Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!
 

Предыстория инцидента

Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру).

У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО).

Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF).

Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться.

WARNING

Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

 

Гипотезы

Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО).

Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления.

 

Уязвимые места и поиск сценария взлома

Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    18 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии