Комментарии 7
а за основу взяли уже ставшую классической методику SANS — в оригинальной версии она достаточно высокоуровневая
И ссылка на постер от 2012 года. С тех пор, например, были найдены новые следы исполнения файлов (в Windows 7, Windows 8.1, Windows 10). Кстати, я не видел еще постеров от SANS, где были бы указаны и Syscache, и CIT.
собирать реестры со всех хостов, на которых работали эти пользователи (просто так этого не сделаешь, нужна специальная утилита для работы с диском напрямую, например, github.com/jschicht/RawCopy);
Еще важно не оставлять такие утилиты в системе, чтобы не делать подарок злоумышленникам в будущем. Также можно использовать RegSaveKeyEx (и не забыть про REG_NO_COMPRESSION). Все-таки простое открытие логического диска уже может привести к большому числу изменений в файловой системе.
В последних версиях постеров от SANS действительно перечислено много мест, где стоит искать информацию. Однако оттуда убрали общую методику, описывающую последовательность шагов для поиска вредоносов. Поэтому да, последний постер с ней — 2012 год. Актуальный, без методики, но с большим количеством артефактов можно посмотреть тут.
Про утилиты хочу добавить, что копирование их на исследуемую систему — порочная практика, которую стоит максимально избегать: на практике почти всегда можно запустить нужный софт с удаленной шары или флешки. Тогда и в системе меньше изменений и подарочков злоумышленникам не останется.
Про утилиты хочу добавить, что копирование их на исследуемую систему — порочная практика, которую стоит максимально избегать: на практике почти всегда можно запустить нужный софт с удаленной шары или флешки. Тогда и в системе меньше изменений и подарочков злоумышленникам не останется.
> Как упростить проверку диска на наличие активного заражения?…
запустите VMDK-образ в Virtual Box/ VMware;
А если троян детектирует запуск в виртуальной машине?
запустите VMDK-образ в Virtual Box/ VMware;
А если троян детектирует запуск в виртуальной машине?
Тогда с большой долей вероятности подозрительного траффика вы не увидите и придется анализировать диск статически: выполнить проверку разными AV, посмореть, какие файлы есть в автозагрузке, и т.д.
Именно это я и имею в виду. Тоесть рекомендовать как лафхак нельзя. А то убедятся, что все нормально, а вирус останется.
Но с «проверкой разными АВ» тоже не все просто. Как я понимаю тут нужно найти виновника. Запуск АВ меняет место предполагаемого преступления и его образ, снятый после, уже не будет считаться доказательством (смотрим дело Врублевского)
Но с «проверкой разными АВ» тоже не все просто. Как я понимаю тут нужно найти виновника. Запуск АВ меняет место предполагаемого преступления и его образ, снятый после, уже не будет считаться доказательством (смотрим дело Врублевского)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Несколько историй из жизни JSOC CERT, или Небанальная форензика