Pull to refresh
  • by relevance
  • by date
  • by rating

Теперь НАТОвцы будут в прямом смысле слова бомбить киберпреступников

Information Security *
Группа специалистов из НАТО, под предводительством Дарта Вейдера Мадлен Олбрайт(если кто не в курсе-это экс-госсекретарь США) считают, что компьютерная атака на жизненно важные ресурсы Североатлантического Альянса должна приравниваться к вооружнному нападению. Кромет того, по их же мнению это оправдывает ответный удар ВОЕННЫМИ СРЕДСТВАМИ.

Читать дальше →
Total votes 20: ↑13 and ↓7 +6
Views 476
Comments 23

[Перевод] Расследование манипуляций с панелью управления. Часть 1

Netwrix corporate blog
Recovery mode
Translation
Всем привет! Сегодня предлагаем вашему вниманию перевод статьи «Control Panel Forensics: Evidence of Time Manipulation and More…», автор Chad Tilbury трудился спецагентом в Офисе специальных расследовнаий ВВС США, а после этого стал заниматься проблемами пиратства в Американской Ассоциации Кинопрокатчиков. О расследованиях компьютерных преступлений этот парень знает не из учебников. Итак, начнем!

Панель управления — давно известный инструмент Windows, позволяющий изменять огромное количество настроек системы. Использование панели управления может быть ограничено с помощью Групповых политик, но в любом случае, некоторые элементы панели доступны для большинства учетных записей (для внесения некоторых изменений необходимы права администратора). В ходе расследования мы можем провести аудит использования панели управления для того, чтобы идентифицировать широкий спектр действий пользователей, таких как:

  • Изменения настроек Брандмауэра (firewall.cpl), необходимы для того, чтобы в дальнейшем использовать неавторизованное ПО;
  • Добавление/изменение учетных записей (nusrmgr.cpl);
  • Отключение функций «Восстановление системы» и службы Теневого резервного копирования (sysdm.cpl);
  • Изменение системного времени (timedate.cpl);
  • Взаимодействие с приложениями сторонних производителей, изменяющими настройки безопасности.

Процесс идентификации отдельных изменений в системе позволяет, как минимум, показать – какие апплеты из панели управления запускались пользователем и когда это произошло. Артефакты, т.е. следы, оставленные в системе могут дать дополнительную информацию для нашего расследования. Особенно важен контекст, последовательность действий. Представьте, что вы идентифицируете, как использовалась панель управления и видите следующую картину:



Доступ к центру поддержки (этот апплет в англ.версии называется Security Center) сам по себе не является особенно интересным. Но необходимо учитывать, что этот апплет был открыт сразу же после запуска известного инструмента для подбора паролей на роутерах. Как говорится, почувствуйте разницу!
Читать дальше →
Total votes 7: ↑4 and ↓3 +1
Views 7K
Comments 1

Расследование манипуляций с панелью управления. Часть 2

Netwrix corporate blog
Recovery mode
Translation
Всем привет!

Сегодня продолжаем рассказ о методах расследований и сборе доказательств запуска апплетов Панели управления Windows.
Первая часть материала на эту тему доступна здесь.

Напомню, что с выходом Windows 7 механизм UserAssist претерпел существенные изменения. Сбор надежных доказательств запуска апплетов не поддерживается в системах Windows7|8, вместо этого мы можем использовать т.н. списки переходов (jumplists), источник информации, содержащий следы запуска апплетов.

Списки переходов в Windows 7/8 (Jumplists)




В современных ОС Windows cписки переходов являются одним из самых важных источников информации для расследований, в том числе в них содержатся нужные нам следы запуска апплетов Панели управления. Автор Harlan Carvey написал отличный пост, посвященный спискам переходов. В нем он подробно рассказывает о структуре и практическом применении списков.
Читать дальше →
Total votes 9: ↑5 and ↓4 +1
Views 7.4K
Comments 1

Веста Матвеева: борьба с киберпреступностью – это моральный выбор

Group-IB corporate blog
Знакомьтесь: Веста Матвеева – эксперт в области информационной безопасности Group-IB.

Специализация: расследование киберпреступлений.

Чем известна: Веста регулярно участвует не только в расследованиях, но и в задержаниях, допросах и обысках участников хакерских групп. За 6 лет провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследований Group-IB, успешно раскрыла несколько дел и продолжает работать в этом направлении.
Читать дальше →
Total votes 13: ↑10 and ↓3 +7
Views 7.1K
Comments 16