Рубрика «расследование инцидентов»
Как ИИ-скрипт парализовал ИТ-инфраструктуру
2025-12-07 в 5:34, admin, рубрики: SoC, расследование инцидентовЦифровые раскопки
2025-07-02 в 9:15, admin, рубрики: blue team, ransomware, SoC, windwos, информационная безопасность, расследование инцидентов
Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows-хостах.
Предыстория
С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic).
Цена «мусорных» логов: Как некачественная информация чуть не привела к провалу
2025-04-05 в 10:15, admin, рубрики: анализ логов, защита данных, информационная безопасность, логи, расследование инцидентов, целостность данныхЛоги — это черный ящик информационной системы. Когда что-то идет не так, все надежды на него: что там записалось, как все было на самом деле. В теории звучит красиво. А на практике…
Недавно был случай – назовем клиента «Pypkin Corp», крупное производство, куча компов, серверов. Расследование рядового, на первый взгляд, инцидента превратилось в марафон с препятствиями, где главным врагом был не хакер, а собственная система записи событий. История поучительная, поэтому делюсь (изменив детали, конечно).
«У нас тут что-то странное!»
Инструменты атакующих в 2023–2024 годах
2024-12-17 в 9:10, admin, рубрики: G-Socket, Sliver, SoC, инструменты для атак на Linux, инструменты для атак на Windows, инструменты хакеров, кибератаки в 2024, разведка угроз, расследование инцидентов, реагирование на инциденты
На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Запись выступления можно посмотреть Читать полностью »
Ошибка в коде, стоившая целой АЭС
2022-06-11 в 9:50, admin, рубрики: арбитраж, АЭС, Блог компании Timeweb Cloud, инженерные системы, ошибки в коде, расследование инцидентов, США, технологии, Читальный зал, Энергия и элементы питания
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
2022-02-22 в 9:00, admin, рубрики: forensic analysis, forensics, open source, Блог компании Бастион, инструменты, информационная безопасность, компьютерная криминалистика, криминалистика, расследование, расследование инцедентов иб, расследование инцидентов, сбор данных, Софт, форензика
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Кто читает ваши SMS
2021-06-15 в 8:00, admin, рубрики: Блог компании ДомКлик, информационная безопасность, история, расследование инцидентов, сотовая связь, Читальный зал
Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.
Добро пожаловать под кат, далее будет небольшая история.
Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональные данные и получает решение по кредиту. Упрощенная архитектура выглядит так:
Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
2020-08-21 в 13:22, admin, рубрики: cybercriminalistics, reverse engineering, информационная безопасность, Исследования и прогнозы в IT, киберкриминалистика, компьютерная безопасность, компьютерная криминалистика, расследование инцидентов, реагирование на инциденты, реверс-инжиниринг
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать полностью »
Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise
2020-01-12 в 19:57, admin, рубрики: Cisco, incident response, nta, stealthwatch, threat hunting, Блог компании Cisco, информационная безопасность, расследование инцидентовПродолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.Читать полностью »
Несколько историй из жизни JSOC CERT, или Небанальная форензика
2019-07-16 в 8:00, admin, рубрики: forensics, антивирусная защита, Восстановление данных, информационная безопасность, расследование инцидентов, форензика
Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.Читать полностью »