DFIR на практике. Часть 1: Lockdown Lab
В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту. В сегодняшей статье...
Пара реальных историй из жизни аналитиков SOC
Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и...
Как ИИ-скрипт парализовал ИТ-инфраструктуру
Привет, Хабр! Меня зовут Александр, я работаю в Региональном центре кибербезопасности ХМАО-Югры на базе АУ «Югорский НИИ информационных технологий», проще говоря – SOC. Мы занимаемся обеспечением информационной безопасности в органах государственной власти, органах местного самоуправления,...
Как мы научили нейросеть искать связи между инцидентами в SOC
Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два...
«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации
В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы...
Расследование инцидентов и ретроспективный анализ: итоги проектов 2024-2025
Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но...
Заметки о нашей повседневной работе с PAM
У всех современных компаний в 2025 году есть потребность в предоставлении удалённого доступа к своим ресурсам не только для своих сотрудников, но и для внешних пользователей, например, подрядчикам для выполнения работ, заказчикам для демонстрации решений и прочим контрагентам. В жизни мы привыкли...
Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация
2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы...
No-code-разработка и ML-помощники – инструменты аналитиков SOC нового поколения
Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве...
Цифровые раскопки
Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows‑хостах. С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic). Злоумышленники получали доступ к сети жертвы...
DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция...
Crypters And Tools. Часть 2: Разные лапы — один клубок
Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем...
Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness
Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных....
Цена «мусорных» логов: Как некачественная информация чуть не привела к провалу
Когда данные врут или молчат: Как мы вытаскивали расследование атаки из трясины плохих логов, и почему вам стоит проверить свои прямо сейчас. Читать далее...
Форензика Windows
При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на...
«Змеиная» дисциплина: как группировка DarkGaboon незаметно атаковала российские компании
Привет всем! Ловите первое в новом году расследование от команды киберразведки экспертного центра безопасности Positive Technologies. В октябре 2024 года наш департамент выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в...
Инструменты атакующих в 2023–2024 годах
На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и...
Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году
Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных...
Назад