Расследование компьютерных преступлений
Миссия Group-IB
ЗАЩИЩАТЬ НАШИХ КЛИЕНТОВ
В КИБЕРПРОСТРАНСТВЕ,
СОЗДАВАЯ И ИСПОЛЬЗУЯ ИННОВАЦИОННЫЕ
ПРОДУКТЫ, РЕШЕНИЯ И СЕРВИСЫ
2
Group-IB
Основные направления деятельности:
ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ
КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ
И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ
И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ
С ИСПОЛЬЗОВАНИЕМ
ВЫСОКИХ ТЕХНОЛОГИЙ
1 2 3 4 5
Киберразведка, мониторинг и предотвращение киберугроз
Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий
Компьютерная криминалистикаи экспертиза
Аудит информационной безопасности и анализ защищенности
Разработка инновационных продуктов в области информационнойбезопасности 3
Этапы
развития
компании
ГОД ОСНОВАНИЯ
GROUP-IB
2003 2009 2010 2011 2014
ВЫХОД НА МЕЖДУНАРОДНЫЙ
РЫНОК
КРУПНЕЙШАЯ
В ВОСТОЧНОЙ ЕВРОПЕ
ЛАБОРАТОРИЯ
КОМПЬЮТЕРНОЙ
КРИМИНАЛИСТИКИ
СОЗДАН
CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ
КОМПЕТЕНЦИЯМИ
20+ 30+ 100+СОТРУДНИКОВ 4
Наши заказчики
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
5
Благодарности
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
6
Основные направления
деятельности
Group-IBПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
CERT-GIB
ЗАЩИТА БРЕНДОВ И
АВТОРСКИХ ПРАВ
В СЕТИ ИНТЕРНЕТ
АУДИТ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
BOT-TREK CYBER INTELLIGENCEANTIPIRACY
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И ИССЛЕДОВАНИЕ
ВРЕДОНОСНОГО КОДА
РАССЛЕДОВАНИЕ
ИНЦИДЕНТОВ
НЕЗАВИСИМЫЕ
ФИНАНСОВЫЕ
И КОРПОРАТИВНЫЕ
РАССЛЕДОВАНИЯ
BOT-TREK THREAT DETECTION SERVICE
BOT-TREK INTELLIGENT BANK
7
Расследование
киберпреступлений
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
СЕТЕВЫЕ АТАКИ
ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ
DDOS-АТАКИ
ВЗЛОМ IP-ТЕЛЕФОНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)
СЕТЕВОЙ ШАНТАЖ /
ВЫМОГАТЕЛЬСТВО
ЦЕЛЕВЫЕ АТАКИ /
ПРОМЫШЛЕННЫЙ ШПИОНАЖ
ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ
«ПРОСЛУШКА» СЕТЕВЫХ
КАНАЛОВ СВЯЗИ
УСТАНОВКА ПРОГРАММНЫХ
ЗАКЛАДОК
ОРГАНИЗАЦИЯ ЦИФРОВЫХ
«ЧЕРНЫХ ВХОДОВ»
САБОТАЖ И ИНСАЙД
УТЕЧКИ ИНФОРМАЦИИ
УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
МАНИПУЛЯЦИЯ ДАННЫМИ
С ЦЕЛЬЮ МОШЕННИЧЕСТВА
БЛОКИРОВАНИЕ ДОСТУПА
ЭКОНОМИЧЕСКИЕ
ПРЕСТУПЛЕНИЯ
МОШЕННИЧЕСТВО
С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ
ТЕХНОЛОГИЙ
ВЫМОГАТЕЛЬСТВО,
РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ
ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ
ТОВАРНОГО ЗНАКА И БРЕНДА
РАССЛЕДОВАНИЕ
КИБЕРПРЕСТУПЛЕНИЙ
8
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Сбор цифровыхдоказательств
Проведение криминалистического исследования
Экспресс-криминалистика
Участие специалистовв оперативно-розыскныхмероприятиях
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства
Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве
Проведениекриминалистическихисследований в сжатые сроки
Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий
9
OSINT
(Open Source Intelligence Techniques )
https://inteltechniques.com/links.html
1. Поисковые системы (открытые/закрытые)2. Поисковые каталоги (dmoz.org)3. Социальные сети4. Форумы (открытые/закрытые)5. “Слитые” базы6. Аукционы/тендеры… 11
Google. Общие правила
1. Кавычки – точное соответствие (“[email protected]”)
2. Операторы:related:vk.comкардинг OR скиммингinfo: vk.comcache:google.rusite:vk.com(site:vk.com веста)
3. Форматhackers filetype:pdf
4. Исключить слово из поискаanunak –kaspersky
12
Google. Общие правила
5. В пределах одного предложенияпопелыш & срок
6. Перевод словаtranslate group-ib into italian
7. do a barrel roll 8. zerg rush
13
Поиск по картинке
14
Использование Google как прокси
http://translate.google.com/translate?sl=en&tl=ru&u=rutracker.org
15
Facebook. Общие принципы
1. Поиск осуществляется только после авторизации2. Для проведения разведки использовать анонимный аккаунт3. Учитывайте, что могут использоваться ненастоящие имена и фамилии4. Уточняйте поиск, чтобы уменьшить количество результатов
16
Facebook. Общие принципы
1. People named “vesta matveeva”2. People named “vesta matveeva” that live in usa3. People that work (worked) in group-ib4. People that live in Moscow5. Men that live in Moscow6. Married men that live in moocow and like football…Особенность запроса:https://www.facebook.com/search/str/people%2Bnamed%2Bvesta/keywords_users
17
Facebook. Общие принципы
People that are friends with … (хорошо для уникального имени) и лайки!
18
ПРАВОПРИМЕНЕНИЕ
19
Правоприменение в РФ
20
Правоприменение в США
21
Правоприменение в Великобритании и КНР
22
ТРЕНДЫ КИБЕРПРЕСТУПЛЕНИЙ
23
Оценка рынка высокотехнологичных преступлений, тренд (млн руб.)
ТРЕНД №1:
СНИЖЕНИЕ УЩЕРБА ПРИ РОСТЕ КОЛИЧЕСТВА АТАК
Хищения в интернет-банкинге у юридических лиц
Хищения в интернет-банкинге у физических лиц
Хищения у физических лиц с помощью Android-троянов
Целевые атаки на банки
24
Рост числа преступных групп: вместо 3х старых мы получаем 6 новых групп Новички
приносят старые методы хищений –удаленное управление
Группы, работающие по компаниям: Инциденты по группам
ТРЕНД №2ПРОФЕССИОНАЛЫ УХОДЯТ С РЫНКА РОССИИ
Shiz
Ranbyus
Infinity
Lurk
Cork
Kontur (Buhtrap)Toplel Uni_chthonic
Prosecutor
Kronos_Nalog
Yebot
NEW
NEW
NEW
NEW
NEW
ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // ХИЩЕНИЯ У ЮРИДИЧЕСКИХ ЛИЦ
NEW
25
ТРЕНД №2ПЕРЕОРИЕНТАЦИЯ РУССКОГОВОРЯЩИХ ХАКЕРОВ НАЗАПАД
Из-за девальвации рубля хакерам стало выгоднее атаковать клиентов иностранных банков
Самые опасные банковские трояны для Запада написаны или управляются русскоговорящими хакерами
Самые популярные трояны для атак наклиентов европейских и американских банков Количество групп
26
Группы, работающие по физическимлицам через Web-банкинг
PhishEye
Infinity Proxy
Группы, работающие по физическимлицам через мобильный клиент-банк
Reich
Waplook
Ada March Greff
Sizeprofit
Cron
Group 404
Ada2
ApiMaps
Tark
Xruss
MobiApps
Mikorta
Webmobil
ТРЕНД №3КАРДИНАЛЬНАЯ СМЕНА МЕТОДА АТАК НА ФИЗИЧЕСКИЕ ЛИЦА РЕЗКИЙ РОСТ МОБИЛЬНЫХ УГРОЗ Инциденты по мобильным
группам
1% 1% 1% 1%
2 23%
21%
11%11%
9%
10%
8%
Количество преступных групп, работающих с
мобильными троянами, увеличилось на 200% и
продолжает растиNEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
27
Киберфашисты
28
Торговые площадки
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
29
Продажа карт, взломанных аккаунтов
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
30
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
POS-терминалы
31
ТРЕНД №5:
ВЗЛОМ БАНКОМАТОВ
32
Вирус граббер (Платформа NCR)
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS (ApplicationCore.exe:netncr.dll)
3. Перехват треков и пинов и запись их в зашифрованном виде в скрытый поток NTFS (autosave:descriptor).
4. Копирование данных на чип определенной карты, удаление вируса и следов работы после чтения определенной карты.
33
Вирус диспенсер (Платформа NCR)
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.
3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Отключение локальной сети и возможности самоудаления, «McAfee Solidcore for APTRA».
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
34
Подмена кассет (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат. Модификация ключей реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER\
2. Выдача вместо купюр номиналом 100р купюр номиналом 5000р.
35
Вирус диспенсер (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат.
2. Запуск модифицированной версии диагностического ПО Testsoftware Component Diagnostic ("KDIAG32")
3. Выдача купюр без проверки на открытие сейфа. 36
ТРЕНД №6УСИЛЕНИЕ ИНТЕРЕСА К ТОРГОВЫМ / БРОКЕРСКИМСИСТЕМАМ
Группа Corkow
Специальный троян c модулями для брокерских систем
Первая атака в России в феврале 2015
Были спровоцированы Подготовка 5 месяцев 10-рублевые скачки курса доллара
Атака длилась всего 14 минут
Ущерб около300 миллионов рублей
ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // АТАКИ НА БРОКЕРОВ В РОССИИ
37
38
Rundll32.dll + Volume Serial + DllGetClassObject
Модуль Описание
MON Собирает информацию о ЭВМ, пользователе, ОС и отслеживает запущенные процессы.
KLG Ведет журнал всех нажатых клавиш.
HVNC Модуль удаленного доступа
FG Ведет журнал посещаемых сайтов в контексте браузера и сохраняет данные авторизации.
iFOBS Модуль для копирования данных из приложения «iFOBSClient.exe»
SBRF Модуль для копирования данных из приложения «IBank2»
IB2 Модуль для копирования данных из приложения «Wclnt.exe»
Corkow
39
Volume ID
28 90 FC 56 90 FC 2B C6
NTFS Volume Serial Number
90FC-2BC6
%SYSTEMDRIVE%
40
41
ПРИНЦИПЫ МОШЕННИЧЕСТВ В
СИСТЕМАХ ДБО
42
Принципы мошенничества в системе ДБО
1. Неправомерная передача платежныхпоручений от имени какой-либо организации.
2. Исполнение платежных поручений.
3. Вывод денежных средств, их легализация.
43
Мошенничество в ДБО
Покупка вредоносного ПО
Шифрование исполняемых файлов
Аренда серверов для управления бот сетью
Покупка трафика в определенных регионах РФ
Отправка платежных поручений
Вывод и легализация денежных средств44
План
Хищения с использованием банковских троянов
Установка панели управления Сборка трояна Крипт Способы распространения Инжекты Обход СМС
Хищения с использованием мобильных троянов Ограбление банков
45
1. Сложная преступная группа
Заливщики
Разработчики
вредоносного ПО
Организаторы
Распространители
вредоносного ПО
Бот
Бот
Бот
Бот
Бот
БотБот
Бот Бот
БотБот
Бот
Бот
Бот
Бот
Бот
ДропыБанковские
счета 46
Роли в преступной группе
Организатор - владелец бот-сети Программист Заливщики Трафер Прозвонщики
Владелец связки эксплойтов Криптор Администратор сервера Поставщик доменов и
серверов
Руководитель обнала Поставщики юридических лиц Поставщики пластиковых карт Поставщики сим-карт Дропы
47
Реальный случай. 20.03.2012 г.
48
1. Заражение машины с помощью вредоносной программы Carberp - > Логины, пароли, скриншоты
2. Установка вредоносной программы для удаленного управления RDPDoor
3. Установка BeTwinService -> Одновременное подключение нескольких пользователей
4. Установка MIPKO Employee Monitor - > Перехват деятельности пользователей
49
Реальный случай. 21.04.2014 г.
50
antiphishing.ru ПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
1 2 3
Форма для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Проект функционирует с 2012 года при участии специалистов CERT-GIB
Полученная информация немедленно направляется аналитикам CERT-GIB, которые оперативно обрабатывают поступающие обращения и принимают необходимые меры для нейтрализации вредоносных ресурсов
Социально ориентированный проект: после отправки заявки, пользователям предоставляется возможность поделиться информацией о проекте в соц. сетях
51
Аналитика и внутренние расследования
53
54
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Bot-Trek Cyber Intelligence (CI) — платформа, предоставляющая компаниям в режиме реального времени персонализированную аналитическую информацию для стратегического планирования, идентификации и оперативного реагирования на актуальные глобальные риски и угрозы безопасности
1 2 3
Оцениваются тысячи показателейизменения внешней киберсредыи их влияние
Коррелируя и собирая дополнительнуюинформацию, Bot-Trek CI предоставляетглобальную, секторальную и объектнуюаналитику по всевозможным видамвысокотехнологичных угроз
Обрабатывая огромные объемы сырыхданных, Bot-Trek CI предоставляетзаказчику только проверенную изначимую информацию, необходимуюдля принятия решений 55
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Bot-Trek CI осуществляет исследование, обработку и корреляциюданных из множества закрытых и открытых источников
56
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Group-IB использует собственные уникальныеразработки для сбора и корреляции данных
Каждый блок данных дополняет соседний, обеспечивая лучшее покрытие и уровень защиты
57
КАК ЗАЩИТИТЬСЯ ОТ
ВРЕДОНОСНОГО ПО
58
Как защититься от вредоносного ПО? Последние версии ОС Отслуживать новые уязвимости в ПО Антивирусное ПО Ограничение прав и привилегий под рабочей учетной записью Ограничение на количество попыток неправильного ввода пароля Многофакторная аутентификация Регулярная смена паролей на критичные ресурсы SRP (способ аутентификации, устойчивый к MitM) Автоматические обновления ОС, Flash, PDF-reader, Office, Java EMET Safe Browsing Проверка автозагрузки (Autoruns.exe) CrowdInspect Отслеживание сетевых соединений Межсетевой экран Проверка каталоге «Temp» BotTrack IDS IDS/IPS Обучение персонала Тесты на проникновение
59
EMET
60
EMET
61
EMET
62
63
CrowdInspect
64
Межсетевой экран ЗАПРЕТИТЬ даже соединения изнутри сети от
критичных областей к критичным
Сервера доступны только из VLAN администраторов
Закрыть лишние порты
Закрыть уязвимые порты
Белый/Черный список адресов
65
BOT-TREK TDS
66
BOT-TREK TDS
67
BOT-TREK TDS
68
BOT-TREK TDS
69
BOT-TREK TDS
70
BOT-TREK TDS
71
КАК РЕАГИРОВАТЬ НА ИНЦИДЕНТ?
72
Задачи первичного реагирования
Подтверждение или опровержение факта инцидента.
Корректный сбор информации об инциденте для дальнейшего расследования.
Обеспечение юридически грамотного оформления доказательств.
Создание правил правильного извлечения и обращения с доказательствами.
Минимизация степени последствий для бизнеса, репутации, материальных
потерь.
Возможность правового преследования причастных к инциденту лиц.
Получение рекомендаций по предотвращению эскалации последствий
инцидента, дальнейшей компрометации или хищения данных и т. д.
Выработка модели правильного реагирования на последующие инциденты, в
том числе быстрое выявление и/или предотвращение инцидентов в будущем
(посредством извлеченных уроков, изменений политик безопасности и т. д.).
«Не упустить и не пропустить!».73
Первичное реагирование
Последовательность действий при реагировании на инцидент:
1. Связаться со специалистами2. Определить тип инцидента, а именно задействованные системы, компьютеры и
причастных людей3. Изолировать доступ всех лиц, кроме тех, чье участие необходимо, к выявленным
объектам4. Собрать всю возможную информацию, которая впоследствии передается на
исследование специалистам для установления причин и хода инцидента5. Задокументировать процесс сбора доказательств с указанием
идентификационной информации устройств, с которых информация снимается, а также самих данных
6. Закрыть брешь (отключить от сети, закрыть порт, выключить компьютер, обновить ПО, обновить правила политик безопасности и т. д.)
7. Оповестить нужных лиц8. Провести опрос задействованных лиц9. Восстановить штатную работу сети, компьютера, внешних сервисов и т. д.
(удалить вредоносное ПО, переустановить ОС, закрыть уязвимости, закрыть удаленный доступ к критичным элементам сети, смена паролей и т. д.)
10. Обратиться в правоохранительные органы при необходимости11. Дать рекомендации пострадавшим лицам, техническому отделу или иным
лицам, действия которых так или иначе могут повлиять на повторение инцидента74
Сбор доказательной базы
1. Носитель компьютерной информации (или компьютер), задействованный в инциденте.
2. Оперативная память компьютера;
3. Сетевой трафик;
4. Отдельные файлы и каталоги;
5. Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, контроллера домена, антивирусных средств и др.;
6. Логи сетевого оборудования, IDS/IPS, DLP-систем;
7. Логи провайдера;
8. АТС, рабочие станции и серверы.
9. Интернет-сайты, данные интернет-сервисов
10. Системы слежения за пользователями
11. ПО для проверки целостности файлов в системе
12. Топология сети, способ выхода в сеть Интернет
13. Детализация IP-адресов и за что отвечает каждый серве
14. Результаты тестов на проникновение75
Дополнительные источники доказательств
1. Записи с видеорегистратора
2. Журналы систем учета рабочего времени
3. Журналы систем управления доступом в помещение
4. Опрос сотрудников
5. Запись телефонных разговоров
Необязательно изымать из работы полностью компьютеры с установленными системами, достаточно сделать выгрузку
необходимых данных, записать на неперезаписываемый диск, упаковать, опечатать
76
Снятие данных в присутствии независимых специалистов
Сопровождение документами о снятии данных
Запись данных с защитой от перезаписи
Соблюдение целостности данных на источниках информации
Опечатывание техники
Снятие криминалистических образов данных
Проверка контрольных сумм
Правила снятия доказательств
77
К кому обращаться за данными?
Провайдер (блокировка трафика, получение логов) Регистраторы доменных имен Хостинг-провайдеры Разработчики ПО (о специфики работы ПО, определенных
событиях в логах, ложных срабатываниях на определенную сигнатуру атаки). Носит скорее уточняющий, а не ключевой характер в расследовании
Если использовалась уязвимость ПО, то ее разработчику стоит о ней сообщить.
Группы реагирования (CERT-GIB,), организации, которые заточены под реагирование и владеют дополнительными данными о злоумышленниках, имеют накопленные базы сведений, опыт и т. д.
Forum of Incident Response and Security Teams (FIRST), Government Forum of Incident Response and Security Teams (GFIRST), Anti-Phishing Working Group (APWG) не являются группами реагирования, но обеспечивают обмен информацией между группами реагирования. Затронутые стороны. Знаете об инциденте, знаете, что
пострадали или могут пострадать (скомпрометирована информация о них) др организации/лица, надо им сообщить.
78
Источники доказательной базы (ИДБ)
Энергозависимые
Оперативная память компьютера
Перечень запущенных процессов Сведения о сетевых соединениях Пароли Расшифрованные файлы Ключи шифрования Буфер обмена Переписка Вредоносный код
Сетевой трафик
Временные журналы регистрации событий
79
Создание дампа оперативной памяти
• AccessData FTK Imager (http://www.accessdata.com)
80
Volatility
81
Mandiant Redline
82
RAWCAP (http://www.netresec.com/?page=RawCap)
TCPDUMP (WINDUMP) (http://www.tcpdump.org/)
TCPFLOW (http://www.forensicswiki.org/wiki/Tcpflow)
Wireshark (http://www.wireshark.org/download.html)
Извлечение дампа сетевого трафика (утилиты)
83
Анализ трафика
84
Источники доказательной базы
(Энергонезависимые источники)
Накопители на жестких магнитных дисках (НЖМД);
Накопители на гибких магнитных дисках (НГМД);
Отдельные файлы и каталоги;
АТС, рабочие станции и серверы.
Интернет-сайты, данные интернет-сервисов
Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, антивирусных средств и др.;
Логи сетевого оборудования, IDS/IPS, DLP-систем;
Логи провайдера;
Содержимое оптических дисков и накопителей на основе флеш-памяти;
Мобильные телефоны, планшетные ЭВМ, КПК и т.п.
и т. д.
Все временно!85
Правовой аспект
Обеспечение сохранности и применение неразрушающих методов копирования компьютерной информации
статья 57 Уголовно-процессуального кодекса РФ:
«эксперт не вправе… проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов
либо изменение их внешнего вида или основных свойств»
86
Ошибки реагирования на инцидент1. Антивирусная проверка файловых систем носителей
информации ЭВМ
Приводит к изменению временных меток файлов вредоносныхпрограмм, перемещению или удалению файлов вредоносныхпрограмм
2. Переустановка операционных систем ЭВМ
Приводит к удалению файлов вредоносных программ, следов ихработы, системных журналов и усложняет расследование инцидентаза счет необходимости восстановления данных.
3. Продолжение работы пользователей с ЭВМ, имеющимиотношение к инциденту
Дает возможность злоумышленнику удалить следы собственнойактивности, будут затерты удаленные данные.
87
+7 (495) 984 33 64 www.group-ib.ru [email protected]
facebook.com/groupib twitter.com/groupib
youtube.com/groupib linkedin.com/company/group-ib
+7 (495) 984-33-64 доб[email protected]
Веста Матвеева
88