Pull to refresh
28
Karma
13.1
Rating
  • Followers 91
  • Following

Бег по граблям: 10 «уязвимостей» компьютерного криминалиста

Спасибо за вопрос, но на него есть довольно простой ответ: нарушение личных прав гражданина (например, проведение обыска сотрудником СБ) недопустимо с точки зрения закона. Выдача паролей может повлечь нарушение другого охраняемого Конституцией права — права частной жизни.

Охота на «Мамонта»: подробное исследование мошеннической схемы с фейковыми курьерскими сервисами

Спасибо, исправили! 200 000 рублей достигает ежедневный оборот одной мошеннической группы.

Мастера перевоплощений: охотимся на буткиты

Про какие сигнатуры вы говорите? Я на всякий случай повторю, что цель статьи не в написании сигнатур. Это во-первых.

Во-вторых, чем плох тот подход, который вы почему-то назвали сигнатурой? Он что не в состоянии ловить часть атак, которые используют именно такой метод (сохранение файла в директорию автозагрузки)? В состоянии. Таких атак нет? Есть. Он плох тем, что он не ловит ВСЕ возможные методы атак? Да, а что «серебряную пулю» изобрели уже?

Я ещё раз обращаю внимание, что написание сигнатур и советы по разработке защитных решений — это не есть цель написания статьи. А вы, как будто, упрекаете, что в статье не раскрыты все возможные вектора атаки. За «серебряной пулей» точно не сюда, извините. А то ваша логика выглядит, как будто если ты не можешь написать ИДЕАЛЬНУЮ сигнатуру, не надо писать никакую…

Мастера перевоплощений: охотимся на буткиты

Вы сейчас просто пытаетесь доказать, что на любые защитные решения злоумышленники рано или поздно найдут свои собственные атакующие решения? Никто с этим не спорит. Только вот VectorEDK слили в 2015, а злоумышленники не удосужились даже поменять имя переменной, являющейся индикатором компрометации. Это так, для демонстрации того, что злоумышленники часто ленивы и поэтому даже самые простые решения для защиты вполне себе могут работать.

На всякий случай ещё раз мысль, а то вы куда-то в сторону уводите — описанный способ (гипотетический, просто размышления на тему, смысл статьи не в том, чтобы рассказать всем как строить ИДЕАЛЬНЫЕ защитные решения для подобных угроз) защиты от конкретного, самого простого способа запуска через размещение вредоносного файла в директории автозапуска. Нужно ли думать о том, что делать с подобными угрозами и усложнением используемых злоумышленниками техник? Да, нужно. Статья про то, как построить решение, которое защитит раз и навсегда от ВСЕХ возможных способов заражения через UEFI и должна включать все возможные действия, которыми злоумышленники могут запустить полезную нагрузку через UEFI-имплант? Нет, не про это, нет, не должна

Мастера перевоплощений: охотимся на буткиты

В данном случае подразумевалось детектирование создания файлов из UEFI-имплантов, а не всех файлов.

Предлагаемая концепция достаточно проста — создаётся некий модуль ядра, который занимается мониторингом определённых директорий (в данном случае — директории Startup).

Перед завершением работы ОС он получает управление и сохраняет либо контрольную сумму, либо список файлов, данная концепция обсуждаема. Этот же модуль получает управление после загрузки ОС, но до того, как запустятся программы из директории Startup.

Таким образом получаем возможность получить информацию о наличии файла, созданного до загрузки ОС до того, как он будет удалён.

Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»

Есть такая идея — на Насте один из тестовых образцов. Еще в компании введена система ачивок — наградных знаков, которые торжественно вручаются сотрудникам за успешные спецоперации, исследования, изобретения, победу на соревнованиях и во внутренних конкурсах, а также «выслугу лет».

Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

В этом экземпляре не были использованы ни техники обфускации кода, ни другое противодействие анализу, кроме описанных в статье. Но —и в этом главная угроза — даже такое примитивное шпионское ПО способно похитить важные данные!

Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

Потенциально вредоносные файлы лучше всего проверять в безопасном окружении, например на виртуальной машине. Но большая часть ВПО определяет наличие отладки или виртуального окружения и просто не будет работать. В этой связи можем порекомендовать Polygon — модуль продукта Group-IB Threat Hunting Framework, позволяющий осуществлять поведенческий анализ файлов, извлекаемых из электронных писем, сетевого трафика, файловых хранилищ,
персональных компьютеров и автоматизированных систем посредством
интеграции через API или загружаемых вручную. Подробнее тут: www.group-ib.ru/brochures/Group-IB_THF_Datasheet_Polygon.pdf

Какое шифрование лучше: Signal или Telegram?

Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он

Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.

О каких мессенджерах пойдет речь?

Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.

По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:

Signal — некоммерческий проект Open Whisper Systems
Telegram — некоммерческий проект Telegram FZ-LLC
Wickr Me — коммерческий проект Wickr Inc с бесплатной версией

Подробнее: habr.com/ru/company/group-ib/blog/522178

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Тут такое дело: 100% гарантии защиты не даст ни один даже самый популярный антивирус. Наш многолетний опыт расследования компьютерных преступлений показывает, что антивирусы не спасают от целевой атаки. Приезжая на инцидент в банк или компанию, откуда украли деньги, наши криминалисты, обращают внимание, что на многих зараженных машинах сотрудников установлены самые популярные антивирусы.

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..
Повторюсь, GitHub — это крупный и очень полезный проект, но малвару и тут легко можно словить. Предупрежден — вооружен

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

После чего объявил, что гитхаб — немец.

GitHub — это крупный и очень полезный проект, кто же спорит, но малвару и там можно словить

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

justhabrauser, ну тут все просто: 1) потому что автор утилиты их выложил, как сорцы утилиты. 2) Потому что исследуемую утилиту загрузил на GitHub некто под ником faca5. Об этом тоже сказано в статье. Полная ссылка частично видна на 1 скриншоте.

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

justhabrauser, тут по законам жанра, видимо, требуется пара реплик от автора

1) Уважаемый justhabrauser, после фразы «не дало никаких результатов» следует еще два предложения и два скриншота, объясняющие, почему изучение исходников — это тупик. Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.

2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.

ПыСЫ Что касается указанных вами загов, посмотрели — не огонь, обычные стандартные глагольные новостные заги. На вкус и цвет как говорится)

Книжная полка компьютерного криминалиста: 11 лучших книг по Digital Forensics, Incident Response и Malware Analysis

Безусловно, есть и другие интересные книги. Дополнения к данной статье в комментариях всячески приветствуется.

Концепция статьи была такова: максимальный объем знаний, изложенный в минимальном количестве страниц. Это сделано для того, чтобы читатель мог в максимально короткие сроки актуализировать свои знания (например, при подготовке с собеседованию).

В эту концепцию Intelligence-Driven Incident Response: Outwitting the Adversary не уложилась. Хотя книга, безусловно, интересная.

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software — рассматривалась как кандидат на включение в этот список. Однако, информация изложенная в ней устарела. На мой взгляд лучше прочитать Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Windows malware.

Applied Incident Response показалась скучной. Поэтому я не добавил её в список книг.

Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами

Вот еще пришел такой вопрос от frkbvfnjh:

А где формат файлов LNK-то? Как написать свою программу по препарированию ярлыков и уж тем более, как самому создавать ярлыки-то? MS открыла эту инфу или нет?

Отвечаем: Ссылки на формат LNK-файлов, опубликованный Microsoft, а также на независимые исследования формата ярлыков Windows приведены в конце данной статьи, в разделе «Источники».

Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами

К сожалению, эта книга выпускалась ограниченным тиражом. Вряд ли сейчас существует возможность ее приобрести. Скорее всего, её можно найти только в библиотечных фондах.

Криминалистический анализ резервных копий HiSuite

А как вы будете решать элементарную для безопасника задачу: проверить смартфон HUAWEI на наличие spyware/malware/иных приложений осуществляющих мониторинг действий пользователя? Доступа к файловой системе у вас нет. Получение прав суперпользователя приведет к сбросу пользовательских данных и заодно уничтожит файлы установленных пользователем программ. Описанный же в статье метод позволяет безопасно извлечь достаточное количество информации не только для того, чтобы понять: установлены ли подобные приложения или нет, а также определить, как эти приложения на устройство попали.

Information

Rating
386-th
Works in
Registered
Activity