Подобный случай произошел с одним из наших коллег несколько лет назад. Все было точь-в-точь как вы написали. Файл «Главный Секрет.rar» неожиданным образом появился на рабочем столе профиля владельца компьютера. Доказательство того, что файл был подброшен было построено экспертом на анализе временных штампов, хранящихся в метафайлах файловой системы NTFS.
Вопросы о том, что мы рекомендуем купить из криминалистического софта и какие продукты (в определенной категории, например, для исследования мобильных устройств) лучше других и почему, нам задают постоянно. Как минимум раз в неделю. Собственно, это и послужило стимулом для написания этой статьи.
Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.
Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.
Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.
Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
Уточните, пожалуйста, что вы имели ввиду?
Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
Вы правы, этот скрипт — представитель одного из семейств JS-снифферов. Брутфорс-атаки на административные панели CMS и веб-интерфейсы систем управления БД (phpMyAdmin) являются одним из способов установки снифферов на целевой сайт, это достигается за счет того, что многие структурные элементы сайта хранятся именно в БД, к примеру, нам известны случаи, когда атакующие перезаписывали в базе данных сайта элемент, соответствующий footer-у и внедряли в него вредоносный скрипт для кражи карт. Именно поэтому так важно использовать стойкие пароли, регулярно ставить обновления и ответственно относиться к безопасности, особенно когда пользователи доверяют магазину свои платежные данные.
Зачастую установить способ заражения сайта без проведения криминалистической экспертизы почти невозможно. Как было описано в части «Анализ сайта злоумышленников» для сниффера Illum, на их сайте мы обнаружили два эксплоита, которые могут применяться для внедрения вредоносного кода в Magento-сайты. Также, помимо эксплоитов, злоумышленники используют брутфорс-атаки на phpMyAdmin и административные панели Magento.
К сожалению, пользователь перед этой угрозой почти беззащитен, вы правы. Мы рекомендуем для платежей в Интернете использовать либо виртуальную карту, либо отдельную карту для онлайн-платежей, на которой всегда будет только та сумма, которая необходима для конкретного онлайн-платежа.
Олег Скулкин: «Тут зависит от конкретного инцидента. Если ты имеешь ввиду, что была компрометация терминального сервака, а потом с определенной учеткой начали лэтэрить по сети, тут, конечно, другое (такое, кстати, возможно, был на моей практике случай, когда заветное письмо открыл как раз доменный админ). Тем не менее, если у тебя есть имя учетки, ты уже примерно знаешь (а то и точно), каким имэйлом она пользуется, если доступ к PDD мылу осуществляется через браузер, можно копнуть туда, если используется почтовый клиент, всегда можно попробовать письмо восстановить. Более того, у многих трет акторов довольно определенный первоначальный вектор компрометации, что позволит тебе делать довольно неплохие предположения на основе анализа иных криминалистических артефактов».
Хакер — это святое, а мы тут вообще про другое.
В этой статье мы описываем криминалистические артефакты WhatsApp, которые можно найти в разных операционных системах. А в проекте, на который вы ссылаетесь, приводится программа, которая расшифровывает ТОЛЬКО резервные копии WhatsApp и ТОЛЬКО под ОС Андроид.
Мы про это тоже расскажем чуть позже и с нашей колокольни — в части «Расшифровка зашифрованных баз WhatsApp». Оставайтесь с нами.
Добрый вечер! Курс стартует 4 октября. Занятия будут проходить на базе НОЦ ИУ-8 МГТУ им.Баумана еженедельно по четвергам с 19:10 по 20:45. Продолжительность — два месяца.
Верно, если поменять 1 байт — то алгоритм, описанный в данном посте, не будет работать.
Для решения этой проблемы нужно использовать перцептивные функции хеширования.
Но это тема отдельной статьи.
1) Каждая построенная группа проверяется вручную, поэтому точность кластеризации оценивается так: количество утвержденных групп, разделённое на общее количество построенный групп. Что касается качества классификации, то оно, очевидно 100%, т.к. все работающие группы утверждены вручную.
2) Конечно. После построения группы, она начинает использоваться «в боевом режиме». Все новые URL, попавшие под утвержденную группу отправляются на дальнейшую обработку в CERT.
3) Верно, Spark, Dask тут совсем не применимы. Объем данных — по 10 000-20 000 новых урлов. При этом для каждого урла свои ресурсы. Если создавать матрицу наличия или отсутствия ресурсов, то она даже в оперативную память не поместиться. Прикидывали (на бумаге, естественно), примерно около 1 ТБ будет ;)
Добрый день, спасибо за вопросы. Давайте попорядку.
1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
Обходим очень просто — мы не собираем банковскую тайну. И для гарантии мы передаем js-код заказчику для размещения и распространения в составе веб-приложения с его ресурсов. Так же заказчик имеет возможность самостоятельно ознакомиться с содержимым передаваемых данных. Часть данных может быть отнесена к пользовательским данным, поэтому мы рекомендуем внесение собираемого перечня данных в соглашение с пользователем. Часто это делается в форме оферты.
Отличный вопрос. Во-первых, JavaScript-код обфусцирован и в нем не так-то просто разобраться. Во-вторых, запросы закодированы и содержат код проверки целостности. Очевидно, что можно потратить время и разреверсить обфусцированный js-код. Для того, чтобы отбить аппетит делать это, в арсенале есть динамическая обфускация с переменными параметрами кодирования и вычисления кода целостности отправляемых данных.
Нет, не мешают. Использование KeePass или иных менеджеров паролей детектируется, и отличается от использования копирования из буфера обмена мышкой или клавиатурой. Это все так же учитывается в индивидуальном профиле пользователя и используется при выявлении аномалий в поведении.
Андрей Зосимов: «Антивирусы используют сигнатурный и эвристические методы обнаружения вредоносных файлов. С сигнатурным вроде как всё понятно — злоумышленники изменили документ, пусть и незначительно, и этого хватило. В этом, как мне кажется, их главная ошибка здесь, необходимо было изучить уязвимость и правильно написать сигнатуру. Другой, эвристический, разделяется на два — статический и динамический. Статический анализ тут осуществить довольно проблематично, так как сам по себе документ не является исполняемым, поэтому сложно определить к чему в конечном итоге приведет запуск файла. Остается динамический — но тут, как я полагаю, антивирусы не умеют исполнять документы ввиду некоторых особенностей своей песочницы.
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».
Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.
Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.
Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.
Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
К сожалению, пользователь перед этой угрозой почти беззащитен, вы правы. Мы рекомендуем для платежей в Интернете использовать либо виртуальную карту, либо отдельную карту для онлайн-платежей, на которой всегда будет только та сумма, которая необходима для конкретного онлайн-платежа.
В этой статье мы описываем криминалистические артефакты WhatsApp, которые можно найти в разных операционных системах. А в проекте, на который вы ссылаетесь, приводится программа, которая расшифровывает ТОЛЬКО резервные копии WhatsApp и ТОЛЬКО под ОС Андроид.
Мы про это тоже расскажем чуть позже и с нашей колокольни — в части «Расшифровка зашифрованных баз WhatsApp». Оставайтесь с нами.
Для решения этой проблемы нужно использовать перцептивные функции хеширования.
Но это тема отдельной статьи.
2) Конечно. После построения группы, она начинает использоваться «в боевом режиме». Все новые URL, попавшие под утвержденную группу отправляются на дальнейшую обработку в CERT.
3) Верно, Spark, Dask тут совсем не применимы. Объем данных — по 10 000-20 000 новых урлов. При этом для каждого урла свои ресурсы. Если создавать матрицу наличия или отсутствия ресурсов, то она даже в оперативную память не поместиться. Прикидывали (на бумаге, естественно), примерно около 1 ТБ будет ;)
1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».