Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. В первой части мы провели детальный анализ зараженного файла, который получила по почте одна европейская компания, и обнаружили там шпионскую программу AgentTesla. Во второй части описали результаты поэтапного анализа основного модуля AgentTesla.

Сегодня Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, расскажет о первом этапе анализа ВПО — полуавтоматической распаковке сэмплов AgentTesla на примере трех мини-кейсов из практики специалистов CERT Group-IB.

Мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В первой части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу AgentTesla. В этой статье Илья приводит результаты поэтапного анализа основного модуля AgentTesla.

В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.

Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.

Недавно в Group-IB обратилась европейская компания-производитель электромонтажного оборудования — ее сотрудник получил по почте подозрительное письмо с вредоносным вложением. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ этого файла, обнаружил там шпионскую программу AgentTesla и рассказал, чего ждать от подобного ВПО и чем оно опасно.

Этим постом мы открываем серию статей о том, как проводить анализ подобных потенциально опасных файлов, а самых любопытных ждем 5 декабря на бесплатный интерактивный вебинар по теме «Анализ вредоносного ПО: разбор реальных кейсов». Все подробности — под катом.

За последнее десятилетие число и уровень сложности кибератак со стороны как прогосударственных хакерских групп, так и финансово мотивированных киберпреступников значительно возросли. Люди, компании и государственные организации больше не могут быть уверены в безопасности киберпространства, а также в целостности и защищенности своих данных. Интернет стал кровеносной системой нашей цивилизации. Однако свобода коммуникаций и глобальные возможности, которые дает Интернет, все чаще оказываются под угрозой: сливы и утечки данных, кибератаки со стороны враждующих государств – это реалии, в которых живет каждый из нас сегодня.

Ведущим и самым пугающим трендом 2019 года мы считаем использование кибероружия
в открытых военных операциях. Конфликт между государствами приобрел новые формы, и кибер-активность играет ведущую роль в этом деструктивном диалоге. Атаки на критическую инфраструктуру и целенаправленная дестабилизация сети Интернет в отдельных странах открывают новую эпоху проведения кибератак. Мы уверены, что мирное существование больше невозможно в отрыве от кибербезопасности: этот фактор не может игнорировать ни одно государство, ни одна корпорация, ни один человек.

В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке.

Информационная безопасность — очень простая наука, но удивительно, как вокруг нее много мифов. Рынок перегрет и компании, которые собирают у инвесторов миллионы долларов, оказываются зачастую «мыльным пузырем». Незнание тактик, инструментов и мотивации киберпреступников приводит к тому, что вложения в безопасность — выброшенные на ветер деньги.

Есть две специальности: Threat Intelligence-эксперт и Threat Hunting-эксперт, которые на 80% могут сократить затраты компании на кибербезопасность. Потому что знания об атакующих — самая главная ценность для решения задач по проактивному поиску сложных киберугроз и предупреждению новых кибератак.

Однако на рынке труда специалистов, обладающих знаниями и навыками в области Threat Hunting, или нет совсем или очень мало.

В декабре 2018 года, специалисты Group-IB обнаружили новое семейство снифферов, получившее название FakeSecurity. Их использовала одна преступная группа, заражавшая сайты под управлением CMS Magento. Анализ показал, что в недавней кампании злоумышленники провели атаку с использованием вредоносного ПО для кражи паролей. Жертвами стали владельцы сайтов онлайн-магазинов, которые были заражены JS-сниффером. Центр реагирования на инциденты информационной безопасности CERT Group-IB предупредил атакованные ресурсы, а аналитик Threat Intelligence Group-IB Виктор Окороков решил рассказать о том, как удалось выявить преступную активность.

Напомним, что в марте 2019 года Group-IB опубликовала отчет «Преступление без наказания: анализ семейств JS-снифферов», в котором были проанализированы 15 семейств различных JS-снифферов, использовавшихся для заражения более двух тысяч сайтов онлайн-магазинов.

Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность в том, что он использует «дыру в защите», которую Apple не сможет устранить с помощью обновления программного обеспечения.

Подробнее об опасности checkra1n и как ее могут использовать злоумышленники, рассказал Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. Бонусом — видео с джелбрейком iPhone 7.

Расследуя дела, связанные с фишингом, бот-сетями, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей. В разных кейсах существуют свои массивы данных, свои алгоритмы выявления связей и интерфейсы, заточенные под конкретные задачи. Все эти инструменты являлись внутренней разработкой Group-IB и были доступны только нашим сотрудникам.

Графовый анализ сетевой инфраструктуры (сетевой граф) стал первым внутренним инструментом, который мы встроили во все публичные продукты компании. Прежде чем создавать свой сетевой граф, мы проанализировали многие подобные разработки на рынке и не нашли ни одного продукта, который бы удовлетворял нашим собственным потребностям. В этой статье мы расскажем о том, как мы создавали сетевой граф, как его используем и с какими трудностями столкнулись.

Дмитрий Волков, CTO Group-IB и глава направления киберразведки

Однажды вы захотите продать что-нибудь на Avito и, выложив подробное описание своего товара (например, модуль оперативной памяти), получите вот такое сообщение:

Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft. В августе мы анонсировали первый курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Обо всём по порядку.

С 9 по 11 сентября в Москве пройдет совместный обучающий курс Group-IB и Belkasoft «Belkasoft Digital Forensics», на котором специалисты Group-IB расскажут, как эффективно работать над криминалистическими расследованиями с помощью инструментов Belkasoft.

Продукты Belkasoft более 10 лет известны на российском и мировом рынках решений по компьютерной криминалистике и используются для борьбы с различными видами преступлений.

Обучение позволит слушателям эффективно работать с Belkasoft Evidence Center для решения задач по расследованию инцидентов и цифровой криминалистике, а экспертиза и многолетний опыт Group-IB помогут получить максимальную пользу от продукта с первого дня его использования.

Программа будет интересна специалистам по ИБ и ИТ, аналитикам SOC и CERT, криминалистам и всем, кто работает в сфере высоких технологий.

Что интересного будет на курсе?

На курсе вы:

• Познакомитесь с основами компьютерной криминалистики;
• Научитесь решать типовые криминалистические задачи: извлекать данные, искать артефакты, анализировать полученные данные и составлять отчет;
• Ознакомитесь с рекомендациями по повседневному использованию Belkasoft Evidence Center;
• Станете обладателем сертификата Group-IB и Belkasoft о прохождении обучения;
• Получите приятные бонусы от Belkasoft.

Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Даже в организациях с передовыми технологиями защиты могут быть проблемные моменты в ключевых элементах — таких как люди, бизнес-процессы, технологии и связанные с ними точки пересечения.

Есть множество услуг по проверке уровня защищенности: анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах информационной̆ безопасности и т.д. Однако из-за постоянного изменения ландшафта киберугроз, появления новых инструментов и преступных групп возникают новые типы рисков, которые трудно выявить с помощью традиционных способов анализа защищенности.

На этом фоне наиболее реалистичным и продвинутым подходом к тестированию безопасности,
по нашему мнению, являются киберучения в формате Red Teaming — непрерывная оценка защищённости информационных систем, готовности специалистов по реагированию на инциденты и устойчивости инфраструктуры к новым видам атак, в том числе APT (Advanced Persistent Threat, сложная постоянная угроза, целевая кибератака). Проводя Red Teaming и практикуя реагирование на контролируемые атаки, внутренняя команда безопасности может повысить свои навыки по обнаружению ранее незамеченных угроз, чтобы остановить реальных злоумышленников на ранних стадиях атаки и предотвратить материальный и репутационный ущерб для бизнеса.

О том, как проходят киберучения в формате Red Teaming, рассказывает Вячеслав Васин (vas-v), ведущий аналитик департамента Аудита и Консалтинга Group-IB.

Работа вирусного аналитика требует глубоких знаний и обширного опыта, но существуют базовые методы анализа, которые доступны даже начинающим специалистам. Несмотря на свою простоту, такие методы эффективно работают и позволяют выявить существенную часть вредоносного программного обеспечения.

Специалисты CERT-GIB подготовили вебинар на тему «Анализ вредоносного ПО для начинающих: базовые подходы». Вебинар пройдет 11 июля 2019 года в 11:00 (МСК), а проведет его Илья Померанцев, специалист Group-IB по анализу вредоносного кода.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

• Какие базовые подходы используются вирусными аналитиками для определения вредоносности файла;
• Как правильно провести статический анализ вредоносного файла;
• Как подготовить виртуальную среду для динамического анализа ВПО и провести его;
• В чем плюсы и минусы обоих подходов и как выбрать оптимальный.

При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, таймлайн представляет собой огромный текстовый файл или таблицу, в которой в хронологической последовательности содержится представленная информация о событиях, происходивших в компьютере.

Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому компьютерные криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline.

«Когда я впервые узнал о новой функции Windows, я подумал: «Здорово! Теперь не придется тратить время на генерацию таймлайнов». Однако, как оказалось, радость моя была преждевременна», — признается Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Специально для читателей «Хабра» Игорь рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся.

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ.

В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK».

Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB

Более 80% компаний подверглись социоинженерным атакам в 2018 году. Отсутствие отработанной методики обучения персонала и регулярной проверки его готовности к социотехническим воздействиям приводят к тому, что сотрудники все чаще становятся жертвами манипуляций злоумышленников.

Cпециалисты направление Аудита и Консалтинга Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Противодействие социоинженерным атакам: как распознать уловки хакеров и защититься от них?».

Вебинар начнется 27-го июня 2019 года в 11:00 (МСК), проведет его Андрей Брызгин, руководитель направления Аудита и Консалтинга.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

• Основные направления социоинженерных атак: оценка подготовленности сотрудников и средств защиты;
• Как распознать признаки социальной инженерии и защититься от нее;
• Реальные кейсы Group-IB по имитации социоинженерных атак на персонал.

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.

У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.