05ea\u05d9 \u05d5\u05de\u05d3\u05d5\u05d9\u05d9\u05e7 \u05dc\u05d2\u05d1\u05d9 \u05d0\u05d5\u05e4\u05df \u05e4\u05e2\u05d9\u05dc\u05d5\u05ea \u05d4\u05e9\u05e8\u05ea\u05d9\u05dd, \u05d4\u05ea\u05d7\u05e0\u05d5\u05ea, \u05e6\u05d9\u05d5\u05d3\u05d9 \u05d4\u05e7\u05e6\u05d4 \u05d5\u05d4\u05d0\u05e8\u05d2\u05d5\u05df \u05d1\u05d0\u05d5\u05e4\u05df \u05db\u05dc\u05dc\u05d9, \u05dc\u05d3\u05e2\u05ea\u05d9, \u05db\u05db\u05dc \u05e9\u05de\u05d3\u05d5\u05d1\u05e8 \u05d1\u05d0\u05e8\u05d2\u05d5\u05df \u05d2\u05d3\u05d5\u05dc \u05d9\u05d5\u05ea\u05e8, \u05db\u05da \u05d9\u05d4\u05d9\u05d5 \u05d4\u05e1\u05d9\u05db\u05d5\u05d9\u05d9\u05dd \u05e8\u05d1\u05d9\u05dd \u05d9\u05d5\u05ea\u05e8 \u05e9\u05d9\u05d4\u05d9\u05d4 \u05e0\u05d9\u05ea\u05df \u05dc\u05d0\u05ea\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05d0\u05d5 \u05d0\u05ea \u05e4\u05e2\u05d9\u05dc\u05d5\u05ea\u05dd \u05e9\u05dc \u05db\u05dc\u05d9\u05dd \u05de\u05e1\u05d5\u05d2\u05d9\u05dd \u05d0\u05dc\u05d5 \u05d1\u05d0\u05d5\u05e4\u05df \u05d9\u05e2\u05d9\u05dc \u05d5\u05de\u05d3\u05d5\u05d9\u05e7 \u05de\u05d7\u05d3, \u05d5\u05ea\u05d5\u05da \u05d4\u05e9\u05e7\u05e2\u05ea \u05d6\u05de\u05df \u05de\u05d9\u05e0\u05d9\u05de\u05dc\u05d9\u05ea \u05d1\u05db\u05d9\u05d5\u05d5\u05e0\u05d5\u05df \u05de\u05e2\u05e8\u05db\u05ea \u05db\u05d6\u05d5 (\u05d0\u05d5 \u05d1\u05d0\u05d9\u05ea\u05d5\u05e8 False positives) \u05de\u05d0\u05d9\u05d3\u05da.<\/p>\n

          \u05d1\u05e9\u05d5\u05e8\u05d5\u05ea \u05d4\u05d1\u05d0\u05d5\u05ea \u05d0\u05e0\u05e1\u05d4 \u05dc\u05d4\u05e6\u05d9\u05d2 \u05d0\u05ea \u05d4\u05db\u05d9\u05d5\u05d5\u05df \u05d4\u05db\u05dc\u05dc\u05d9 \u05e9\u05dc \u05d0\u05e1\u05d8\u05e8\u05d8\u05d2\u05d9\u05d4 \u05db\u05d6\u05d5. \u05db\u05de\u05d5\u05d1\u05df, \u05e0\u05d9\u05ea\u05df \u05dc\u05de\u05de\u05e9 \u05e4\u05ea\u05e8\u05d5\u05df \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05d1\u05d0\u05d5\u05e4\u05e0\u05d9\u05dd \u05e9\u05d5\u05e0\u05d9\u05dd \u05e9\u05d9\u05d4\u05d9\u05d5 \u05d8\u05d5\u05d1\u05d9\u05dd \u05d9\u05d5\u05ea\u05e8 \u05d5\u05e4\u05d7\u05d5\u05ea \u05de\u05d0\u05dc\u05d5 \u05d4\u05de\u05d5\u05d1\u05d0\u05d9\u05dd \u05dc\u05d4\u05dc\u05df \u05d0\u05d1\u05dc \u05d4\u05e2\u05e7\u05e8\u05d5\u05e0\u05d5\u05ea \u05d4\u05d1\u05e1\u05d9\u05e1\u05d9\u05d9\u05dd \u05dc\u05d3\u05e2\u05ea\u05d9 \u05d9\u05d4\u05d9\u05d5 \u05e7\u05d9\u05d9\u05de\u05d9\u05dd \u05d1\u05d9\u05d9\u05e9\u05d5\u05de\u05d9\u05dd \u05e8\u05d1\u05d9\u05dd \u05d0\u05d7\u05e8\u05d9\u05dd.<\/p>\n

          \u05d1\u05e9\u05d5\u05e0\u05d4 \u05de\u05de\u05e2\u05e8\u05db\u05d5\u05ea \u05d4\u05de\u05ea\u05d1\u05e1\u05e1\u05d5\u05ea \u05e2\u05dc \u05d6\u05d9\u05d4\u05d5\u05d9 \u05d7\u05ea\u05d9\u05de\u05d5\u05ea (Signatures) \u05e9\u05dc \u05d0\u05d9\u05d5\u05de\u05d9\u05dd \u05de\u05d5\u05db\u05e8\u05d9\u05dd (\u05dc\u05de\u05e9\u05dc Hash \u05e9\u05dc \u05e7\u05d1\u05e6\u05d9\u05dd \u05e9\u05dc \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd \u05d9\u05d3\u05d5\u05e2\u05d9\u05dd \u05d0\u05d5 \u05db\u05ea\u05d5\u05d1\u05d5\u05ea IP \u05d4\u05de\u05e7\u05d5\u05e9\u05e8\u05d5\u05ea \u05dc\u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd \u05d9\u05d3\u05d5\u05e2\u05d9\u05dd) \u05d5\u05d1\u05e9\u05d5\u05e0\u05d4 \u05d2\u05dd \u05de\u05de\u05e2\u05e8\u05db\u05d5\u05ea \u05d4\u05de\u05ea\u05d1\u05e1\u05e1\u05d5\u05ea \u05e2\u05dc \u05d6\u05d9\u05d4\u05d5\u05d9 \u05d7\u05ea\u05d9\u05de\u05d5\u05ea \u05e9\u05dc \u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05d9\u05d5\u05ea \u05e9\u05dc \u05e4\u05d5\u05d2\u05e2\u05e0\u05d9\u05dd \u05d9\u05d3\u05d5\u05e2\u05d9\u05dd (\u05d4\u05d5\u05e8\u05d3\u05ea \u05e7\u05d5\u05d1\u05e5 + \u05e4\u05e0\u05d9\u05d9\u05d4 \u05dc\u05db\u05ea\u05d5\u05d1\u05ea X + \u05d9\u05e6\u05d9\u05e8\u05ea \u05e7\u05d5\u05d1\u05e5 Y + \u05d1\u05d9\u05e6\u05d5\u05e2 \u05e4\u05e2\u05d5\u05dc\u05d4 Z = \u05e4\u05d5\u05d2\u05e2\u05df \u05de\u05e1\u05d5\u05d2 A) \u05d4\u05d4\u05e6\u05e2\u05d4 \u05e9\u05dc\u05d9 \u05d4\u05d9\u05d0 \u05dc\u05d6\u05d4\u05d5\u05ea \u05d0\u05ea \u05d4\u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05ea \u05d4\u05e0\u05d5\u05e8\u05de\u05dc\u05d9\u05ea \u05e2\u05dc \u05d1\u05e1\u05d9\u05e1 \u05e8\u05d7\u05d1 \u05db\u05db\u05dc \u05d4\u05e0\u05d9\u05ea\u05df \u05e9\u05dc \u05de\u05d3\u05d3\u05d9\u05dd \u05e8\u05dc\u05d5\u05d5\u05e0\u05d8\u05d9\u05d9\u05dd \u05d5\u05dc\u05d4\u05d2\u05d3\u05d9\u05e8 \u05d0\u05ea \u05d4\u05d1\u05e2\u05d9\u05d4 \u05db\u05d0\u05d5\u05e1\u05e3 \u05e9\u05dc \u05d7\u05e8\u05d9\u05d2\u05d5\u05ea \u05d1\u05de\u05e1\u05e4\u05e8 \u05de\u05d3\u05d3\u05d9\u05dd \u05de\u05de\u05e0\u05d4. \u05d7\u05e9\u05d5\u05d1 \u05dc\u05d4\u05d1\u05d4\u05d9\u05e8, \u05e2\u05dd \u05d6\u05d0\u05ea, \u05e9\u05de\u05e2\u05e8\u05db\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05dc\u05d0 \u05ea\u05e1\u05e4\u05e7 \u05d4\u05ea\u05e8\u05d0\u05d5\u05ea \u05de\u05e9\u05d5\u05d9\u05d9\u05de\u05d5\u05ea (\u05db\u05dc\u05d5\u05de\u05e8 – \u05d1\u05e2\u05dc\u05d5\u05ea \u05e9\u05dd) \u05dc\u05de\u05e9\u05dc "\u05d6\u05d5\u05d4\u05ea\u05d4 \u05de\u05ea\u05e7\u05e4\u05ea WannaCry" \u05d0\u05dc\u05d0 \u05d4\u05ea\u05e8\u05d0\u05d4 \u05e2\u05dc \u05d4\u05e4\u05e2\u05d9\u05dc\u05d5\u05ea \u05d4\u05d7\u05e8\u05d9\u05d2\u05d4 \u05e9\u05d0\u05e8\u05e2\u05d4. \u05de\u05e9\u05d4\u05d5 \u05d1\u05e0\u05d5\u05e1\u05d7 "\u05d6\u05d5\u05d4\u05ea\u05d4 \u05d7\u05e8\u05d9\u05d2\u05d4 \u05d1\u05d4\u05d9\u05e7\u05e3 \u05d4\u05e7\u05e9\u05e8\u05d9\u05dd \u05d1\u05d9\u05df \u05de\u05d7\u05e9\u05d1\u05d9\u05dd \u05d1-SMB, \u05d5\u05d1\u05e0\u05d5\u05e1\u05e3, \u05d6\u05d5\u05d4\u05ea\u05d4 \u05d2\u05dd \u05d7\u05e8\u05d9\u05d2\u05d4 \u05d1\u05d4\u05d9\u05e7\u05e3 \u05d4\u05e4\u05e0\u05d9\u05d5\u05ea \u05dc\u05d0\u05d9\u05e0\u05d8\u05e8\u05e0\u05d8 \u05d1-SMB \u05d5\u05d2\u05dd \u05d6\u05d5\u05d4\u05d4 \u05d7\u05e9\u05d3 \u05dc\u05e9\u05d9\u05de\u05d5\u05e9 \u05d1\u05d3\u05d5\u05de\u05d9\u05d9\u05e0\u05d9\u05dd \u05de\u05d1\u05d5\u05e1\u05e1\u05d9 DGA \u05d5\u05db\u05dc \u05d6\u05d4 \u05ea\u05d5\u05da \u05e4\u05d7\u05d5\u05ea \u05de\u05d7\u05e6\u05d9 \u05e9\u05e2\u05d4", \u05d0\u05d7\u05e8\u05d9\u05d5\u05ea \u05d4\u05de\u05e9\u05ea\u05de\u05e9 \u05d1\u05de\u05e2\u05e8\u05db\u05ea \u05ea\u05d4\u05d9\u05d4 \u05dc\u05d4\u05d2\u05d3\u05d9\u05e8 \u05d0\u05d5 \u05dc\u05e1\u05d5\u05d5\u05d2 \u05d0\u05ea \u05d4\u05de\u05ea\u05e7\u05e4\u05d4 \u05db-WannaCry. \u05e2\u05dd \u05d6\u05d0\u05ea, \u05dc\u05e7\u05e8\u05d0\u05ea \u05e1\u05d5\u05e4\u05d5 \u05e9\u05dc \u05de\u05d0\u05de\u05e8 \u05d6\u05d4 \u05d0\u05e6\u05d9\u05e2 \u05d3\u05e8\u05da \u05d1\u05d9\u05e0\u05d9\u05d9\u05dd \u05e9\u05d0\u05d5\u05dc\u05d9 \u05ea\u05d0\u05e4\u05e9\u05e8 \u05d2\u05dd \u05d0\u05ea \u05d1\u05d9\u05e6\u05d5\u05e2\u05df \u05e9\u05dc \u05de\u05e9\u05d9\u05de\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4. \u05d1\u05e9\u05d5\u05e8\u05d5\u05ea \u05d4\u05d1\u05d0\u05d5\u05ea \u05d0\u05e0\u05e1\u05d4 \u05dc\u05d4\u05d3\u05d2\u05d9\u05dd \u05db\u05d9\u05e6\u05d3 \u05dc\u05d3\u05d5\u05d2\u05de\u05d4, \u05e0\u05d9\u05ea\u05df \u05dc\u05d6\u05d4\u05d5\u05ea \u05d0\u05ea \u05d4\u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05d5\u05d0\u05ea \u05e4\u05e2\u05d9\u05dc\u05d5\u05ea \u05d4\u05db\u05dc\u05d9\u05dd \u05d4\u05e0"\u05dc \u05d1\u05e8\u05e9\u05ea \u05e2\u05dc \u05d1\u05e1\u05d9\u05e1 \u05d6\u05d9\u05d4\u05d5\u05d9 \u05de\u05d9\u05d3\u05e2\u05d9\u05dd \u05d7\u05e8\u05d9\u05d2\u05d9\u05dd \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05db\u05dc\u05d9 BigData \u05de\u05ea\u05d0\u05d9\u05de\u05d9\u05dd.<\/p>\n

          \u05d0\u05d9\u05e1\u05d5\u05e3:<\/p>\n

          Sysmon – \u05db\u05dc\u05d9 \u05d4-Sysmon \u05d4\u05d5\u05d0 \u05d7\u05dc\u05e7 \u05de\u05d4\u05db\u05dc\u05d9\u05dd \u05de\u05d0\u05ea\u05e8 \u05d4-Sysinternals \u05e9\u05d4\u05d5\u05e7\u05dd \u05e2\u05dc \u05d9\u05d3\u05d9 \u05d4\u05de\u05e4\u05ea\u05d7\u05d9\u05dd \u05de\u05d0\u05e8\u05e7 \u05e8\u05d5\u05e1\u05d9\u05e0\u05d5\u05d1\u05d9\u05e5' \u05d5\u05d1\u05e8\u05d5\u05e1 \u05e7\u05d5\u05d2\u05d5\u05d5\u05dc (12). \u05db\u05dc\u05d9 \u05d6\u05d4 \u05de\u05d0\u05e4\u05e9\u05e8 \u05e8\u05d9\u05e9\u05d5\u05dd \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05dc-EventLog \u05dc\u05e4\u05d9 \u05db\u05dc \u05de\u05d9\u05e0\u05d9 \u05e7\u05e8\u05d9\u05d8\u05e8\u05d9\u05d5\u05e0\u05d9\u05dd. \u05e0\u05e9\u05ea\u05de\u05e9 \u05d1\u05db\u05dc\u05d9 \u05d6\u05d4 \u05e2\u05dc \u05de\u05e0\u05ea \u05dc\u05d0\u05e1\u05d5\u05e3 \u05de\u05d9\u05d3\u05e2 \u05e2\u05dc \u05d0\u05d5\u05e4\u05df \u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05ea\u05df \u05e9\u05dc \u05de\u05e2\u05e8\u05db\u05d5\u05ea Windows.<\/p>\n

          Winlogbeat – \u05db\u05dc\u05d9 (13) \u05e9\u05dc \u05d7\u05d1\u05e8\u05ea Elastic \u05d4\u05de\u05d0\u05e4\u05e9\u05e8 \u05d0\u05ea \u05e9\u05dc\u05d9\u05e4\u05ea\u05dd \u05d5\u05d4\u05e2\u05d1\u05e8\u05ea\u05dd \u05e9\u05dc \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05e9\u05e0\u05e8\u05e9\u05de\u05d5 \u05d1-Windows Event Log \u05d0\u05dc \u05de\u05e2\u05e8\u05db\u05ea Elasticsearch \u05dc\u05e6\u05d5\u05e8\u05da \u05e0\u05d9\u05ea\u05d5\u05d7 \u05d5\u05d7\u05d9\u05e4\u05d5\u05e9.<\/p>\n

          NXLog – \u05db\u05dc\u05d9 (14) \u05d0\u05d9\u05e1\u05d5\u05e3 \u05d4\u05de\u05d0\u05e4\u05e9\u05e8 \u05dc\u05e9\u05dc\u05d5\u05e3\u00a0\u05dc\u05d5\u05d2\u05d9\u05dd \u05de\u05e7\u05d1\u05e6\u05d9\u05dd \u05d0\u05d5 \u05de-Windows Event Log \u05d0\u05d5 \u05de\u05de\u05e7\u05d5\u05e8\u05d5\u05ea \u05e0\u05d5\u05e1\u05e4\u05d9\u05dd, \u05dc\u05d1\u05e6\u05e2 \u05e2\u05dc\u05d9\u05d4\u05dd \u05e2\u05d9\u05d1\u05d5\u05d3\u05d9\u05dd \u05e4\u05e9\u05d5\u05d8\u05d9\u05dd \u05d5\u05dc\u05d4\u05e2\u05d1\u05d9\u05e8\u05dd \u05dc\u05d0\u05d7\u05e8 \u05de\u05db\u05df \u05dc\u05de\u05d2\u05d5\u05d5\u05df \u05de\u05e2\u05e8\u05db\u05d5\u05ea<\/p>\n

          Logstash – \u05db\u05dc\u05d9 (15) \u05de\u05d1\u05d9\u05ea Elastic \u05d4\u05de\u05d0\u05e4\u05e9\u05e8 \u05e7\u05dc\u05d9\u05d8\u05ea \u05dc\u05d5\u05d2\u05d9\u05dd \u05d0\u05d5 \u05de\u05d9\u05d3\u05e2\u05d9\u05dd \u05d1\u05de\u05d2\u05d5\u05d5\u05df \u05d3\u05e8\u05db\u05d9\u05dd, \u05dc\u05d1\u05e6\u05e2 \u05e2\u05dc\u05d9\u05d4\u05dd \u05de\u05d2\u05d5\u05d5\u05df \u05e2\u05d9\u05d1\u05d5\u05d3\u05d9\u05dd \u05d5\u05dc\u05d4\u05e2\u05d1\u05d9\u05e8 \u05d0\u05d5\u05ea\u05dd \u05d4\u05dc\u05d0\u05d4 \u05dc\u05db\u05dc\u05d9\u05dd \u05e8\u05d1\u05d9\u05dd \u05d5\u05d1\u05d9\u05e0\u05d9\u05d4\u05dd \u05d2\u05dd Elasticsearch.<\/p>\n

          \u05d1\u05e2\u05d6\u05e8\u05ea Sysmon \u05e0\u05d9\u05ea\u05df \u05dc\u05d2\u05e8\u05d5\u05dd \u05dc-Windows \u05dc\u05e8\u05e9\u05d5\u05dd \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05d1\u05e2\u05dc\u05d9 \u05e2\u05e0\u05d9\u05d9\u05df \u05e2\u05d1\u05d5\u05e8\u05d9\u05e0\u05d5 \u05de\u05e9\u05e8\u05ea\u05d9\u05dd \u05d5\u05ea\u05d7\u05e0\u05d5\u05ea \u05d4\u05e7\u05e6\u05d4 \u05d0\u05dc \u05d4-EventLog \u05e9\u05dc \u05db\u05dc \u05e9\u05e8\u05ea\/\u05ea\u05d7\u05e0\u05d4. \u05d1\u05e2\u05d6\u05e8\u05ea Winlogbeat \u05e0\u05d9\u05ea\u05df \u05dc\u05d4\u05e2\u05d1\u05d9\u05e8 \u05d0\u05ea \u05d4\u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05e9\u05e0\u05e8\u05e9\u05de\u05d5 \u05d1-EventLog \u05d0\u05dc \u05de\u05e2\u05e8\u05db\u05ea \u05d4-Elasticsearch. \u05d0\u05e4\u05e9\u05e8\u05d5\u05ea \u05e0\u05d5\u05e1\u05e4\u05ea \u05ea\u05d4\u05d9\u05d4 \u05dc\u05d4\u05e9\u05ea\u05de\u05e9 \u05d1-NXLOG \u05e9\u05d9\u05d5\u05ea\u05e7\u05df \u05e2\u05dc \u05e9\u05e8\u05ea\u05d9 \u05d4-Windows (\u05d1\u05de\u05e7\u05d5\u05dd Winlogbeat) \u05d5\u05d9\u05e2\u05d1\u05d9\u05e8 \u05d0\u05ea \u05d4\u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05d1-TCP \u05d0\u05d5 UDP \u05d1\u05de\u05d1\u05e0\u05d4 \u05e8\u05e6\u05d5\u05d9 \u05d0\u05dc \u05e9\u05d9\u05e8\u05d5\u05ea Logstash \u05d0\u05e9\u05e8 \u05d9\u05e2\u05d1\u05d9\u05e8 \u05d0\u05ea \u05d4\u05d7\u05d5\u05de\u05e8 \u05d0\u05dc Elasticsearch.<\/p>\n

          \u05d7\u05e9\u05d5\u05d1 \u05dc\u05d4\u05d1\u05d9\u05df, \u05d1\u05e0\u05d5\u05e1\u05e3, \u05e9\u05db\u05db\u05dc \u05e9\u05d4\u05de\u05d9\u05d3\u05e2 \u05e9\u05d9\u05e0\u05d5\u05ea\u05d1 \u05dc\u05d0\u05dc\u05e1\u05d8\u05d9\u05e7 \u05d9\u05d4\u05d9\u05d4 \u05de\u05e4\u05d5\u05e8\u05d8 \u05d9\u05d5\u05ea\u05e8 \u05d5\u05de\u05d2\u05d5\u05d5\u05df \u05d9\u05d5\u05ea\u05e8 (\u05de\u05d1\u05d7\u05d9\u05e0\u05ea \u05de\u05e2\u05e8\u05db\u05d5\u05ea \u05d4\u05de\u05e7\u05d5\u05e8 \u05d4\u05de\u05d9\u05d9\u05e6\u05d0\u05d5\u05ea \u05d0\u05d5\u05ea\u05d5) \u05db\u05da \u05d4\u05e1\u05d9\u05db\u05d5\u05d9\u05d9\u05dd \u05dc\u05d0\u05ea\u05e8 \u05d9\u05d5\u05ea\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05d5\u05d0\u05d9\u05d5\u05de\u05d9\u05dd \u05e2\u05d5\u05dc\u05d9\u05dd \u05d1\u05d4\u05ea\u05d0\u05dd. \u05d4\u05de\u05e9\u05de\u05e2\u05d5\u05ea \u05d4\u05d9\u05d0 \u05e9\u05d0\u05dd, \u05d1\u05e0\u05d5\u05e1\u05e3 (\u05d0\u05d5 \u05d1\u05de\u05e7\u05d5\u05dd \u05d0\u05dd \u05d0\u05d9\u05df \u05d1\u05e8\u05d9\u05e8\u05d4) \u05dc\u05dc\u05d5\u05d2\u05d9\u05dd \u05d4\u05de\u05d2\u05d9\u05e2\u05d9\u05dd \u05de\u05d4\u05ea\u05d7\u05e0\u05d5\u05ea\/\u05e9\u05e8\u05ea\u05d9\u05dd \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea Winlogbeat+syslog \u05d0\u05d5 \u05e2"\u05d9 Logstash+Nxlog+Sysmon, \u05d9\u05d4\u05d9\u05d5 \u05d1\u05e8\u05e9\u05d5\u05ea\u05d9\u05e0\u05d5 \u05d2\u05dd \u05dc\u05d5\u05d2\u05d9\u05dd \u05d0\u05e4\u05dc\u05d9\u05e7\u05d8\u05d9\u05d1\u05d9\u05d9\u05dd \u05e9\u05dc \u05e4\u05d9\u05d9\u05e8\u05d5\u05d5\u05dc\u05d9\u05dd \u05d5\u05e6\u05d9\u05d5\u05d3\u05d9 \u05d0\u05d1\u05d8\u05d7\u05d4 \u05e9\u05d5\u05e0\u05d9\u05dd – \u05db\u05df \u05d9\u05d9\u05d8\u05d1.<\/p>\n

           <\/p>\n

          \u05e0\u05d9\u05ea\u05d5\u05d7:<\/p>\n

            \n
          1. Ransomware:\n
              \n
            1. \u05dc\u05e4\u05d9 \u05d4\u05e0\u05ea\u05d5\u05e0\u05d9\u05dd \u05e9\u05e6\u05d9\u05d9\u05e0\u05ea\u05d9 \u05dc\u05e2\u05d9\u05dc, \u05d5\u05d0\u05e9\u05e8 \u05e0\u05de\u05e6\u05d0\u05d5 \u05e2\u05dc \u05d9\u05d3\u05d9 \u05d7\u05d5\u05e7\u05e8\u05d9\u05dd \u05e9\u05d5\u05e0\u05d9\u05dd \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05de\u05ea\u05e7\u05e4\u05d5\u05ea Ransomware \u05e8\u05d1\u05d5\u05ea \u05de\u05e9\u05ea\u05de\u05e9\u05d5\u05ea \u05d1-Tor \u05db\u05e4\u05dc\u05d8\u05e4\u05d5\u05e8\u05de\u05d4 \u05dc\u05ea\u05e7\u05e9\u05d5\u05e8\u05ea \u05e2\u05dd \u05e9\u05e8\u05ea \u05d4-C&C. \u05d1\u05d0\u05d5\u05e4\u05df \u05e2\u05e7\u05e8\u05d5\u05e0\u05d9, Tor \u05d3\u05d5\u05d0\u05d2 \u05dc\u05d0 \u05e8\u05e7 \u05dc\u05d4\u05e6\u05e4\u05e0\u05ea \u05d4\u05ea\u05e2\u05d1\u05d5\u05e8\u05d4 \u05d0\u05dc\u05d0 \u05d2\u05dd \u05de\u05e1\u05ea\u05d9\u05e8 \u05d0\u05ea \u05d4\u05ea\u05e2\u05d1\u05d5\u05e8\u05d4 \u05e9\u05dc\u05d5 \u05db-HTTPS \u05e8\u05d2\u05d9\u05dc \u05db\u05d3\u05d9 \u05dc\u05d4\u05e7\u05e9\u05d5\u05ea \u05e2\u05dc \u05d0\u05d9\u05ea\u05d5\u05e8\u05d5. \u05e2\u05dd \u05d6\u05d0\u05ea, \u05db\u05e4\u05d9 \u05e9\u05de\u05d5\u05e4\u05d9\u05e2 \u05d1\u05de\u05d0\u05de\u05e8 \u05d4\u05de\u05e6"\u05d1 (16) \u05e7\u05d9\u05d9\u05de\u05ea \u05d3\u05e8\u05da \u05e2\u05dc \u05d1\u05e1\u05d9\u05e1 \u05d0\u05dc\u05d2\u05d5\u05e8\u05d9\u05ea\u05dd \u05e1\u05d8\u05d8\u05d9\u05e1\u05d8\u05d9 \u05dc\u05d6\u05d4\u05d5\u05ea \u05d0\u05ea \u05d4\u05ea\u05e7\u05e9\u05d5\u05e8\u05d5\u05ea \u05d4\u05dc\u05dc\u05d5. \u05db\u05e4\u05d9 \u05e9\u05e0\u05d9\u05ea\u05df \u05dc\u05e8\u05d0\u05d5\u05ea \u05d2\u05dd \u05d1\u05de\u05d0\u05de\u05e8 \u05e9\u05dc \u05d7\u05d1\u05e8\u05ea Fortinet, \u05d2\u05dd \u05de\u05d5\u05e6\u05e8 \u05d4-Firewall \u05e9\u05dc \u05d4\u05d7\u05d1\u05e8\u05d4 \u05de\u05e1\u05d5\u05d2\u05dc \u05dc\u05d6\u05d4\u05d5\u05ea \u05d5\u05dc\u05d7\u05e1\u05d5\u05dd \u05ea\u05e2\u05d1\u05d5\u05e8\u05ea Tor (\u05d2\u05dd \u05d0\u05dd \u05d1\u05d0\u05e8\u05d2\u05d5\u05e0\u05db\u05dd \u05e6\u05d9\u05d5\u05d3 \u05d3\u05d5\u05de\u05d4 \u05de\u05e9\u05de\u05e9 \u05dc\u05d7\u05e1\u05d9\u05de\u05ea\u05df \u05e9\u05dc \u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d0\u05dc\u05d5, \u05e2\u05d3\u05d9\u05d9\u05df, \u05e2\u05dc \u05d1\u05e1\u05d9\u05e1 \u05d4\u05dc\u05d5\u05d2\u05d9\u05dd \u05e9\u05dc \u05d4\u05ea\u05d7\u05e0\u05d5\u05ea \u05d5\/\u05d0\u05d5 \u05e9\u05dc \u05d4\u05e4\u05d9\u05d9\u05e8\u05d5\u05d5\u05dc \u05d9\u05d4\u05d9\u05d4 \u05e0\u05d9\u05ea\u05df \u05dc\u05d0\u05ea\u05e8 \u05d0\u05ea \u05e0\u05e1\u05d9\u05d5\u05e0\u05d5\u05ea \u05d4\u05d2\u05d9\u05e9\u05d4 \u05e9\u05dc \u05e8\u05db\u05d9\u05d1\u05d9\u05dd \u05d4\u05de\u05ea\u05e7\u05e9\u05e8\u05d9\u05dd \u05e2\u05dc \u05d1\u05e1\u05d9\u05e1 \u05d4-Tor Network\u00a0\u05d5\u05db\u05da \u05dc\u05d0\u05ea\u05e8 \u05ea\u05d7\u05e0\u05d5\u05ea \u05d5\/\u05d0\u05d5 \u05e9\u05e8\u05ea\u05d9\u05dd \u05e9\u05e0\u05e4\u05d2\u05e2\u05d5. \u05d1\u05e0\u05d5\u05e1\u05e3, \u05e7\u05d9\u05d9\u05de\u05d9\u05dd \u05d0\u05ea\u05e8\u05d9\u05dd \u05db\u05de\u05d5 \u05d6\u05d4 \u05d4\u05de\u05d5\u05e4\u05d9\u05e2 \u05de\u05d8\u05d4 (18) \u05d4\u05de\u05db\u05d9\u05dc\u05d9\u05dd \u05e8\u05e9\u05d9\u05de\u05ea \u05db\u05ea\u05d5\u05d1\u05d5\u05ea IP \u05e9\u05dc \u05e9\u05e8\u05ea\u05d9 Tor relay \u05d0\u05e9\u05e8 \u05e0\u05d9\u05ea\u05df \u05dc\u05d1\u05d3\u05d5\u05e7 \u05d0\u05d5\u05ea\u05dd \u05d0\u05dc \u05de\u05d5\u05dc \u05d4\u05d7\u05d5\u05de\u05e8 \u05e9\u05e0\u05d0\u05d2\u05e8 \u05d1\u05d0\u05dc\u05e1\u05d8\u05d9\u05e7. \u05d6\u05d5 \u05d0\u05de\u05e0\u05dd \u05e1\u05d5\u05d2 \u05e9\u05dc \u05d2\u05d9\u05e9\u05d4 \u05d4\u05de\u05d1\u05d5\u05e1\u05e1\u05ea \u05e2\u05dc \u05d7\u05ea\u05d9\u05de\u05d5\u05ea \u05d0\u05d1\u05dc \u05e2\u05d3\u05d9\u05d9\u05df \u05d0\u05d9\u05dc\u05d5 \u05d7\u05ea\u05d9\u05de\u05d5\u05ea \u05db\u05dc\u05dc\u05d9\u05d5\u05ea \u05dc\u05ea\u05e7\u05e9\u05d5\u05e8\u05ea Tor \u05d5\u05dc\u05d0 \u05d7\u05ea\u05d9\u05de\u05d5\u05ea \u05dc\u05ea\u05e7\u05e9\u05d5\u05e8\u05ea \u05e9\u05dc \u05e4\u05d5\u05d2\u05e2\u05df \u05e1\u05e4\u05e6\u05d9\u05e4\u05d9 \u05db\u05d6\u05d4 \u05d0\u05d5 \u05d0\u05d7\u05e8.<\/li>\n
            2. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05e4\u05d5\u05e2\u05e0\u05d9\u05dd \u05e8\u05d1\u05d9\u05dd \u05d3\u05d5\u05d2\u05de\u05ea WannaCry \u05d5-NotPetya \u05de\u05e0\u05e1\u05d9\u05dd \u05dc\u05d4\u05ea\u05e4\u05e9\u05d8 \u05d1\u05d0\u05de\u05e6\u05e2\u05d5\u05ea \u05d4\u05d7\u05d5\u05dc\u05e9\u05d4 \u05e9\u05e4\u05d5\u05e8\u05e1\u05de\u05d4 \u05d1-SMB \u05d5\u05dc\u05db\u05df, \u05db\u05de\u05d5\u05ea \u05ea\u05e2\u05d1\u05d5\u05e8\u05ea \u05d4-SMB \u05d1\u05d9\u05df \u05ea\u05d7\u05e0\u05d5\u05ea \u05d5\u05e9\u05e8\u05ea\u05d9\u05dd \u05d1\u05d0\u05e8\u05d2\u05d5\u05df \u05db\u05db\u05dc \u05d4\u05e0\u05e8\u05d0\u05d4 \u05ea\u05d2\u05d3\u05dc \u05d1\u05d0\u05d5\u05e4\u05df \u05de\u05e9\u05de\u05e2\u05d5\u05ea\u05d9 \u05d5\u05d1\u05e0\u05d5\u05e1\u05e3, \u05d2\u05dd \u05db\u05de\u05d5\u05ea \u05d4\u05e0\u05e1\u05d9\u05d5\u05e0\u05d5\u05ea \u05e9\u05dc \u05d4\u05ea\u05d7\u05e0\u05d5\u05ea \u05d5\u05d4\u05e9\u05e8\u05ea\u05d9\u05dd \u05e9\u05e0\u05e4\u05d2\u05e2\u05d5 \u05dc\u05e6\u05d0\u05ea \u05d4\u05d7\u05d5\u05e6\u05d4 \u05de\u05d4\u05d0\u05e8\u05d2\u05d5\u05df \u05d1\u05e4\u05d5\u05e8\u05d8 \u05d4\u05d6\u05d4 (445) \u05ea\u05d2\u05d3\u05dc \u05de\u05e9\u05de\u05e2\u05d5\u05ea\u05d9\u05ea. \u05dc\u05db\u05df, \u05de\u05d3\u05d9\u05d3\u05d4 \u05e9\u05dc \u05de\u05d3\u05d3 \u05d6\u05d4 \u05d1\u05d0\u05d5\u05e4\u05df \u05e7\u05d1\u05d5\u05e2 \u05d5\u05d0\u05d9\u05ea\u05d5\u05e8 \u05d0\u05e0\u05d5\u05de\u05dc\u05d9\u05d5\u05ea \u05d1\u05d4\u05ea\u05e0\u05d4\u05d2\u05d5\u05ea\u05d5 \u05ea\u05e1\u05d9\u05d9\u05e2 \u05dc\u05d0\u05ea\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4.<\/li>\n
            3. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4, \u05de\u05e4\u05e2\u05d9\u05dc\u05d5\u05ea \u05d1\u05de\u05d7\u05e9\u05d1\u05d9\u05dd \u05e9\u05e0\u05e4\u05d2\u05e2\u05d5 \u05e7\u05d1\u05e6\u05d9\u05dd \u05d1\u05de\u05e7\u05d5\u05de\u05d5\u05ea \u05dc\u05d0 \u05e9\u05d2\u05e8\u05ea\u05d9\u05d9\u05dd \u05db\u05d2\u05d5\u05df "cmd.exe \/c vssadmin delete shadows" \u05d5\u05d0\u05d7\u05e8\u05d9\u05dd. \u05dc\u05db\u05df, \u05d0\u05d9\u05e1\u05d5\u05e3 \u05de\u05d9\u05d3\u05e2 \u05d6\u05d4 \u05e9\u05dc \u05d4\u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05d4\u05e8\u05e6\u05d9\u05dd \u05d1\u05db\u05dc \u05e9\u05e8\u05ea\/\u05ea\u05d7\u05e0\u05d4 \u05d4\u05d9\u05e0\u05d5 \u05e7\u05e8\u05d9\u05d8\u05d9 \u05dc\u05e6\u05d5\u05e8\u05da \u05d0\u05d9\u05ea\u05d5\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05e2\u05dc \u05d9\u05d3\u05d9 \u05d0\u05d9\u05ea\u05d5\u05e8 \u05e7\u05d1\u05e6\u05d9\u05dd \u05d0\u05d5 \u05e9\u05d5\u05e8\u05d5\u05ea \u05e4\u05e7\u05d5\u05d3\u05d4 \u05e0\u05d3\u05d9\u05e8\u05d5\u05ea \u05d1\u05de\u05d9\u05d5\u05d7\u05d3.<\/li>\n
            4. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05de\u05e9\u05ea\u05de\u05e9\u05d5\u05ea \u05e4\u05e2\u05de\u05d9\u05dd \u05e8\u05d1\u05d5\u05ea \u05d1\u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d3\u05d5\u05de\u05d9\u05d9\u05df \u05d4\u05de\u05d9\u05d5\u05e6\u05e8\u05d5\u05ea \u05d3\u05d9\u05e0\u05d0\u05de\u05d9\u05ea \u05e2\u05dc \u05d9\u05d3\u05d9 \u05de\u05e0\u05d2\u05e0\u05d5\u05df DGA \u05db\u05d2\u05d5\u05df \u05d6\u05d5 \u05dc\u05de\u05e9\u05dc:\u00a0"www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com". \u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05db\u05d0\u05dc\u05d5 \u05d9\u05d4\u05d9\u05d5, \u05e2\u05dc \u05e4\u05d9 \u05e8\u05d5\u05d1, \u05d0\u05e8\u05d5\u05db\u05d5\u05ea \u05d9\u05d5\u05ea\u05e8 \u05de\u05db\u05ea\u05d5\u05d1\u05d5\u05ea "\u05e8\u05d2\u05d9\u05dc\u05d5\u05ea" \u05d5\u05d9\u05db\u05d9\u05dc\u05d5 \u05e6\u05d9\u05e8\u05d5\u05e4\u05d9 \u05d0\u05d5\u05ea\u05d9\u05d5\u05ea \u05e9\u05d4\u05d9\u05e0\u05dd \u05e0\u05d3\u05d9\u05e8\u05d9\u05dd \u05d9\u05d7\u05e1\u05d9\u05ea \u05d1\u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d3\u05d5\u05de\u05d9\u05d9\u05df "\u05e8\u05d2\u05d9\u05dc\u05d5\u05ea". \u05dc\u05db\u05df, \u05dc\u05d3\u05e2\u05ea\u05d9, \u05e0\u05d9\u05ea\u05df \u05dc\u05d0\u05ea\u05e8 \u05d2\u05d9\u05e9\u05d4 \u05dc\u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d0\u05dc\u05d5 \u05e2\u05dc \u05d9\u05d3\u05d9 \u05de\u05d3\u05d9\u05d3\u05ea \u05e9\u05db\u05d9\u05d7\u05d5\u05ea\u05df \u05e9\u05dc \u05d0\u05d5\u05ea\u05d9\u05d5\u05ea \u05e2\u05d9\u05e7\u05e8\u05d9\u05d5\u05ea \u05d5\u05de\u05d3\u05d9\u05d3\u05ea \u05d0\u05d5\u05e8\u05db\u05d9 \u05d4\u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05d5\u05d0\u05d9\u05ea\u05d5\u05e8 \u05db\u05ea\u05d5\u05d1\u05d5\u05ea \u05e9\u05d4\u05df \u05d0\u05d5 \u05d0\u05e8\u05d5\u05db\u05d5\u05ea \u05d1\u05d4\u05e8\u05d1\u05d4 \u05de\u05d4\u05e8\u05d2\u05d9\u05dc \u05d0\u05d5 \u05de\u05db\u05d9\u05dc\u05d5\u05ea \u05e6\u05d9\u05e8\u05d5\u05e4\u05d9 \u05d0\u05d5\u05ea\u05d9\u05d5\u05ea \u05e0\u05d3\u05d9\u05e8\u05d9\u05dd \u05d1\u05de\u05d9\u05d5\u05d7\u05d3.<\/li>\n<\/ol>\n<\/li>\n
            5. Phishing:\n
                \n
              1. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05d1\u05e9\u05dc \u05d4\u05e2\u05d5\u05d1\u05d3\u05d4 \u05e9\u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05de\u05d6\u05d5\u05d4\u05d5\u05ea \u05e2\u05dc \u05d9\u05d3\u05d9 \u05e9\u05dd, \u05ea\u05d5\u05e7\u05e4\u05d9\u05dd \u05de\u05e6\u05d9\u05d1\u05d9\u05dd \u05dc\u05d0 \u05e4\u05e2\u05dd \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05d1\u05e2\u05dc\u05d9 \u05e9\u05dd \u05de\u05d6\u05d4\u05d4 \u05d3\u05d5\u05de\u05d4 (\u05dc\u05de\u05e9\u05dc "com.adobe.flash.player" \u05db\u05d0\u05e9\u05e8\u05e8 \u05d4\u05e9\u05dd \u05d4\u05d0\u05de\u05d9\u05ea\u05d9 \u05d4\u05d5\u05d0 "com.adobe.flashplayer") \u05d1\u05d7\u05e0\u05d5\u05ea \u05d4\u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05e2\u05dc \u05de\u05e0\u05ea \u05dc\u05e4\u05ea\u05d5\u05ea \u05de\u05e9\u05ea\u05de\u05e9\u05d9\u05dd \u05dc\u05d4\u05d5\u05e8\u05d9\u05d3 \u05d0\u05d5\u05ea\u05df. \u05dc\u05db\u05df, \u05e9\u05d9\u05de\u05d5\u05e9 \u05d1-fuzzy query \u05e9\u05dc Elasticsearch \u05d9\u05db\u05d5\u05dc \u05d1\u05d4\u05d7\u05dc\u05d8 \u05dc\u05d0\u05ea\u05e8 \u05e9\u05de\u05d5\u05ea \u05e9\u05dc \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05e9\u05d3\u05d5\u05de\u05d5\u05ea \u05de\u05d0\u05d3 \u05dc\u05e9\u05de\u05d5\u05ea \u05e9\u05dc \u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05d0\u05d7\u05e8\u05d5\u05ea. \u05d1\u05de\u05d9\u05d3\u05d4 \u05d5\u05d9\u05e9 \u05d1\u05d9\u05d3\u05d9\u05e0\u05d5 \u05ea\u05d9\u05e2\u05d5\u05d3 \u05dc\u05d2\u05d1\u05d9 \u05d4\u05d0\u05e4\u05dc\u05d9\u05e7\u05e6\u05d9\u05d5\u05ea \u05e9\u05d4\u05d5\u05e8\u05d9\u05d3\u05d5 \u05de\u05e9\u05ea\u05de\u05e9\u05d9\u05dd, \u05d0\u05d5 \u05d1\u05d4\u05e8\u05d7\u05d1\u05d4 – \u05e4\u05e0\u05d9\u05d5\u05ea \u05dc\u05d0\u05ea\u05e8\u05d9\u05dd (\u05dc\u05de\u05e9\u05dc \u05de\u05dc\u05d5\u05d2\u05d9\u05dd \u05e9\u05dc DNS), \u05e0\u05d9\u05ea\u05df \u05dc\u05d1\u05e6\u05e2 \u05e9\u05d0\u05d9\u05dc\u05ea\u05d5\u05ea fuzzy query \u05dc\u05e4\u05d9 \u05d4\u05e2\u05e8\u05db\u05d9\u05dd \u05d4\u05e0\u05e4\u05d5\u05e6\u05d9\u05dd \u05d1\u05d9\u05d5\u05ea\u05e8 \u05e2\u05dc \u05d4\u05e2\u05e8\u05db\u05d9\u05dd \u05d4\u05e0\u05d3\u05d9\u05e8\u05d9\u05dd \u05d9\u05d5\u05ea\u05e8. \u05dc\u05de\u05e9\u05dc – \u05d0\u05dd \u05de\u05e9\u05ea\u05de\u05e9\u05d9\u05dd \u05e8\u05d1\u05d9\u05dd \u05d9\u05d7\u05e1\u05d9\u05ea \u05e4\u05d5\u05e0\u05d9\u05dd \u05dc\u05d3\u05d5\u05de\u05d9\u05d9\u05df \u05e9\u05e9\u05de\u05d5 artifex.co.il \u05de\u05e0\u05d2\u05e0\u05d5\u05df \u05db\u05d6\u05d4 \u05d9\u05d1\u05d3\u05d5\u05e7 \u05d1\u05e8\u05e9\u05d9\u05de\u05ea \u05d4\u05e2\u05e8\u05db\u05d9\u05dd \u05d4\u05e0\u05d3\u05d9\u05e8\u05d9\u05dd \u05d9\u05d7\u05e1\u05d9\u05ea \u05d4\u05d0\u05dd \u05d9\u05e9\u05e0\u05dd \u05e2\u05e8\u05db\u05d9\u05dd \u05e9\u05d3\u05d5\u05de\u05d9\u05dd (fuzzy) \u05dc\u05d5 \u05dc\u05de\u05e9\u05dc artifix.co.il. \u05dc\u05d3\u05e2\u05ea\u05d9, \u05e9\u05d9\u05de\u05d5\u05e9 \u05d1\u05db\u05d9\u05d5\u05d5\u05df \u05db\u05d6\u05d4 \u05d9\u05d0\u05e4\u05e9\u05e8 \u05d6\u05d9\u05d4\u05d5\u05d9 \u05e9\u05dc \u05de\u05ea\u05e7\u05e4\u05d5\u05ea Phishing \u05e8\u05d1\u05d5\u05ea.<\/li>\n<\/ol>\n<\/li>\n
              2. \u05db\u05dc\u05d9 \u05ea\u05e7\u05d9\u05e4\u05d4 \u05e0\u05e4\u05d5\u05e6\u05d9\u05dd:\n
                  \n
                1. WMImplant\n
                    \n
                  1. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05d6\u05db\u05e8 \u05dc\u05e2\u05d9\u05dc, \u05db\u05dc\u05d9\u05dd \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05de\u05e4\u05e2\u05d9\u05dc\u05d9\u05dd \u05d1\u05de\u05d7\u05e9\u05d1 \u05d4\u05e4\u05d2\u05d5\u05e2 \u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05dc\u05d0 \u05e9\u05d2\u05e8\u05ea\u05d9\u05d9\u05dd \u05db\u05d2\u05d5\u05df\u00a0'Inv`oke-Ex`pression' (\u05d1\u05d2\u05dc\u05dc \u05d4-Obfuscation)\u00a0\u05dc\u05db\u05df, \u05d0\u05d9\u05e1\u05d5\u05e3 \u05de\u05d9\u05d3\u05e2 \u05e2\u05dc \u05d4\u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05d4\u05e8\u05e6\u05d9\u05dd \u05d1\u05db\u05dc \u05e9\u05e8\u05ea\/\u05ea\u05d7\u05e0\u05d4 \u05d4\u05d9\u05e0\u05d5 \u05e7\u05e8\u05d9\u05d8\u05d9 \u05dc\u05e6\u05d5\u05e8\u05da \u05d0\u05d9\u05ea\u05d5\u05e8 \u05de\u05ea\u05e7\u05e4\u05d5\u05ea \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05e2\u05dc \u05d9\u05d3\u05d9 \u05d0\u05d9\u05ea\u05d5\u05e8 \u05e7\u05d1\u05e6\u05d9\u05dd \u05d0\u05d5 \u05e9\u05d5\u05e8\u05d5\u05ea \u05e4\u05e7\u05d5\u05d3\u05d4 \u05e0\u05d3\u05d9\u05e8\u05d5\u05ea \u05d1\u05de\u05d9\u05d5\u05d7\u05d3.<\/li>\n<\/ol>\n<\/li>\n
                  2. Remote Code Exec via Services.msc\n
                      \n
                    1. \u05db\u05e4\u05d9 \u05e9\u05d4\u05d5\u05e1\u05d1\u05e8, \u05db\u05dc\u05d9\u05dd \u05e9\u05d9\u05e0\u05e1\u05d5 \u05dc\u05d4\u05d5\u05e1\u05d9\u05e3 Services \u05dc\u05de\u05e2\u05e8\u05db\u05ea \u05dc\u05e6\u05d5\u05e8\u05da \u05d4\u05e4\u05e2\u05dc\u05ea \u05ea\u05d4\u05dc\u05d9\u05db\u05d9\u05dd \u05de\u05e8\u05d7\u05d5\u05e7 (\u05d0\u05d5 \u05d4\u05e9\u05d2\u05ea Persistence) \u05d9\u05e6\u05d8\u05e8\u05db\u05d5 \u05dc\u05d1\u05e6\u05e2\u00a0\u05d7\u05d9\u05d1\u05d5\u05e8\u05d9\u05dd \u05dc\u05e9\u05d9\u05ea\u05d5\u05e3 \u05d4\u05d7\u05d1\u05d5\u05d9 $ADMIN \u05d5\u05dc\u05e2\u05d3\u05db\u05df\u00a0\u05d0\u05ea \u05e8\u05e9\u05d9\u05de\u05ea \u05d4-Services \u05d4\u05de\u05d0\u05d5\u05d7\u05e1\u05e0\u05ea \u05d1\u05e8\u05d9\u05e9\u05d5\u05dd \u05d4\u05de\u05e2\u05e8\u05db\u05ea. \u05d1\u05de\u05d9\u05d3\u05d4 \u05d5\u05d9\u05e9 \u05dc\u05e0\u05d5 \u05dc\u05d5\u05d2\u05d9\u05dd \u05e9\u05d9\u05db\u05d5\u05dc\u05d9\u05dd \u05dc\u05ea\u05d0\u05e8 \u05d0\u05ea \u05e4\u05e2\u05d9\u05dc\u05d5\u05ea \u05d4-SMB \u05d1\u05d0\u05e8\u05d2\u05d5\u05df, \u05e0\u05d5\u05db\u05dc \u05dc\u05d0\u05ea\u05e8 \u05d7\u05d9\u05d1\u05d5\u05e8\u05d9\u05dd \u05dc\u05e9\u05d9\u05ea\u05d5\u05e3 \u05d4\u05e0"\u05dc \u05d5\u05d1\u05de\u05d9\u05d3\u05d4 \u05d5\u05d9\u05e9 \u05dc\u05e0\u05d5 \u05dc\u05d5\u05d2\u05d9\u05dd \u05e9\u05dc Windows System Event Log \u05e0\u05d5\u05db\u05dc \u05dc\u05d0\u05ea\u05e8 \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05e2\u05dd EventID \u05de\u05e1\u05e4\u05e8 4697 \u05e9\u05db\u05d5\u05ea\u05e8\u05ea\u05d5 "A service was installed in the system" \u05d5\u05dc\u05d4\u05ea\u05e8\u05d9\u05e2 \u05e2\u05dc \u05db\u05da.<\/li>\n<\/ol>\n<\/li>\n
                    2. Mimikatz\n
                        \n
                      1. \u05d1\u05de\u05d9\u05d3\u05d4 \u05d5\u05d4\u05e4\u05e2\u05dc\u05e0\u05d5 \u05d0\u05ea Sysmon \u05d1\u05d0\u05d5\u05e4\u05df \u05de\u05ea\u05d0\u05d9\u05dd, \u05e0\u05d5\u05db\u05dc \u05dc\u05e7\u05d1\u05dc \u05d3\u05d9\u05d5\u05d5\u05d7 \u05dc-Windows Application Event Log \u05db\u05d0\u05d9\u05e8\u05d5\u05e2 \u05e2\u05dd EventID \u05de\u05e1\u05e4\u05e8 10 \u05d0\u05e9\u05e8 \u05de\u05e6\u05d9\u05d9\u05df \u05e9\u05ea\u05d4\u05dc\u05d9\u05da (Process) \u05e0\u05d9\u05d2\u05e9 \u05dc\u05d6\u05d9\u05db\u05e8\u05d5\u05df \u05e9\u05dc \u05ea\u05d4\u05dc\u05d9\u05da \u05d0\u05d7\u05e8. \u05d0\u05d9\u05e8\u05d5\u05e2\u05d9\u05dd \u05de\u05e1\u05d5\u05d2 \u05d6\u05d4 \u05e2\u05e9\u05d5\u05d9\u05d9\u05dd \u05dc\u05d4\u05e6\u05d1\u05d9\u05e2 \u05e2\u05dc \u05d4\u05e2\u05d5\u05d1\u05d3\u05d4 \u05e9\u05ea\u05d4\u05dc\u05d9\u05da \u05de\u05e0\u05e1\u05d4 \u05dc\u05d4\u05e9\u05d9\u05d2 \u05d4\u05e8\u05e9\u05d0\u05d5\u05ea \u05e9\u05dc \u05ea\u05d4\u05dc\u05d9\u05da \u05d0\u05d7\u05e8 – \u05d1\u05d3\u05d9\u05d5\u05e7 \u05d0\u05d5\u05e4\u05df \u05d4\u05e4\u05e2\u05d5\u05dc\u05d4 \u05e9\u05dc Mimikatz.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

                         <\/p>\n

                        \u05d9\u05d9\u05ea\u05db\u05df \u05d5\u05d1\u05e9\u05dc\u05d1 \u05d4\u05d6\u05d4, \u05d0\u05ea\/\u05d4 \u05ea\u05d5\u05d4\u05d4 \u05db\u05de\u05d4 False positives \u05d0\u05e1\u05d8\u05e8\u05d8\u05d2\u05d9\u05d4 \u05db\u05d6\u05d5 \u05e2\u05e9\u05d5\u05d9\u05d4 \u05dc\u05d9\u05d9\u05e6\u05e8. \u05d4\u05d0\u05de\u05ea? \u05d9\u05d9\u05ea\u05db\u05df \u05d1\u05d4\u05d7\u05dc\u05d8 \u05e9\u05d0\u05ea\u05d4 \u05e6\u05d5\u05d3\u05e7 \u05d5\u05db\u05de\u05d5\u05ea \u05d4-False positives \u05ea\u05d4\u05d9\u05d4 \u05d2\u05d3\u05d5\u05dc\u05d4 \u05d5\u05ea\u05e7\u05e9\u05d4 \u05e2\u05dc \u05d0\u05d9\u05ea\u05d5\u05e8 \u05d5\u05d4\u05ea\u05e8\u05d0\u05d4 \u05d0\u05e4\u05e7\u05d8\u05d9\u05d1\u05d9\u05d9\u05dd. \u05dc\u05d0\u05d7\u05e8 \u05e9\u05e7\u05e8\u05d0\u05ea\u05d9 (\u05d0\u05dd \u05db\u05d9 \u05e2\u05d3\u05d9\u05d9\u05df \u05d8\u05e8\u05dd \u05e0\u05d9\u05e1\u05d9\u05ea\u05d9) \u05d0\u05ea \u05e1\u05e4\u05e8\u05d5 ("\u05e2\u05dc \u05d4\u05d0\u05d9\u05e0\u05d8\u05dc\u05d9\u05d2\u05e0\u05e6\u05d9\u05d4"<\/a>) \u05d5\u05d7\u05dc\u05e7 \u05d2\u05d3\u05d5\u05dc \u05de\u05de\u05d0\u05de\u05e8\u05d9\u05d5 \u05d5\u05e6\u05e4\u05d9\u05ea\u05d9 \u05d1\u05d4\u05e8\u05e6\u05d0\u05d5\u05ea\u05d9\u05d5 \u05e9\u05dc \u05d2'\u05e3 \u05d4\u05d5\u05e7\u05d9\u05e0\u05e1(19, 20) \u05d4\u05d2\u05e2\u05ea\u05d9 \u05dc\u05de\u05e1\u05e7\u05e0\u05d4 \u05e9\u05d9\u05d9\u05ea\u05db\u05df \u05d1\u05d4\u05d7\u05dc\u05d8 \u05e9\u05d4\u05d0\u05dc\u05d2\u05d5\u05e8\u05d9\u05ea\u05dd \u05d0\u05d5\u05ea\u05d5 \u05e4\u05d9\u05ea\u05d7\u05d4 \u05d4\u05d7\u05d1\u05e8\u05d4 \u05d1\u05e8\u05d0\u05e9\u05d5\u05ea\u05d5, \u05d9\u05d4\u05d9\u05d4 \u05de\u05e1\u05d5\u05d2\u05dc \u05dc\u05ea\u05e8\u05d5\u05dd \u05ea\u05e8\u05d5\u05de\u05d4 \u05de\u05e9\u05de\u05e2\u05d5\u05ea\u05d9\u05ea \u05dc\u05d6\u05d9\u05d4\u05d5\u05d9 \u05d1\u05d0\u05de\u05e6\u05e2\u05d9\u05dd \u05d4\u05dc\u05dc\u05d5 \u05d5\u05dc\u05e1\u05d9\u05e0\u05d5\u05df "\u05d4\u05de\u05d5\u05e5 \u05de\u05df \u05d4\u05ea\u05d1\u05df". \u05d0\u05dd \u05ea\u05e8\u05e6\u05d5 (\u05d5\u05ea\u05e9\u05d0\u05d9\u05e8\u05d5 \u05dc\u05d9 \u05e2\u05d3\u05db\u05d5\u05df \u05d1\u05ea\u05d2\u05d5\u05d1\u05d5\u05ea) \u05d0\u05d5\u05db\u05dc \u05dc\u05e4\u05e8\u05d8 \u05d9\u05d5\u05ea\u05e8 \u05d1\u05de\u05d0\u05de\u05e8 \u05d4\u05d1\u05d0…<\/p>\n

                         <\/p>\n

                        \u05de\u05e7\u05d5\u05e8\u05d5\u05ea:<\/p>\n

                          \n
                        1. https:\/\/www.bromium.com\/sites\/default\/files\/bromium-report-ransomware.pdf<\/li>\n
                        2. https:\/\/www.elastic.co\/blog\/malware-analysis-wannacry-elastic-stack<\/li>\n
                        3. https:\/\/www.elastic.co\/blog\/elasticsearch-as-android-malware-research-platform<\/li>\n
                        4. https:\/\/blog.malwarebytes.com\/threat-analysis\/2016\/03\/look-into-locky\/<\/li>\n
                        5. https:\/\/www.fireeye.com\/blog\/threat-research\/2017\/03\/wmimplant_a_wmi_ba.html<\/li>\n
                        6. http:\/\/www.securityweek.com\/researcher-builds-wmi-based-hacking-tool-powershell<\/li>\n
                        7. https:\/\/www.theregister.co.uk\/2017\/06\/28\/petya_notpetya_ransomware\/<\/li>\n
                        8. https:\/\/cyberwardog.blogspot.co.il\/2017\/04\/chronicles-of-threat-hunter-hunting-for_11.html<\/li>\n
                        9. https:\/\/www.toshellandback.com\/2017\/02\/11\/psexec\/<\/li>\n
                        10. https:\/\/sourceforge.net\/projects\/mimikatz.mirror\/<\/li>\n
                        11. https:\/\/cyberwardog.blogspot.co.il\/2017\/03\/chronicles-of-threat-hunter-hunting-for.html<\/li>\n
                        12. https:\/\/en.wikipedia.org\/wiki\/Sysinternals<\/li>\n
                        13. https:\/\/www.elastic.co\/downloads\/beats\/winlogbeat<\/li>\n
                        14. https:\/\/nxlog.co\/<\/li>\n
                        15. https:\/\/www.elastic.co\/products\/logstash<\/li>\n
                        16. http:\/\/www.netresec.com\/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic<\/li>\n
                        17. http:\/\/cookbook.fortinet.com\/blocking-monitoring-tor-traffic\/<\/li>\n
                        18. https:\/\/www.dan.me.uk\/torlist\/?exit<\/li>\n
                        19. https:\/\/www.youtube.com\/watch?v=f1tYXv6ST_U<\/li>\n
                        20. https:\/\/www.youtube.com\/watch?v=XMB0ri4qgwc<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

                          \u05ea\u05e0\u05d5 \u05dc\u05d9 \u05e0\u05e7\u05d5\u05d3\u05ea \u05de\u05e9\u05e2\u05df \u05d5\u05d0\u05e0\u05d9\u05e3 \u05d0\u05ea \u05d4\u05e2\u05d5\u05dc\u05dd. \/ \u05d0\u05e8\u05db\u05d9\u05de\u05d3\u05e1   ELK \u05d0\u05d5 Elastic stack \u05d4\u05d9\u05d0 \u05db\u05dc\u05d9 (\u05d8\u05d5\u05d1, \u05d0\u05d5\u05e1\u05e3 \u05db\u05dc\u05d9) \u05e7\u05d5\u05d3 \u05e4\u05ea\u05d5\u05d7 \u05de\u05d1\u05d9\u05ea \u05d7\u05d1\u05e8\u05ea Elastic \u05d4\u05de\u05d0\u05e4\u05e9\u05e8 \u05d0\u05ea \u05d0\u05d9\u05e1\u05d5\u05e4\u05dd \u05d5\u05e0\u05d9\u05ea\u05d5\u05d7\u05dd \u05e9\u05dc \u05db\u05de\u05d5\u05d9\u05d5\u05ea \u05e0\u05ea\u05d5\u05e0\u05d9\u05dd \u05d2\u05d3\u05d5\u05dc\u05d5\u05ea \u05d1\u05d9\u05d5\u05ea\u05e8 (\u05d9\u05e9\u05e0\u05dd \u05d9\u05d9\u05e9\u05d5\u05de\u05d9\u05dd \u05d4\u05de\u05d8\u05e4\u05dc\u05d9\u05dd \u05d1\u05db\u05de\u05d5\u05d9\u05d5\u05ea \u05e0\u05ea\u05d5\u05e0\u05d9\u05dd \u05d1\u05e1\u05d3\u05e8 \u05d2\u05d5\u05d3\u05dc \u05e9\u05dc \u05de\u05e1\u05e4\u05e8 PB \u05d1\u05d5\u05d3\u05d3\u05d9\u05dd). \u05d0\u05d7\u05d3 \u05d4\u05e9\u05d9\u05de\u05d5\u05e9\u05d9\u05dd \u05d4\u05d0\u05e4\u05e9\u05e8\u05d9\u05d9\u05dd \u05d5\u05d4\u05e0\u05e4\u05d5\u05e6\u05d9\u05dd \u05dc\u05db\u05dc\u05d9 \u05e9\u05db\u05d6\u05d4 …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[69,3],"tags":[],"class_list":["post-1670","post","type-post","status-publish","format-standard","hentry","category-69","category-3"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p785UE-qW","jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/posts\/1670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1670"}],"version-history":[{"count":9,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/posts\/1670\/revisions"}],"predecessor-version":[{"id":1700,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=\/wp\/v2\/posts\/1670\/revisions\/1700"}],"wp:attachment":[{"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.artifex.co.il\/he\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}