Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft. В августе мы анонсировали первый курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Обо всём по порядку.

С 9 по 11 сентября в Москве пройдет совместный обучающий курс Group-IB и Belkasoft «Belkasoft Digital Forensics», на котором специалисты Group-IB расскажут, как эффективно работать над криминалистическими расследованиями с помощью инструментов Belkasoft.

Продукты Belkasoft более 10 лет известны на российском и мировом рынках решений по компьютерной криминалистике и используются для борьбы с различными видами преступлений.

Обучение позволит слушателям эффективно работать с Belkasoft Evidence Center для решения задач по расследованию инцидентов и цифровой криминалистике, а экспертиза и многолетний опыт Group-IB помогут получить максимальную пользу от продукта с первого дня его использования.

Программа будет интересна специалистам по ИБ и ИТ, аналитикам SOC и CERT, криминалистам и всем, кто работает в сфере высоких технологий.

Что интересного будет на курсе?

На курсе вы:

• Познакомитесь с основами компьютерной криминалистики;
• Научитесь решать типовые криминалистические задачи: извлекать данные, искать артефакты, анализировать полученные данные и составлять отчет;
• Ознакомитесь с рекомендациями по повседневному использованию Belkasoft Evidence Center;
• Станете обладателем сертификата Group-IB и Belkasoft о прохождении обучения;
• Получите приятные бонусы от Belkasoft.

Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Даже в организациях с передовыми технологиями защиты могут быть проблемные моменты в ключевых элементах — таких как люди, бизнес-процессы, технологии и связанные с ними точки пересечения.

Есть множество услуг по проверке уровня защищенности: анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах информационной̆ безопасности и т.д. Однако из-за постоянного изменения ландшафта киберугроз, появления новых инструментов и преступных групп возникают новые типы рисков, которые трудно выявить с помощью традиционных способов анализа защищенности.

На этом фоне наиболее реалистичным и продвинутым подходом к тестированию безопасности,
по нашему мнению, являются киберучения в формате Red Teaming — непрерывная оценка защищённости информационных систем, готовности специалистов по реагированию на инциденты и устойчивости инфраструктуры к новым видам атак, в том числе APT (Advanced Persistent Threat, сложная постоянная угроза, целевая кибератака). Проводя Red Teaming и практикуя реагирование на контролируемые атаки, внутренняя команда безопасности может повысить свои навыки по обнаружению ранее незамеченных угроз, чтобы остановить реальных злоумышленников на ранних стадиях атаки и предотвратить материальный и репутационный ущерб для бизнеса.

О том, как проходят киберучения в формате Red Teaming, рассказывает Вячеслав Васин (vas-v), ведущий аналитик департамента Аудита и Консалтинга Group-IB.

Работа вирусного аналитика требует глубоких знаний и обширного опыта, но существуют базовые методы анализа, которые доступны даже начинающим специалистам. Несмотря на свою простоту, такие методы эффективно работают и позволяют выявить существенную часть вредоносного программного обеспечения.

Специалисты CERT-GIB подготовили вебинар на тему «Анализ вредоносного ПО для начинающих: базовые подходы». Вебинар пройдет 11 июля 2019 года в 11:00 (МСК), а проведет его Илья Померанцев, специалист Group-IB по анализу вредоносного кода.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

• Какие базовые подходы используются вирусными аналитиками для определения вредоносности файла;
• Как правильно провести статический анализ вредоносного файла;
• Как подготовить виртуальную среду для динамического анализа ВПО и провести его;
• В чем плюсы и минусы обоих подходов и как выбрать оптимальный.

При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, таймлайн представляет собой огромный текстовый файл или таблицу, в которой в хронологической последовательности содержится представленная информация о событиях, происходивших в компьютере.

Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому компьютерные криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline.

«Когда я впервые узнал о новой функции Windows, я подумал: «Здорово! Теперь не придется тратить время на генерацию таймлайнов». Однако, как оказалось, радость моя была преждевременна», — признается Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Специально для читателей «Хабра» Игорь рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся.

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ.

В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK».

Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB

Более 80% компаний подверглись социоинженерным атакам в 2018 году. Отсутствие отработанной методики обучения персонала и регулярной проверки его готовности к социотехническим воздействиям приводят к тому, что сотрудники все чаще становятся жертвами манипуляций злоумышленников.

Cпециалисты направление Аудита и Консалтинга Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Противодействие социоинженерным атакам: как распознать уловки хакеров и защититься от них?».

Вебинар начнется 27-го июня 2019 года в 11:00 (МСК), проведет его Андрей Брызгин, руководитель направления Аудита и Консалтинга.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

• Основные направления социоинженерных атак: оценка подготовленности сотрудников и средств защиты;
• Как распознать признаки социальной инженерии и защититься от нее;
• Реальные кейсы Group-IB по имитации социоинженерных атак на персонал.

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.

У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.

Практически каждый из нас пользуется услугами онлайн-магазинов, а значит, рано или поздно рискует стать жертвой JavaScript-снифферов — специального кода, который злоумышленники внедряют на сайт для кражи данных банковских карт, адресов, логинов и паролей пользователей.

От снифферов уже пострадали почти 400 000 пользователей сайта и мобильного приложения авиакомпании British Airways, а также посетители британского сайта спортивного гиганта FILA и американского дистрибьютора билетов Ticketmaster.

Аналитик Threat Intelligence Group-IB Виктор Окороков рассказывает о том, как снифферы внедряются в код сайта и крадут платежную информацию, а также о том, какие CRM они атакуют.

Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.

В этом квартале клиентам Group-IB Threat Intelligence стал доступен новый аналитический инструмент, позволяющий выявлять связанную сетевую инфраструктуру на основе графового анализа.

Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Буквально на днях Group-IB сообщала об активности мобильного Android-трояна Gustuff. Он работает исключительно на международных рынках, атакуя клиентов 100 крупнейших иностранных банков, пользователей мобильных 32 криптокошельков, а также крупных e-commerce ресурсов. А вот разработчик Gustuff — русскоязычный киберпреступник под ником Bestoffer. Еще недавно он нахваливал свой троян как «серьезный продукт для людей со знаниями и опытом».

Специалист по анализу вредоносного кода Group-IB Иван Писарев в своем исследовании подробно рассказывает о том, как работает Gustuff и в чем его опасность.

Знания в сфере информационной безопасности – сила. Актуальность непрерывного процесса обучения в этой области обусловлена стремительно меняющимися тенденциями киберпреступлений, а также потребностью в новых компетенциях.

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Подход Group-IB к киберобразованию: обзор актуальных программ и практических кейсов».

Вебинар начнется 28-го марта 2019 года в 11:00 (МСК), проведет его Анастасия Баринова, ведущий тренер по компьютерной криминалистике.

Что интересного будет на вебинаре?

На вебинаре мы расскажем о:

• Современных трендах киберобразовательных программ;
• Популярных темах и форматах для технических специалистов и других подразделений;
• Курсах по информационной безопасности от Group-IB – программа, результаты, сертификация.

Настал тот самый момент, когда вы подали списки о категорировании объектов КИИ во ФСТЭК и приступаете к перенастройке сети?

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Взгляд криминалиста на защиту объектов критической инфраструктуры в 2019 году».

Вебинар начнется 13-го марта 2019 года в 11:00 (МСК), проведет его Веста Матвеева, ведущий специалист отдела Расследований.

Что интересного будет на вебинаре?

Данный вебинар не будет посвящен рассказу о формальном выполнении требований ФЗ-187 или необходимых для этого средствах защиты.

1. Криминалист Group-IB расскажет, от чего стоит защищаться сегодня и как не потерять контроль над собственной сетью при атаке.
2. Также мы поделимся собственным взглядом на проблему защиты инфраструктуры на основании обширного опыта расследований компьютерных атак на объекты КИИ.

Cпециалисты Group-IB и «Инфосистемы Джет» подготовили вебинар на тему «167-ФЗ: Как банки могут выполнить требования ЦБ к антифрод-системам».

Вебинар состоится 26 февраля 2019 года в 11:00 (МСК), проведут его Павел Крылов, руководитель направления по защите от онлайн-мошенничества Group-IB, и Алексей Сизов, руководитель направления противодействия мошенничеству Центра прикладных систем безопасности, Инфосистемы Джет.

Что интересного будет на вебинаре?

Вы узнаете:

1. Почему банкам важно следовать 167-ФЗ;
2. Какие антифрод-технологии выявляют признаки мошеннических платежей, установленные Банком России;
3. Как банки могут выполнить требования регулятора.

Как повысить готовность вашей организации противостоять масштабным атакам и получить более реалистичное понимание рисков для вашей инфраструктуры?

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Red Team или Пентест: что нужно вашей инфраструктуре?». Вебинар начнется 12-го февраля 2019 года в 11:00 (МСК), проведет его Андрей Брызгин, руководитель направления Аудита и Консалтинга.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

1. Чем редтиминг отличается от пентеста;
2. Использование каких инструментов и векторов атак предполагают оба исследования;
3. Как в рамках редтиминга удавалось проникнуть в периметр Заказчика на примере реальных кейсов из практики Group-IB.

Cпециалисты отдела мониторинга и реагирования на инциденты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Intelligence-driven SOC и можно ли без него обойтись?». Вебинар начнется 18-го декабря 2018 года в 11:00 (МСК), проведет его Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты CERT-GIB.

Почему стоит присоединиться к вебинару?

На вебинаре вы узнаете, как работает с инцидентами информационной безопасности разной степени тяжести CERT-GIB — центр круглосуточного реагирования.

Мы на реальных примерах продемонстрируем:

1. на самом ли деле нужны Intelligence системы и штат высококвалифицированных специалистов, или развитие текущих систем обеспечения безопасности уже достаточно шагнуло вперед для того, чтобы в автоматическом режиме принимать решения о критичности того или иного инцидента;
2. общую схему работы CERT-GIB в части поддержки клиентов TDS;
3. каких ключевых вещей может не хватать традиционному SOC.

А также разберем разберем кейсы с рассылками от MoneyTaker и Silenсe, и какую роль сыграли технологии в защите инфраструктуры клиентов.

Этой осенью Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей.

Текст: Семен Рогачев, младший специалист по анализу вредоносного кода Group-IB