Сегодня мы поупражняемся в анализе трафика при помощи Wireshark, разберем брутфорс‑атаку Credential Stuffing и проанализируем метод закрепления злоумышленника в системе. Затем построим таймлайн событий.

Нередко злоумышленники атакуют компьютеры с использованием неустановленных вредоносных программ, и все, что остается после такого инцидента у специалистов по кибербезопасности — дамп памяти скомпрометированной машины. Нужно извлечь оттуда файл вредоноса, идентифицировать его и восстановить хронологию атаки.

Иногда после хакерской атаки исследователям остается несколько скомпрометированных компьютеров и дамп сетевого трафика, исследуя который можно попытаться восстановить хронологию событий. Именно эту ситуацию эмулирует лабораторная работа BSidesJeddah-Part1 с сайта CyberDefenders, решение которой мы сегодня подробно разберем. Мы научимся анализировать сетевой трафик, извлекать артефакты и восстановим картину взлома.

В этой статье мы проведем расследование инцидента на примере лабораторной работы MrRobot с ресурса CyberDefenders. Мы научимся извлекать основные артефакты из образов оперативной памяти Windows и восстановим процесс атаки.

В последнее время хакерская группа Lapsus$ не сходит с первых полос ИТ-изданий по всему миру. Эти парни шантажировали Nvidia, слили исходные коды Ubisoft, Microsoft и Samsung, скомпрометировали Okta. Как теперь сообщают СМИ и эксперты, лидером этой хак-группы может быть 17-летний подросток из Великобритании, к тому же недавно арестованный властями.

Американский суд вынес приговор 36-летнему жителю Дублина Эрику Эоину Маркесу, который управлял сервисом Freedom Hosting с июля 2008 года по июль 2013 года. Внимание властей к этому сервису привлекли хактивисты Anonymous, и именно с Freedom Hosting связан один из первых случаев массового применения малвари ФБР.

В середине июня 2021 года правозащитная организация Amnesty International, некоммерческий проект Forbidden Stories, а также более 80 журналистов консорциума из 17 медиаорганизаций в десяти странах мира опубликовали результаты совместного расследования, которому дали название проект «Пегас».

Нет на свете программиста, который не слышал бы о Stack Overflow. В мае 2019 года этот чудесный ресурс взломали, похитив исходники платформы. Причем взломали с использованием рекомендаций и советов, опубликованных на самом Stack Overflow. Как это получилось и как удалось обнаружить вторжение?

В конце августа пиратский андеграунд потрясла крупнейшая за последние несколько лет операция правоохранительных органов. В результате были закрыты десятки сайтов в 18 странах мира, а американские власти объявили об арестах как минимум двух ключевых участников релиз-группы SPARKS и ее дочерних ответвлений.

Хакерскую группировку Evil Corp называют самой вредоносной и самой наглой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в 5 миллионов долларов, а СМИ обсуждают слухи об их возможных связях с российскими спецслужбами. Мы постарались поподробнее разобраться в истории, образе действий и инструментах этой хакерской группы.

Расследование — это, в широком смысле, деятельность, направленная на выяснение причин и обстоятельств инцидентов. Определение причастных лиц и степени их участия и вины, оценка ущерба, выработка мер по локализации инцидента, компенсации ущерба, предотвращению повторных инцидентов — это уже производные от причин и обстоятельств.

В большинстве случаев разоблачения происходят потому, что вирмейкер где-то фундаментально накосячил. Так случилось и на этот раз, причем автор трояна не только подставился сам, но и спалил всех заказчиков, на радость специалистам по информационной безопасности. Случай, о котором пойдет речь, наглядно иллюстрирует, какую информацию можно получить, обратив внимание на незначительные детали.

В предыдущей статье мы познакомили тебя с форензикой – наукой о расследовании кибер инцидентов. В этой — научимся применять конкретные утилиты и техники: проведем поиск и восстановление удаленных файлов, анализ неразмеченной области памяти, дамп процессов в Windows для обнаружения эксплойта, а так же анализ истории URL и извлечение cookie из браузера.

Если ты когда-нибудь садился за чужой компьютер и пытался разобраться, то поздравляю: ты уже занимался форензикой. Только у специалистов круг задач намного шире: они расследуют инциденты, анализируют трафик, ищут сокрытые данные. Хочешь стать одним из таких спецов? Тогда давай посмотрим на основы этого мастерства и соберем коллекцию утилит и ссылок на ресурсы, которые помогут прокачать скилл.

Обнаружить источник малвари так же сложно, как отыскать черный айфон в темном чулане. Образцы вредоносных программ попадают в антивирусные компании по-разному — приходят с публичных сервисов, скачиваются с замеченных в распространении вирусов файлопомоек, загружаются с ханипотов, и т. д. Выяснить, где именно пользователь подцепил заразу, чаще всего невозможно. Установить источник заражения можно при анализе снятого с инфицированной машины жесткого диска. Если на нем сохранились логи, или когда сам вирусописатель подставился по неосторожности.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и их решениями.

В России сложилась интересная ситуация с расследованием инцидентов в сфере информационной безопасности. Большинство инцидентов замалчивается — если, конечно, дело не касается банковских счетов и финансовых транзакций. Администраторы и служба ИБ (если она есть) пытаются предпринять какие-то меры, затем все отчитываются перед руководством и об инциденте забывают. О полноценном расследовании речи, как правило, не идет, потому что либо безопасностью заниматься в компании просто некому, либо есть отдел, который разработал политику безопасности, внедрил современные технические средства, но этим и ограничивается. Ликвидация последствий сводится к смене чувствительной информации, такой как пароли и ключи, переустановке пары-тройки операционных систем (не всегда тех, которые необходимо).