Комментарии 11
ИТ-подразделение компании подтвердило,
мышкофтыкатель Зверьсиди-Вася с айти_аналистом-Глашей
fxd
иначе у меня нет слов описать, что это за отдел такой…
НЛО прилетело и опубликовало эту надпись здесь
Интересна юридическая сторона проблемы: проводился ли поиск и причины передачи данных?
И было ли когда-нибудь зло наказано?
И было ли когда-нибудь зло наказано?
Если говорить про сотрудников компании, то признаков их вовлеченности в процесс хищения критичной информации мы не обнаружили. Если у заказчика и были внутренние подозрения в отношении сотрудников, нам они неизвестны.
Что касается поиска внешних злоумышленников, то информацию по всем индикаторам, внешним адресам, участвующим в атаке, снятые образы хостов и значимые исходные логи мы передали заказчику для дальнейшего разбирательства с правоохранителями. Финал истории нам, увы, неизвестен.
Что касается поиска внешних злоумышленников, то информацию по всем индикаторам, внешним адресам, участвующим в атаке, снятые образы хостов и значимые исходные логи мы передали заказчику для дальнейшего разбирательства с правоохранителями. Финал истории нам, увы, неизвестен.
Очень интересная статья получилась. Выловить DNS-туннель, найти источники и раскрутить порядок заражения в обратную сторону… Прям как книга с приключениями.
Спасибо за полезную статью. Просьба и пара вопросов/комментариев.
1. Сделайте, пожалуйста, картинку с описанием сценария заражения кликабельной — очень мелко, сложно прочитать.
Вопросы:
1. В статье указано, что заказчику были переданы образы, логи и т.д. для подачи в правоохранительные органы. Вы фиксировали доказательства с процессуальной точки зрения таким образом, чтобы они были приняты судом? (например жесткие диски были запечатаны в конверты и вскрытие только в присутствии эксперта, комиссии и т.д.). Интересно узнать практику оформления таких мероприятий.
2. Злоумышленники получили УЗ доменного админа. Удалось установить, как это было сделано?
3. У меня сложилось впечатление, что векторов атаки все же могло быть несколько — через УЗ доменного админа (хотя эта УЗ, на мой взгляд, стала бонусом) и/или локального админа (он, скорее всего, был с одинаковым паролем, как минимум для пользовательских машин), а потом получили уже и доменного админа. Еще вариант: пользователь с правами локального администратора.
1. Сделайте, пожалуйста, картинку с описанием сценария заражения кликабельной — очень мелко, сложно прочитать.
Вопросы:
1. В статье указано, что заказчику были переданы образы, логи и т.д. для подачи в правоохранительные органы. Вы фиксировали доказательства с процессуальной точки зрения таким образом, чтобы они были приняты судом? (например жесткие диски были запечатаны в конверты и вскрытие только в присутствии эксперта, комиссии и т.д.). Интересно узнать практику оформления таких мероприятий.
2. Злоумышленники получили УЗ доменного админа. Удалось установить, как это было сделано?
3. У меня сложилось впечатление, что векторов атаки все же могло быть несколько — через УЗ доменного админа (хотя эта УЗ, на мой взгляд, стала бонусом) и/или локального админа (он, скорее всего, был с одинаковым паролем, как минимум для пользовательских машин), а потом получили уже и доменного админа. Еще вариант: пользователь с правами локального администратора.
1. Сделайте, пожалуйста, картинку с описанием сценария заражения кликабельной — очень мелко, сложно прочитать.
При открытии в новой вкладке картинка, вроде бы, грузится в полном размере.
Вопросы:
1. В статье указано, что заказчику были переданы образы, логи и т.д. для подачи в правоохранительные органы. Вы фиксировали доказательства с процессуальной точки зрения таким образом, чтобы они были приняты судом? (например жесткие диски были запечатаны в конверты и вскрытие только в присутствии эксперта, комиссии и т.д.). Интересно узнать практику оформления таких мероприятий.
Образы были сделаны с помощью специализированного АПК, сами жесткие диски модификации не подвергались. При исследовании образов мы преследовали не криминалистические, а скорее технические цели. Для полноценного криминалистического исследования заказчик самостоятельно должен отдать жесткие диски на экспертизу в некоммерческую организацию. Но наше заключение хоть и не является экспертизой, вполне сойдет за косвенное доказательство как исследование. Практика чаще всего такова, что если заказчик изначально хочет идти в правоохранительные органы, он привлекает соответствующие организации, которые имеют право проводить соответствующую экспертизу.
2. Злоумышленники получили УЗ доменного админа. Удалось установить, как это было сделано?
К сожалению, в силу давности событий нам не удалось установить, как произошла компрометация.
3. У меня сложилось впечатление, что векторов атаки все же могло быть несколько — через УЗ доменного админа (хотя эта УЗ, на мой взгляд, стала бонусом) и/или локального админа (он, скорее всего, был с одинаковым паролем, как минимум для пользовательских машин), а потом получили уже и доменного админа. Еще вариант: пользователь с правами локального администратора.
Почти наверняка Вы правы. Скорее всего, произошла компрометация обычной пользовательской машины, потом mimikatz, получение новых учеток, а дальше уже и доменный администратор.
Вопрос по организации работы SOC — а анализ найденного возможно вредоносного файла производится вручную или используются какие-то автоматические сервисы?
Добрый день! Анализ вредоносного ПО производится несколькими способами: это и ручной анализ (используется ПО для деобфускации и декомпиляции), и анализ поведения с помощью стендовой машины, которая подключена на уровне локальных и сетевых логов к арксайт + wireshark + processhacker и пр. У группы форенсики и реверса есть список ПО, которое они используют каждодневно и у нас планируется отдельная статья
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки