nomore

Mitt generelle råd i slike situasjoner er utelukkende at du skal fokusere på jobben din og de oppgavene du har, og ikke legge deg opp i andre sine oppgaver. Du kan, og bør, snakke med sjefen dersom dette fører til økt arbeidsbelastning på deg eller går ut over frister/arbeid som tilhører deg. Men da fokuserer du på hvordan det som skjer påvirker din jobb, ikke hva du mener om jobben vedkommende (ikke) gjør. I ytterste konsekvens er det nå engang sånn at det er opp til leder å fordele arbeidsoppgaver, og for alt du vet kan dette være en avtale mellom leder og kollegaen din om at dette er en ok måte å løse en helseutfordring på eller noe annet du ikke har noe med. Å blande seg opp i dette vil ofte medføre dårlig stemning eller at du havner i et dårlig lys.

Om jeg forstår spørsmålet ditt rett nå så kan du sjekke ut gh0st RAT her: https://attack.mitre.org/software/S0032/ Der kan du lese seg opp på hvilke teknikker den bruker, sårbarheter den utnytter, hvilke grupper som har brukt den og kampanjer den er brukt i. Det er ikke den eneste men kanskje en av de nyere og større som er dokumentert godt. Men på Mitre sine sider kan du lese om veldig mye andre varianter og ikke minst se litt på hvilke teknikker som faktisk brukes «in the wild».

Eier av IP blokk ble sjekket (det kan skje at kategorisering er feil) men nylige endringer ble ikke sjekket og det er et veldig godt tips. Det hadde ikke vist noe i dette eksempelet men det er absolutt noe som kan skje og som er raskt å sjekke ut. Teams er håpløst og blir jo bare verre og verre føles det som.

Jeg forstår ærlig talt ikke hva det er du vil jeg skal bevise? At en prosess som kjører på maskinen kan starte nettleseren?

Du misforstår. Det er ikke nødvendig at edge er infisert med en RAT. Men at en installert RAT kan bruke edge for å kommunisere ut.

Men en trojaner må ha utgående (og inngående) trafikk for å kunne tilby «Remote Access»? Malware har ofte en adferd som gjør at de ringer hjem til en Command and control server for å gi lyd fra seg, hente oppdateringer, laste opp data eller motta instruksjoner. Og det gjøres gjerne via Edge prosessen. At det er Edge.exe betyr jo ikke automatisk at det er en brukerinitiert nettleserøkt men kan like godt være malware som kommuniserer eksternt. Er dette ukjente konsepter? Litt av poenget med eksempelet mitt er at det er ikke så enkelt og lett som du gir uttrykk for i en del av disse trådene dine. At det er lite sannsynlig at RAT kan komme inn fordi en bruker Defender er rimelig tynt (og feil). Og mye av dette handler om tillit til det du ser. Tillit til at Defender ikke er disabled, utdatert eller kompromittert. Tillit til at edge.exe er genuin og ikke tuklet med. Osv. Og selv med blind tillit til alt dette så står man gjerne der med denne mistenkelige trafikken. Hva da? Enden på eksemplet mitt ble at en SaaS tjeneste bedriften bruker fikk med en feil en ekstra DNS peker som pekte mot landet som var sperret. En typisk CDN tjeneste tilhørende SaaS tjenesten. Så når brukere brukte denne applikasjonen ble feil DNS peker returnert til klienten og den gjorde da et tilkoblingsforsøk som ble blokkert. Verifisert med at trafikken avtok etter at leverandøren fikset DNS pekerne sine.

Ofte i en slik situasjon må man vurdere det man ser i forhold til en "normalsituasjon". Du har selv nevnt det i et par tråder, at det er avvik man må sjekke ut. Og her har det altså været 6 år (og mer) hvor det ikke er loggført trafikk mot dette landet det gjelder, men plutselig begynte det. Størrelsen på IT avdelingen her er ikke særlig relevant for spørsmålet. Og som jeg skreiv så er det godt kjent hvilke klienter trafikken kommer fra siden jeg viser til at det først er bare Windows og deretter også inkludert macOS. Deretter viser jeg til at en og vet at trafikken kommer fra edge.exe prosessen. Dette er et ganske reelt og vanlig eksempel. Og som sagt kjenner jeg til dette spesifikke eksempelet så det er helt reelt. Og spørsmålet blir hva bør en gjøre videre for å finne ut av dette. Stoler du nok på Windows Defender at det er så lite sannsynlig som du hevder tidligere, at det bare avfeies? Du hevder deretter at dersom det er malware så er det observerbare og synlige tegn en kan se etter. Hva er det du da vil se etter? En ting som kom frem i loggen i dette tilfelle var at på noen av maskinene, men ikke alle, så ble edge.exe erstattet med en ny edge.exe av msiexec prosessen kort tid før trafikken ut. Men både den nye og den gamle edge.exe filen er signert av Microsoft Corporation og filhash er gyldig. Hva ellers ser man etter?

Det enkleste er å sjekke sertifikatet. Hvem er det utstedt av og hvem er det utstedt til. Og at det er gyldig. Men ut over det er det nok ingen metode å finne ut av dette helt sikkert. Det handler om grunnleggende tillit og hvem som evnt har tilgang til infrastrukturen du bruker.

For å ta et eksempel fra nyere tid jeg har vært involvert i. Bedriftsnettverk. Over 1000 klienter. All trafikk routes igjennom en lag 7 brannmur. Bedriften (som mange andre bedrifter) har en regel som blokkerer all trafikk til en del utvalgte land. En dag oppdages at det er klienter i nettverket som forsøker å koble til et av de landene som er blokkert. Første dagen er det kun en og så sprer det seg. Først er det kun Windows maskiner men så er det og macOS. I løpet av de siste 6+ årene har det ikke vært noen tilkoblingsforsøk til disse landene så det peker seg ut som noe veldig unormalt og noe en bør sjekke ut Trafikken blir blokkert så det er i seg selv ingen risiko. Men frykten er at en har fått noe på innsiden som sprer seg og som prøver å ringe hjem. Prosessen som initierer trafikken på klientene er Edge. Hva tenker du det kan være og hva vil du gjøre videre?

64) Forstørrelsesglass

63) Vater

Hvordan er det å bruke brannslukkefly med de ofte små men flertallige vannkildene vi har i dette landet, kontra helikopter? Nå hadde vi en stor lyngbrann i Norge i går som riktignok var langs kysten og et slikt fly ville nok ha kunnet plukke opp noen liter der, men det er ikke alltid tilfelle og jeg ser for meg at disse flyene krever en ganske stor innsjø for å klare å hente opp vann uten for stor risiko for pilotene. Vs et helikopter som strengt tatt bare trenger noe som er litt større enn bøtta. Som og kan brukes til andre ting resten av året som @Vokteren er inne på.

Er alle drivere til maskinen installert?

Jeg tenker at et forbud krever veldig klare "bevis" og regler å forholde seg til. Og det er vanskelig når AI/KI generert innhold blir bedre og bedre - selv om jeg og "føler" en magefølelse når jeg leser en del tekster at dette er KI generert. Men jeg tenker det ikke er nok til blokkering, utestengelse eller andre sanksjoner. Ellers på internett synes jeg det bør være opplest og vedtatt at rent KI generert innhold skal merkes. Men hvor går grensen? Jeg bruker en del KI til inspirasjon eller utfordre egne verdier/tanker - hvor går grensen for når mine ord som er påvirket av KI blir til innhold som bør KI merkes? Jeg synes det er en interessant problemstilling og opp mot inspirasjon. Mine synspunkt og tanker er som regel påvirket av noe eller noen andre. Når blir den påvirkningen så stor at det ikke egentlig er mine tanker eller synspunkt lenger? Jeg tenker at når det er copy og paste så er det åpenbart for langt - men hvordan kan andre egentlig vite det?

Jeg synes dialogen her fremstår som noe useriøs med en del påstander som vanskelig kan la seg verifisere (eller ta seriøst). I svaret mitt til butikken hadde jeg vist til tidligere e-post og spurt om ikke rimelig tid gjelder for kjøpet hos dem, likt hos alle andre. Evnt bedt om en begrunnelse. Deretter stått på mitt og gjentatt at ny dør ikke godtas da du har krevd heving av kjøpet. Samtidig ville jeg nok forberedt meg på en runde i forbrukerrådet. Meld inn saken nå da det tar lang tid å få saken behandlet der.