Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

По следам РусКрипто'2010

Блог компании ESET NOD32
В прошедшие выходные состоялась конференция РусКрипто'2010. Каждый год она собирает ведущих специалистов в области ИБ. Конференция уже давно расширила свои тематические границы, и теперь криптографии посвящена только одна секция. А в рамках остальных рассматривается широкий круг практических вопросов, связанных с ИБ. Например, два года назад дебютировала секция «Интернет и информационная безопасность», а в этом году были добавлены секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» и «Penetration testing internals». Подобные преобразования с каждым годом привлекают к участию в конференции все больше специалистов-практиков, что выгодно отличает РусКрипто от других мероприятий по ИБ, где акцент часто делается на маркетинговой направленности участников и их докладов.
В этом году мы приняли активное участие в этой конференции, а также стали спонсорами студенческого конкурса РусКрипто CTF.
В рамках секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» был представлен наш доклад «Исследование вредоносных программ с точки зрения расследования инцидентов», (не судите строго качество записи, она была произведена любителями, и ни в коем случае не претендует на профессионализм).

Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры2K
Комментарии 3

[Перевод] Расследование манипуляций с панелью управления. Часть 1

Блог компании Netwrix
Перевод
Recovery mode
Всем привет! Сегодня предлагаем вашему вниманию перевод статьи «Control Panel Forensics: Evidence of Time Manipulation and More…», автор Chad Tilbury трудился спецагентом в Офисе специальных расследовнаий ВВС США, а после этого стал заниматься проблемами пиратства в Американской Ассоциации Кинопрокатчиков. О расследованиях компьютерных преступлений этот парень знает не из учебников. Итак, начнем!

Панель управления — давно известный инструмент Windows, позволяющий изменять огромное количество настроек системы. Использование панели управления может быть ограничено с помощью Групповых политик, но в любом случае, некоторые элементы панели доступны для большинства учетных записей (для внесения некоторых изменений необходимы права администратора). В ходе расследования мы можем провести аудит использования панели управления для того, чтобы идентифицировать широкий спектр действий пользователей, таких как:

  • Изменения настроек Брандмауэра (firewall.cpl), необходимы для того, чтобы в дальнейшем использовать неавторизованное ПО;
  • Добавление/изменение учетных записей (nusrmgr.cpl);
  • Отключение функций «Восстановление системы» и службы Теневого резервного копирования (sysdm.cpl);
  • Изменение системного времени (timedate.cpl);
  • Взаимодействие с приложениями сторонних производителей, изменяющими настройки безопасности.

Процесс идентификации отдельных изменений в системе позволяет, как минимум, показать – какие апплеты из панели управления запускались пользователем и когда это произошло. Артефакты, т.е. следы, оставленные в системе могут дать дополнительную информацию для нашего расследования. Особенно важен контекст, последовательность действий. Представьте, что вы идентифицируете, как использовалась панель управления и видите следующую картину:



Доступ к центру поддержки (этот апплет в англ.версии называется Security Center) сам по себе не является особенно интересным. Но необходимо учитывать, что этот апплет был открыт сразу же после запуска известного инструмента для подбора паролей на роутерах. Как говорится, почувствуйте разницу!
Читать дальше →
Всего голосов 7: ↑4 и ↓3 +1
Просмотры6.8K
Комментарии 1

Расследование манипуляций с панелью управления. Часть 2

Блог компании Netwrix
Перевод
Recovery mode
Всем привет!

Сегодня продолжаем рассказ о методах расследований и сборе доказательств запуска апплетов Панели управления Windows.
Первая часть материала на эту тему доступна здесь.

Напомню, что с выходом Windows 7 механизм UserAssist претерпел существенные изменения. Сбор надежных доказательств запуска апплетов не поддерживается в системах Windows7|8, вместо этого мы можем использовать т.н. списки переходов (jumplists), источник информации, содержащий следы запуска апплетов.

Списки переходов в Windows 7/8 (Jumplists)




В современных ОС Windows cписки переходов являются одним из самых важных источников информации для расследований, в том числе в них содержатся нужные нам следы запуска апплетов Панели управления. Автор Harlan Carvey написал отличный пост, посвященный спискам переходов. В нем он подробно рассказывает о структуре и практическом применении списков.
Читать дальше →
Всего голосов 9: ↑5 и ↓4 +1
Просмотры7.2K
Комментарии 1

Видеонаблюдение в ЦОДах: совмещаем паранойю охраны с паранойей инженеров

Блог компании КРОКИнформационная безопасность

Инженер во время штатной проверки

В розничных сетях сейчас одна из главных задач видеонаблюдения — это распознавание лиц злоумышленников из известной базы на входе.

Видеонаблюдение в ЦОДах пошло по немного другой ветви эволюции. Начнём с того, что охрана даже просто не знает, на что смотреть, и контроль, по сути, заканчивается на периметре. А случается всякое. Знаю, например, о случае нештатного запуска системы пожаротушения. Причину искали по записям — оказалось, монтажник опёрся локтем в коридоре на кнопку.

Бывают запросы на то, кто открывал стойку. В каком-нибудь ЦОДе может случиться так, что несут что-то по проходу и задевают кабель. Или вот ещё случай: инженер одной компании обслуживал верхний сервер в стойке, в процессе у него упала лестница и ударила прямо по другому серверу, в итоге — раскололся разъём.

Поэтому, конечно, видеонаблюдение в ЦОДах нужно. Расскажу, как мы это делаем для заказчиков, и как организовали в своих дата-центрах.
Читать дальше →
Всего голосов 23: ↑21 и ↓2 +19
Просмотры36.5K
Комментарии 10

История одного расследования или как DLP-система выявила целенаправленную атаку

Блог компании Ростелеком-СоларИнформационная безопасность
Аналитики Solar JSOC и Solar Dozor в своих статьях часто говорят о том, что даже все многообразие средств защиты, существующих на рынке, не защитит компанию от атаки, если она рассматривает данные каждой системы в отдельности. Чаще всего атаку, если она не совсем примитивная, можно выявить только сведя воедино данные с различных источников.

Сегодня мы хотим рассказать об очередном примере, подтверждающем эту истину. Под катом – история одной атаки, которая едва не прошла незамеченной.


Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры12.7K
Комментарии 19

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Блог компании Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаSaaS / S+S
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

  1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
  2. Пользователи обнаруживали, что их учетная запись заблокирована.
  3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.


Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры14.6K
Комментарии 11

Solar JSOC Forensics: дело о майнинге на 32-х несуществующих гипервизорах

Блог компании Ростелеком-СоларИнформационная безопасностьIT-инфраструктура
Последний год можно считать расцветом массового майнинга криптовалют. Ровно год назад этот хайп достиг пика, и цены на видеокарты в магазинах взлетели. Затем алгоритмы майнинга портировали в браузеры, и появился знаменитый сервис Сoinhive. Даже недавнее падение курса основных криптовалют не сильно затормозило процесс. Естественно, злоумышленники не только следили за этим явлением, но принимали в нем активное участие.

Можно по-разному относиться к самим криптовалютам и токенам, однако каждый безопасник негативно относится к майнингу, когда он производится несанкционированно и на оборудовании предприятия. Мы фиксировали и расследовали множество инцидентов, когда внешние нарушители распространяют майнеры в нагрузку к основному модулю вредоносного ПО, скрывают его под именами системных процессов (например, C:\Windows\Sys\taskmgr.exe), а иногда бывали случаи, когда распространение шло за счет сетевых эксплойтов, Psexec-ов и их аналогов, и разумеется, вредоносного Javascript.

Но, кроме нарушителя внешнего, бывает нарушитель внутренний. И чаще всего он хорошо знает, что делает и как скрыть следы так, чтобы остаться безнаказанным. Один такой случай нас попросили расследовать.

Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры6K
Комментарии 3

Практический видеокурс Школы информационной безопасности

Блог компании ЯндексИнформационная безопасностьПромышленное программирование
Tutorial
Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.


Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры24.5K
Комментарии 3

Готовимся к расследованию инцидентов

Блог компании Ростелеком-СоларИнформационная безопасностьСистемное администрированиеАнтивирусная защитаIT-инфраструктура
Можно ли полностью защититься от кибератак? Наверное, можно, если окружить себя всеми существующими средствами защиты и нанять огромную команду экспертов управлять процессами. Однако понятно, что в реальности это невозможно: бюджет на информационную безопасность не бесконечный, и инциденты все же будут происходить. А раз они будут происходить, значит, к ним нужно готовиться!

В этой статье мы поделимся типовыми сценариями расследования инцидентов, связанных с вредоносным ПО, расскажем, что искать в логах, и дадим технические рекомендации в отношении того, как настроить средства защиты информации, чтобы повысить шансы на успех расследования.


Читать дальше →
Всего голосов 35: ↑34 и ↓1 +33
Просмотры13.4K
Комментарии 1

Несколько историй из жизни JSOC CERT, или Небанальная форензика

Блог компании Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаВосстановление данных


Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.
Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры6.4K
Комментарии 7

Как исследование блокчейна Namecoin позволило предсказывать кибератаки группировки RTM

Блог компании Positive TechnologiesИнформационная безопасность


Блокчейн Namecoin был создан как защищенная от цензуры и принудительного изъятия доменов альтернатива традиционным регистраторам DNS. В последние несколько лет его начали использовать операторы таких ботнетов, как Dimnie, Shifu, RTM и Gandcrab, для управления адресами C&C-серверов.

С одной стороны, децентрализованность и устойчивость блокчейна не позволяют исследователям и провайдерам удалить такие домены или перехватить управление ими. С другой стороны, инфраструктура на основе блокчейна имеет архитектурную особенность: все изменения в сети публично доступны и могут быть использованы для изучения и отслеживания действий злоумышленников.

В этой работе представлен подход, использованный для картографирования активов ботнета в Namecoin и дальнейшего их отслеживания для извлечения новых IOC. С помощью описанного подхода были собраны перечни активов (см. приложение), использованных упомянутыми выше ботнетами.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры3.4K
Комментарии 3

Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise

Блог компании CiscoИнформационная безопасность
Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры2.7K
Комментарии 0

Расследование кампании DNSpionage c помощью Cisco Threat Response, в том числе и при удаленной работе

Блог компании CiscoИнформационная безопасность
Я уже не раз рассказывал о бесплатном решении Cisco Threat Response (CTR), которое позволяет существенно снизить время на расследование инцидентов, характеризующихся множеством разнотипных индикаторов компрометации — хэшей файлов, IP-адресов, имен доменов, адресов e-mail и т.п. Но прошлые заметки были посвящены либо примерам использования CTR с отдельными решениями Cisco, либо его интеграции с ГосСОПКОЙ и ФинЦЕРТом. Сегодня я хотел бы описать, как можно применить CTR для расследования отдельных хакерских кампаний, которые могут использовать множество векторов против множества различных целей внутри компании. В качестве примера возьмем уже упомянутую мной в одной из предыдущих статей кампанию DNSpionage.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры2K
Комментарии 2

Как отреагировали мошенники Рунета на коронавирус

Блог компании CiscoИнформационная безопасность
После заметки о том, какие формы принимают киберугрозы, связанные с коронавирусом, я решил посмотреть на то, как в российском Интернете отреагировали на пандемию и что происходит с киберугрозами у нас, а именно с фишинговыми и мошенническими сайтами.

image
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры6.7K
Комментарии 12

Интеграция решений по мониторингу Netflow и SIEM

Блог компании CiscoИнформационная безопасность
SIEM давно превратились в стандарт де-факто при анализе событий безопасности и выявлении инцидентов (хотя сейчас отмечается некоторое движение в сторону отказа от SIEM и замены их решениями по управлению журналами регистрации с надстройкой из технологий машинного обучения), но эффективность этого решения сильно зависит от того, с какими источниками данных оно работает. Все-таки обычно специалисты SIEM преимущественно работают с журналами регистрации, оставляя в стороне такой важный источник информации, как Netflow, который позволяет увидеть то, что часто не попадает в логи или попадает, но слишком поздно. При этом возникает ряд вопросов. Зачем современному SIEM-решению нужна поддержка Netflow? Что SIEM может получить от анализа Netflow? Какой вариант интеграции SIEM с Netflow предпочесть, если есть производители, которые встраивают поддержку Netflow в свои решения напрямую, а есть те, кто предпочитает работать с различными коллекторами Netflow. В чем особенности работы SIEM с Netflow? Об этом мы и поговорим.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры3.5K
Комментарии 16

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Блог компании Group-IBИнформационная безопасностьIT-инфраструктураРеверс-инжинирингИсследования и прогнозы в IT


В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Просмотры27.2K
Комментарии 21