Узнаем из дампа памяти, какие документы открывал пользователь
При расследовании компьютерного инцидента первостепенное значение имеет анализ содержимого оперативной памяти и жесткого диска скомпрометированной машины. При этом содержимое памяти, как правило, представляет наибольший интерес, так как зачастую вредоносы и хакерские инструменты либо вообще не...
Эволюция шпионского софта под iOS
Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко...
Detection is easy. Устанавливаем Elastiflow для поиска угроз в сети
Начнем серию статей под названием Detection is easy, посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале. Один из этапов DE - определение источников событий и организация их сбора. В этой статье мы рассмотрим установку Elastiflow — это мощное решение для обработки и...
Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024
Привет Хабр! На связи Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд, ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по...
Автоматизация рутинной работы в форензике: извлечение временных атрибутов файлов по списку
Представьте: у вас есть несколько тысяч файлов, и для каждого нужно извлечь метаданные — даты создания, модификации и последний доступ. Можно, конечно, сидеть и вручную копировать эти данные из Проводника. Один файл, второй… Через час работы голова уже плывёт, а впереди ещё сотни файлов. Но всего...
Что такое компьютерная криминалистика (форензика)?
Когда происходит киберпреступление, его раскрывают не детективы с лупой, а эксперты по компьютерной криминалистике. Они занимаются поиском и анализом цифровых следов злоумышленников на компьютерах и устройствах. Это Максим Антипов, кибердетектив и преподаватель в CyberEd. В этой статье мы...
Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей
В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких...
Цифровой детектив в действии: что нужно знать о реагировании на кибератаки бизнесу и кандидатам в компьютерные «Шерлоки»
Сбор и анализ данных по инцидентам в информационной безопасности — настоящий детектив, пусть и без выстрелов или слежки с переодеваниями. Как и обычным следователям, цифровым «Шерлокам» зачастую приходится долго ходить по кругу, выдвигать и отметать разные гипотезы, пока не удастся докопаться до...
Топ утилит для создания Forensic Triage: их особенности и возможности
Камиль Камалетдинов, младший эксперт по реагированию на инциденты Angara Security, подготовил обзор полезных утилит для triage. В материале практическая польза и небольшой опрос для вас в самом конце. В отличие от более известных на рынке тестирований на проникновение и багхантинга, в этом...
Исследование мобильных устройств в условиях санкций – что принципиально изменилось?
Всем привет! Я - Федор Музалевский, занимаюсь судебной экспертизой в RTM Group. В частности, достаю из смартфонов разную информацию. С приходом санкций это могло стать гораздо сложнее. Так ли это (спойлер – нет)? Разберемся ниже. Введение санкций в отношении России и уход многих иностранных...
Зашифрованные: как атаковали российский бизнес
Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал? Если еще пять лет назад практически 70% всей хакерской активности, с которой...
Анна Юртаева: «В кибербезе сейчас идет самая ожесточенная борьба с криминалом»
Со времен Эжена Видока, “отца” классических уголовных расследований, их алгоритм мало изменился: сыщик собирает улики, строит гипотезу, исключает лишних подозреваемых и, наконец, выходит на злодея, которого в итоге отправляет за решетку. С киберпреступлениями не все так просто — ко всем...
99+ бесплатных инструментов для анализа зловредов
Знай своего врага ― одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код. Под катом мы собрали...
«Золотой век» Buhtrap: разбираем троян-долгожитель
В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими...
Никита Ростовцев: «Мы способны найти многое, чего не видят другие»
На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость —...
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source-сообществу. Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа...
Искусство кибервойны: как китайские группы TaskMasters и TA428 атакуют Россию
В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Согласно исследованию, главной целью атакующих в России были федеральные органы исполнительной...
Живее всех живых: анализируем первый сэмпл нового шифровальщика BlackMatter
Лето 2021 года выдалось жарким не только из-за погоды, но и новостей из мира Ransomware. В конце мая группа DoppelPaymer произвела, пользуясь маркетинговым термином, "ребрендинг", переименовав свои новые программы-вымогатели в Grief (Pay OR Grief). А в июне-июле группы DarkSide и REvil друг за...
Назад