|
MLW (Вредоносное программное обеспечение)
|
|
Внешний IP-адрес ЭВМ
|
Указывается IP-адрес, с которым зараженная ЭВМ получает доступ в интернет
|
IPv4
|
|
|
Выявленные взаимодействия с ЦУ или другими ресурсами
|
Заполняется в случае выявления взаимодействия зараженной ЭВМ с каким-либо доменным именем или IP-адресом, которые могут являться ЦУ или другим вредоносным ресурсом.
|
|
|
|
|
Возможные значения:
- доменное имя;
- IP-адрес;
- URL
|
|
|
|
|
Поле может содержать несколько значений
|
|
|
|
Доменное имя
|
Доменное имя
|
domain
|
|
|
IP-адрес
|
IP-адрес
|
IPv4
|
|
|
URL
|
URL
|
URL
|
|
|
Классификаторы
|
Заполняется по мере поступления информации и содержит тип выявленного ВПО по классификации какого-либо АВС:
- наименование АВС;
- тип ВПО
|
|
|
|
|
Поле может содержать несколько значений
|
|
|
|
Наименование АВС
|
Наименование антивирусной системы
|
string
|
Касперский
|
|
Классификатор
|
Как ВПО классифицирует указанная антивирусная система
|
string
|
Вирус
|
|
Образцы ВПО
|
Коллекция Образцов ВПО. Один образец может характеризоваться:
- или хэшем
- или прикрепленным вложением
|
|
|
|
Контрольная сумма выявленного образца ВПО
|
Заполняется контрольными суммами выявленного образца ВПО. Для каждого образца ВПО должна быть своя хеш-сумма
|
|
|
|
Контрольная сумма в формате MD5
|
Контрольная сумма в формате MD5
|
string
|
|
|
Контрольная сумма в формате SHA-1
|
Контрольная сумма в формате SHA-1
|
string
|
|
|
Контрольная сумма в формате SHA-256
|
Контрольная сумма в формате SHA-256
|
string
|
|
|
Файл ВПО
|
Заполняется в случае передачи вместе с ККИ файла, выявленного ВПО.
|
Формат из секции attachments базовых полей инцидента
|
|
|
|
Образец выявленного ВПО должен быть заархивирован в формате RAR с использованием пароля "infected". Размер файла не должен превышать 5 МБ
|
|
|
|
Адреса электронных почтовых ящиков, с которых поступило письмо с вложением
|
Заполняется в случае, если ВПО было прислано на электронный почтовый ящик ведомства. В поле также должен быть указан IP-адрес последнего почтового сервера, через который было передано письмо.
|
|
|
|
|
Поле может содержать несколько значений
|
|
|
|
Адрес электронного почтового ящика отправителя
|
Адрес электронного почтового ящика отправителя
|
email
|
|
|
IP-адрес последнего почтового сервера
|
IP-адрес последнего почтового сервера
|
IPv4
|
|
|
Имя файла с исходным кодом электронного письма
|
Заполняется в случае, если ВПО было прислано на электронный почтовый ящик ведомства. Указываются имя и размер прикрепленного файла
|
Формат из секции attachments базовых полей инцидента
|
|
|
Адрес вредоносного ресурса, с которого было загружено ВПО
|
Заполняется в случае, если ВПО было скачано по ссылке, присланной на электронный почтовый ящик ведомства.
|
string
|
|
|
|
Возможные значения:
- доменное имя;
- IP-адрес;
- URL (также URL ресурса, с которого пользователь лично скачал ВПО)
|
|
|
|
Доменное имя
|
Доменное имя
|
string
|
|
|
IP-адрес
|
IP-адрес
|
string
|
|
|
URL
|
URL
|
string
|
|
|
Выявленные индикаторы компрометации
|
В случае, если участник обладает какими-то индикаторами компрометации (IOC), их можно указать
|
|
|
|
Сетевые индикаторы
|
Сетевые индикаторы
|
|
|
|
Обращение по IP-адресу/URL
|
Обращение по IP-адресу/URL
|
string
|
|
|
Модификация текущих сетевых настроек
|
Модификация текущих сетевых настроек
|
string
|
|
|
Сокрытие следов сетевого взаимодействия
|
Сокрытие следов сетевого взаимодействия (удаление маршрутов, записей журналов сетевых устройств и т.д.)
|
string
|
|
|
Файловые индикаторы
|
Файловые индикаторы
|
|
|
|
Создание
|
Создание
|
string
|
|
|
Изменение
|
Изменение
|
string
|
|
|
Удаление файлов
|
Удаление файлов
|
string
|
|
|
Индикаторы реестра ОС Windows
|
Индикаторы реестра ОС Windows
|
|
|
|
Создание
|
Создание
|
string
|
|
|
Изменение
|
Изменение
|
string
|
|
|
Удаление файлов
|
Удаление файлов
|
string
|
|
|
Индикаторы, связанные с процессами
|
Индикаторы, связанные с процессами
|
|
|
|
Запуск процесса
|
Запуск процесса
|
string
|
|
|
Изменение запущенного процесса
|
Изменение запущенного процесса
|
string
|
|
|
Завершение процесса
|
Завершение процесса
|
string
|
|
|
Иные индикаторы
|
Иные индикаторы
|
string
|
|
|
Отчет средств динамического анализа кода в виде вложения
|
Отчет средств динамического анализа кода в виде вложения
|
Формат из секции attachments базовых полей инцидента
|
|
|
Предполагаемый способ заражения
|
Предполагаемый способ заражения
|
|
|
|
Тип предполагаемого способа заражения
|
Тип предполагаемого способа заражения
|
EML # По каналам электронной почты
DSD # С носителя информации
LCL # Распространение по
локальной сети
OTH # Иной способ
|
|
|
Примечание к выбранному типу
|
Примечание к выбранному типу
|
string
|
|