Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году
Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных...
Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024
Привет Хабр! На связи Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд, ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по...
Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков
Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим...
Автоматизация рутинной работы в форензике: извлечение временных атрибутов файлов по списку
Представьте: у вас есть несколько тысяч файлов, и для каждого нужно извлечь метаданные — даты создания, модификации и последний доступ. Можно, конечно, сидеть и вручную копировать эти данные из Проводника. Один файл, второй… Через час работы голова уже плывёт, а впереди ещё сотни файлов. Но всего...
Обзор криминалистических артефактов Windows
При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов...
Ваш цифровой след: Погружение в форензику Windows
В этой статье мы поговорим о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов,...
Что такое компьютерная криминалистика (форензика)?
Когда происходит киберпреступление, его раскрывают не детективы с лупой, а эксперты по компьютерной криминалистике. Они занимаются поиском и анализом цифровых следов злоумышленников на компьютерах и устройствах. Это Максим Антипов, кибердетектив и преподаватель в CyberEd. В этой статье мы...
Where's hacker: как понять, что вашу инфраструктуру атаковала APT-группировка
Всем привет! Надеемся, вы уже знаете, что у центра исследования киберугроз Solar 4RAYS есть собственный блог. В нем мы делимся исследованиями различных APT-группировок, подробно рассказываем о расследованиях и делимся индикаторами компрометации. В этом материале мы решили рассказать, с чего, как...
О чём не молчит Windows. Погружение в Windows Registry Forensic. Часть вторая
Доброго дня, уважаемые читатели! Во второй статье продолжим разговор, рассмотрев вопросы восстановления удалённых из реестра элементов (ключи, значения), а также некоторые особенности создания и хранения элементов реестра. В экспериментах используется виртуальная машина VirtualBox с Windows 11...
Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей
В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких...
Десериализация VIEWSTATE: команда Solar 4RAYS изучила кибератаку азиатской группировки с «недозакрытой уязвимостью»
В 2023 году мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Наиболее интересные исследования из блога мы...
Сетевая форензика с помощью ZUI
В процессе расследования инцидентов в сетевой области традиционно применяют такие инструменты как Wireshark, Zeek, Suricata. Каждый из указанных инструментов обладает своими достоинствами и недостатками, соответственно было бы целесообразно использовать их в связке из единого интерфейса. Такую...
Респонс по да Винчи: как мы перевернули систему работы security-аналитика и что из этого вышло
Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем. А что дальше? А дальше — переключился на...
Фишинговая атака в Angara Security: расследование инцидента
Никита Леокумович, руководитель отдела реагирования и цифровой криминалистики Angara SOC, поделился опытом, как «невинное» письмо из «отдела кадров» может привести к серьезным последствиям для компании. Среди киберпреступлений фишинг - это наиболее распространенный тип атаки для получения учетных...
Стеганоанализ в компьютерно-технической экспертизе
В 1999 году на встрече по обмену опытом с представителями правоохранительных органов США я узнал о существовании цифровой стеганографии. Тогда демонстрация работы S-Tools произвела на меня эффект, сравнимый с тем, что производят фокусы Копперфильда, однако после «разоблачения» все стало понятно....
[Перевод] Иголка в стоге сена: ищем следы работы C2-фреймворка Sliver
Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Не так давно на нашем канале вышла статья по использованию фреймворка постэксплуатации Sliver C2 от Bishop Fox. Сегодня мы представляем вам исследование компании Immersive Labs по детектированию и анализу нагрузок и туннелей...
Автоматизация выявления вредоноса в реестре Windows
В работе с компьютерными инцидентами, специалисты по информационной безопасности часто сталкиваются с необходимостью глубокого и быстрого анализа операционной системы, для выявления мест закрепления вируса. Обычно они обращаются к журналам событий, однако при недостатке информации приходится...
Будь что будет, или как я получила сертификат GCFA
Лада Антипова, специалист по киберкриминалистике Angara SOC, совсем недавно вернулась из Казахстана с отличными новостями: сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). В материале она рассказала, как готовилась, как пережила epic fail и...
Назад