Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Рубрика «компьютерная криминалистика»
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
2022-02-22 в 9:00, admin, рубрики: forensic analysis, forensics, open source, Блог компании Бастион, инструменты, информационная безопасность, компьютерная криминалистика, криминалистика, расследование, расследование инцедентов иб, расследование инцидентов, сбор данных, Софт, форензикаТайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
2020-08-21 в 13:22, admin, рубрики: cybercriminalistics, reverse engineering, информационная безопасность, Исследования и прогнозы в IT, киберкриминалистика, компьютерная безопасность, компьютерная криминалистика, расследование инцидентов, реагирование на инциденты, реверс-инжиниринг
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать полностью »
Однажды на пентесте, или Как все сломать при помощи уролога и Роскомнадзора
2020-04-17 в 7:36, admin, рубрики: computer security, criminalistics, cybersecurity, hack, hacking, penetration testing, pentest, pentesting, информационная безопасность, кибербезопасность, компьютерная безопасность, компьютерная криминалистика, тест на проникновение, Тестирование IT-систем, Тестирование веб-сервисовЭта статья написана по мотивам очень удачного пентеста, который пару лет назад провели специалисты Group-IB: случилась история, претендующая на экранизацию в Болливуде. Сейчас, наверное, последует реакция читателя: «О, очередная пиар-статья, опять эти рисуются, какие они хорошие, еще не забудьте купить пентест». Ну с одной стороны, так и есть. Однако есть еще ряд мотивов, почему появилась эта статья. Хотелось показать, чем именно занимаются пентестеры, насколько эта работа может быть интересной и нетривиальной, какие забавные обстоятельства могут складываться на проектах и самое главное — показать живой материал с реальными примерами. Читать полностью »
Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика
2019-11-27 в 9:02, admin, рубрики: criminalistics, cybercrime, cybersecurity, hacking, information security, Malware, вредоносное ПО, вредоносное программное обеспечение, информационная безопасность, Исследования и прогнозы в IT, кибербезопасность, компьютерная криминалистика, реверс-инжиниринг, фишинг, фишинговые ссылкиВ последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке. Читать полностью »
Ваш выход, граф: как мы не нашли хороший сетевой граф и создали свой
2019-11-08 в 8:10, admin, рубрики: analysis, criminalistics, cybercrime, cybersecurity, graph database, graphs, software, анализ, графовые базы данных, графы, информационная безопасность, компьютерная безопасность, компьютерная криминалистика, криминалистика, Сетевые технологии
Расследуя дела, связанные с фишингом, бот-сетями, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей. В разных кейсах существуют свои массивы данных, свои алгоритмы выявления связей и интерфейсы, заточенные под конкретные задачи. Все эти инструменты являлись внутренней разработкой Group-IB и были доступны только нашим сотрудникам.
Графовый анализ сетевой инфраструктуры (сетевой граф) стал первым внутренним инструментом, который мы встроили во все публичные продукты компании. Прежде чем создавать свой сетевой граф, мы проанализировали многие подобные разработки на рынке и не нашли ни одного продукта, который бы удовлетворял нашим собственным потребностям. В этой статье мы расскажем о том, как мы создавали сетевой граф, как его используем и с какими трудностями столкнулись.
Дмитрий Волков, CTO Group-IB и глава направления киберразведки Читать полностью »
Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
2019-06-10 в 7:31, admin, рубрики: criminalistics, cybercrime, cybersecurity, forensic analysis, forensic toolkit, forensics, hardware, Open Source Software, opinion, software, информационная безопасность, кибербезопаность, компьютерная криминалистика, криминалистика, криминалистическая экспертиза, программное обеcпечение, Софт, специалист по безопасности, экспертиза, экспертное мнениеВот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики. Читать полностью »
Веста Матвеева: борьба с киберпреступностью – это моральный выбор
2018-06-01 в 7:33, admin, рубрики: Блог компании «Group-IB», веста матвеева, вирусы, информационная безопасность, компьютерная криминалистика, компьютерные преступления, расследования, хакерыЗнакомьтесь: Веста Матвеева – эксперт в области информационной безопасности Group-IB.
Специализация: расследование киберпреступлений.
Чем известна: Веста регулярно участвует не только в расследованиях, но и в задержаниях, допросах и обысках участников хакерских групп. За 6 лет провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследований Group-IB, успешно раскрыла несколько дел и продолжает работать в этом направлении.
Читать полностью »
Аппаратные или программные блокираторы записи — что надежнее?
2017-01-23 в 6:15, admin, рубрики: bizone, Блог компании BI.ZONE, блокираторы записи, информационная безопасность, компьютерная криминалистикаЯвляются ли аппаратные блокираторы записи более надежными по сравнению с программными?
Предисловие
Проведение криминалистических исследований при расследовании инцидентов информационной безопасности, производство судебных экспертиз и многие другие направления деятельности, связанные с компьютерной криминалистикой, требуют максимально возможного сохранения целостности исследуемых данных. Для этого используются блокираторы записи — программы или устройства, не позволяющие записать что-либо на исследуемый накопитель. Необходимость применения таких средств происходит как из требований процессуального законодательства (например, УПК РФ), так и из различных рекомендаций методического и иного характера, а также из стандартов (например, СТО БР ИББС-1.3-2016). Некоторые аспекты функционирования блокираторов записи и будут рассмотрены в настоящей статье.
Один из ранних аппаратных блокираторов записи (2002 год)
Читать полностью »
Средства сбора данных в компьютерно-технической экспертизе
2016-05-10 в 9:27, admin, рубрики: e01, forensics, ftk imager, winfe, информационная безопасность, компьютерная криминалистика, форензика, метки: компьютерная криминалистика
В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.