Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

Эволюция шпионского софта под iOS

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно. Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах. Для обнаружения таких зловредов требуются специальные инструменты.

https://habr.com/ru/companies/globalsign/articles/890860/

#iOS #Pegasus #Predator #iCloud #Advanced_Data_Protection #сквозное_шифрование #E2E #эксплоиты #0day #iPhone #0Click #1Click #NSO_Group #iSoon #Hermit #Mobile_Verification_Toolkit #MVT #форензика #компьютерная_криминалистика #Sysdiagnose #режим_блокировки

Тайны офиса: поиск скрытых метаданных в файлах DOCX, исправленных задним числом

Наверняка каждый из вас сталкивался с похожей ситуацией: ищешь вещь, уверен, что она лежит где-то рядом, а находишь совсем в другом месте. Как будто обронили винтик под ноги, а он взял и перекатился через всю комнату. В этом блоге я — Андрей Кравцов , специалист по реагированию на инциденты и цифровой криминалистике компании F6, — хочу рассказать о похожем опыте — поиске временных меток в файле с расширением DOCX. И поделюсь своим способом решения подобной задачи на примере воссозданной ситуации в виртуальной машине.

https://habr.com/ru/companies/F6/articles/889590/

#форензика #компьютерная_криминалистика #временные_метки #docx

Форензика Windows

При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на пользовательские рабочие места. Проникнув на компьютер пользователя, злоумышленник может дальше развивать атаку уже в корпоративной сети. Чтобы понять, как злоумышленник проник на машину, что он делал дальше, на какие узлы ходил и так далее нам необходимо произвести анализ скомпрометированного узла. Так как в большинстве организаций пользовательские компьютеры по прежнему используют Windows, в этой статье мы поговорим об анализе этой операционной системы.

https://habr.com/ru/companies/otus/articles/879044/

#devsecops #forensics #windows #форензика #расследование_инцидентов

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024

Привет Хабр! На связи Владислав Азерский , заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд , ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.

https://habr.com/ru/companies/f_a_c_c_t/articles/861142/

#cybercamp_2024 #форензика #LotL #living_off_the_land #компьютерная_криминалистика #киберучения

Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков

Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

https://habr.com/ru/companies/jetinfosystems/articles/859974/

#ransomware #diskcryptor #DсHelp #MeshAgent #mesh #dfir #форензика #forensics #информационная_безопасность #вредоносное_по

Автоматизация рутинной работы в форензике: извлечение временных атрибутов файлов по списку

Представьте: у вас есть несколько тысяч файлов, и для каждого нужно извлечь метаданные — даты создания, модификации и последний доступ. Можно, конечно, сидеть и вручную копировать эти данные из Проводника. Один файл, второй… Через час работы голова уже плывёт, а впереди ещё сотни файлов. Но всего этого можно избежать. Меня зовут Максим Антипов, я кибердетектив и преподаватель в CyberEd. В этом руководстве я покажу вам, как автоматизировать процесс извлечения атрибутов файлов с помощью скрипта на VBA. Мы настроим Excel так, чтобы он сам собирал данные о размере, дате создания, модификации и последнем доступе к файлам.

https://habr.com/ru/articles/847408/

#форензика #информационная_безопасность #vba #digital_forensics #forensics #компьютерная_криминалистика

Обзор криминалистических артефактов Windows

При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов операционной системы, которые не всегда легко интерпретировать. Иногда стандартный набор артефактов может не обеспечить полный ответ на вопрос: «Что произошло в системе?». Например, если настройки аудита неправильно настроены, то необходимые события в журналах безопасности могут не записаться, или злоумышленник может успеть очистить наиболее популярные артефакты, или данные в процессе сбора или передачи могут повредиться. В данной статье предлагается наиболее полный список источников, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки показывает где их находить и чем анализировать. Подробнее

https://habr.com/ru/articles/841712/

#форензика #windows #расследование_инцидентов_иб #криминалистика_windows #forensic_analysis #forensic_investigations

Ваш цифровой след: Погружение в форензику Windows

В этой статье мы поговорим о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода. Может показаться, что для решения большинства из этих задач специальных знаний не требуется и достаточно простого владения компьютером на уровне уверенного пользователя. Что ж, может, так и есть. Хотите знать наверняка? Добро пожаловать под кат.

https://habr.com/ru/companies/first/articles/839496/

#форензика #autopsy #kape #реестр_windows