Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков
Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим...
Приглашение с «сюрпризом»
Закончился ежегодный CTF от HackTheBox Cyber Apocalypse 2024: Hacker Royale - After Party и конечно, там снова были интересные задания по форензике, которые удалось решить за отведённое на CTF время. В этом райтапе хочу поделиться решением задания "Game Invitation" по форензике уровня Hard. Заодно...
Фишинговая атака в Angara Security: расследование инцидента
Никита Леокумович, руководитель отдела реагирования и цифровой криминалистики Angara SOC, поделился опытом, как «невинное» письмо из «отдела кадров» может привести к серьезным последствиям для компании. Среди киберпреступлений фишинг - это наиболее распространенный тип атаки для получения учетных...
The Hive. Разбор open source решения
В свете быстрого развития информационных систем и увеличения угроз кибербезопасности поиск надежных решений, позволяющих минимизировать вред от нарушения информационной безопасности (ИБ), становится важной задачей для различных организаций. Когда инфраструктура организации начинает настолько...
Топ-10 артефактов Linux для расследования инцидентов
Лада Антипова из команды киберкриминалистов Angara SOC подготовила новый материал о полезных инструментах при расследовании хакерских атак. Материал с удовольствием опубликовали коллеги из Positive Technologies на своих ресурсах, поэтому мы можем сделать его доступным и для нашей аудитории....
Как работают киберкриминалисты: расследование инцидента
В киберкриминалистике есть золотое правило: мы связаны рамками строгих положений NDA, чтобы избежать рисков атак со стороны хакеров в адрес наших клиентов. Поэтому кейсы в информационной безопасности - огромная редкость. Но все же команда киберкриминалистов Angara SOC в этом материале поделилась...
DFIR совсем не «эфир»: как стать специалистом по киберкриминалистике
Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили какие-то действия, и теперь нужно получить ответы на ряд практических вопросов, в том числе закрыть...
Фильтрация событий Windows встроенными утилитами
При реагировании на инциденты бывает необходимо посмотреть логи Windows машины, и многие таскают с собой утилиты для более удобной фильтрации событий в журналах evtx. Это связано в с тем, что способы фильтрации, предложенные Microsoft, выглядят крайне не удобно. Live response — это область, которая...
Изучаем язык запросов программы Velociraptor
Это моя вторая статья(первая тут) о Velociraptor, программе для выполнения задач Threat Hanting’а и DFIR’a 🙂. Как вы, наверное, уже знаете, Velociraptor неплохой инструмент сбора информации с конечных устройств. Ключевым элементом этой программы является собственный язык запросов, который...