forensics

  • ХабрахабрФото Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования

    Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования

    С чего все началось 30 апреля в 14:34 (мск) в телеграм-канале DumpForums опубликовали пост, в котором объявили о том, что «недавно была взломана компания bi.zone». К посту были прикреплены скриншоты с фрагментами конфигурационных файлов, SQL-дампов с персональными данными и перечнем конфиг-файлов с именами наших подсайтов. Скриншот из поста в телеграм-канале DumpForums Мы незамедлительно запустили реагирование на инцидент и его расследование. Перед нами…

    Читать далее »
  • ХабрахабрФото Разбор таска Let’s Defend. DogWalk 0-Day Activity

    Разбор таска Let’s Defend. DogWalk 0-Day Activity

    Введение В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows - msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk. Коротко о msdt.exe и пакетах диагностики MSDT (Microsoft's Diagnostic Troubleshooting Wizard) - мастер диагностики…

    Читать далее »
  • СофтФото 70+ бесплатных инструментов для компьютерной криминалистики (форензики)

    70+ бесплатных инструментов для компьютерной криминалистики (форензики)

    Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу. Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим. Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша…

    Читать далее »
  • ХабрахабрФото Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить

    Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить

    Сейчас в мире кибербезопасности защищаться дорого, а вот атаковать дешево. Все благодаря «гитхабификации» процессов в offensive-командах. Атакующие создали множество часто переиспользуемых утилит и техник. Но однозначного преимущества у «красных» нет. Профессиональные Blue Teams давно изучили распространенные методы нападения и легко их вычисляют. Успех кибератаки сегодня во многом зависит от того, как хорошо «красные» смогут замаскировать старую проверенную утилиту, чтобы сбить…

    Читать далее »
  • ХабрахабрФото Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect

    Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect

    Анализ вредоносных программ, защищающих себя от анализа, — это всегда дополнительные трудности для вирусного аналитика. Программа может быть обфусцирована, чтобы избежать детектирования сигнатурными и эвристическими анализаторами антивирусов или затруднить специалисту ее статический анализ. Можно, конечно, запустить программу в виртуальной среде, но и от такого исследования ВПО могут иметь средства защиты. В общем, это постоянная борьба. Злоумышленники придумывают и дорабатывают свои…

    Читать далее »
  • ХабрахабрФото Бытовая форензика: можно ли найти утечку с помощью бубна, удобрений и палок?

    Бытовая форензика: можно ли найти утечку с помощью бубна, удобрений и палок?

    Порой айтишникам приходится решать не совсем обычные задачи. На днях знакомый админ поведал мне о том, что на фоне обычной офисной рутины руководство поручило ему на время превратиться в Шерлока Холмса, в связи с чем он срочно ищет себе в помощники доктора Ватсона. На волне коронавирусной пандемии и локдауна компания провела ряд вынужденных сокращений, и кому-то из уволенных сотрудников это…

    Читать далее »
  • ХабрахабрФото Расследование инцидентов ИБ in the wild: неожиданные источники информации

    Расследование инцидентов ИБ in the wild: неожиданные источники информации

    О расследовании компьютерных инцидентов, или Digital Forensics, уже много всего написано, есть много готового аппаратного и программного инструментария, основные артефакты операционных систем хорошо известны и описаны в пособиях, книгах и статьях. Казалось бы, что тут сложного – читай мануал и находи требуемое. Но встречаются технически сложные случаи, когда анализ тех самых общеизвестных артефактов не дает достаточной информации для восстановления хронологии…

    Читать далее »
  • ХабрахабрФото Memory forensics, Rubber Duck и пароли GPO. Решение задач с r0от-мi. Часть 2

    Memory forensics, Rubber Duck и пароли GPO. Решение задач с r0от-мi. Часть 2

    Данная статья содержит решений заданий, направленных на криминалистику оперативной памяти, разбора пэйлоада для USB Rubber Duck, а так же расшифрования перехваченных паролей групповой политики Windows. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях: PWN; криптография (Crypto); cетевые технологии (Network); реверс…

    Читать далее »
  • ХабрахабрФото [Из песочницы] Использование PowerShell для сбора информации об инциденте

    [Из песочницы] Использование PowerShell для сбора информации об инциденте

    PowerShell достаточно распространенное средство автоматизации, которое часто используется, как разработчиками вредоносных программ, так и специалистами по информационной безопасности.В данной статье будет рассмотрен вариант использования PowerShell для удаленного сбора данных с конечных устройств при реагировании на инциденты ИБ. Для этого потребуется написать скрипт, который будет запускаться на конечном устройстве и далее будет подробное описание данного скрипта. function CSIRT{ param($path) if ($psversiontable.psversion.major…

    Читать далее »
  • ХабрахабрФото Несколько историй из жизни JSOC CERT, или Небанальная форензика

    Несколько историй из жизни JSOC CERT, или Небанальная форензика

    Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения…

    Читать далее »


Кнопка «Наверх»