Как стать автором
Обновить

Эскалация киберугрозы: Group-IB проанализировала ключевые тренды развития киберпреступности

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Компания Group-IB, один из лидеров в сфере кибербезопасности, провела масштабное исследование андеграундного рынка, выявив ключевые очаги распространения угроз для бизнеса и государственного сектора. В отчете Hi-Tech Crime Trends аналитики фиксируют сращивание киберкриминальных групп в рамках поставленных на поток партнерским программ. Их используют шифровальщики, продавцы доступов в скомпрометированные сети, мошенники, занимающиеся фишингом и скамом. Эти альянсы приводят к эскалации угроз и новым жертвам киберпреступности в мире. 

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 741
Комментарии 0

Group-IB хантит: работы хватит на всех

Блог компании Group-IB Информационная безопасность *

В кибербезе сейчас очень горячо — каждый день новые кибератаки, схемы фишинга, утечки, DDoS... "Оттока IT-специалистов нет и не может быть: кибербезопасность сейчас в высоком приоритете у клиентов Group-IB во всех регионах присутствия, поэтому наша главная задача сейчас - усилить команду. Мы активно нанимаем IT-специалистов, многие из которых сейчас оказались в свободном плавании в связи с уходом из России ряда крупных вендоров", - сообщили ТАСС в Group-IB.

Все так — прямо сейчас Group-IB нужны компьютерные криминалисты, специалисты по реагированию на инциденты ( Incident Responder), третхантеры (Threat Hunter), а еще пентестеры, реверс-инженеры, антифрод-аналитики, разработчики на Python и Go, фронты, девопсы, тестировщики, маркетологи, пиарщики. Все подробности тут, резюме отправлять на job@group-ib.com

В Group-IB ты займешься работой, которая реально имеет смысл: наша команда инженеров создает инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой. Если хочешь работать в Group-IB, но еще не определился со своей будущей профессией, то приходи работать стажером — с прицелом перехода в штат. Будет на связи: job@group-ib.com.

Читать далее
Всего голосов 23: ↑13 и ↓10 +3
Просмотры 3.8K
Комментарии 2

Флеш-память: проблемы для компьютерной криминалистики

Информационная безопасность *
Из песочницы
В конце 2010 года Грем Белл и Ричард Боддингтон опубликовали работу «Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?» («Твердотельные накопители: начало конца существующим методам судебного восстановления данных?»), которая вызвала неоднозначную реакцию интернет-сообщества. И хотя обсуждаемая в указанной статье особенность работы твердотельных накопителей была впервые озвучена в 2008 году на конференции DEFCON 16, исследована специалистами компании Майкрософт и представлена на конференции разработчиков машинных носителей информации в 2009-м [1, 6-й слайд] и даже упомянута на российских семинарах в 2010-м [2, слайды 10 и 11], признание проблемы и серьезное обсуждение этих особенностей в сообществе криминалистов пришлись на март 2011 года.

В этой заметке я постараюсь рассказать об особенностях работы носителей информации, основанных на использовании флеш-памяти, через призму компьютерной криминалистики.
Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры 10K
Комментарии 13

Форензика. Компьютерная криминалистика. Н.Н. Федотов

Информационная безопасность *
image

Уважаемые хабраюзеры!

Позвольте порекомендовать вам единственную и по-настоящему стоящую книгу по тематике компьютерной криминалистики на русском языке.

Аннотация говорит сама за себя:
Читать дальше →
Всего голосов 87: ↑76 и ↓11 +65
Просмотры 17K
Комментарии 70

Техническое обеспечение компьютерной криминалистики

Блог компании Учебный центр «Информзащита»
В этой статье мы воздержимся от освещения юридических аспектов производства судебных компьютерно-технических экспертиз. Однако на одном моменте все-таки придется акцентировать внимание. В соответствии с требованиями процессуального законодательства, при производстве экспертного исследования эксперт обязан обеспечить сохранение объекта исследования в неизменном виде. Поэтому производство компьютерно-технических экспертиз «по здравому смыслу», путем штатного включения исследуемого компьютера, установки на него каких-либо программ и анализа имеющихся данных недопустимо. Ведь при таких действиях содержимое жесткого диска исследуемого компьютера неминуемо изменится. Поэтому для производства экспертиз с соблюдением этого требования используют специальное оборудование и программное обеспечение.
Читать дальше →
Всего голосов 27: ↑9 и ↓18 -9
Просмотры 6.8K
Комментарии 5

Техническое обеспечение компьютерной криминалистики — продолжение

Блог компании Учебный центр «Информзащита»
Начало habrahabr.ru/users/uc_itsecurity/topics

Очевидно, что все экспертные системы по своим возможностям не слишком сильно отличаются друг от друга. У каждой есть некое «конкурентное преимущество». Например, EnCase лучше всех остальных систем работает с RAID-массивами, Paraben Commander «понимает» наибольшее число программ электронной почты, а Forensic Toolkit позволяет высококвалифицированному специалисту проводить некоторые слабо формализуемые деликатные операции в ручном режиме. Поэтому каждый пользователь может приобрести систему, в наибольшей степени удовлетворяющую именно его запросам.
Читать дальше →
Всего голосов 13: ↑9 и ↓4 +5
Просмотры 8.5K
Комментарии 0

Средства сбора данных в компьютерно-технической экспертизе

Информационная безопасность *

forensics data acquisition


В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.

Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 32K
Комментарии 30

Аппаратные или программные блокираторы записи — что надежнее?

Блог компании BI.ZONE Информационная безопасность *

Являются ли аппаратные блокираторы записи более надежными по сравнению с программными?


Предисловие


Проведение криминалистических исследований при расследовании инцидентов информационной безопасности, производство судебных экспертиз и многие другие направления деятельности, связанные с компьютерной криминалистикой, требуют максимально возможного сохранения целостности исследуемых данных. Для этого используются блокираторы записи — программы или устройства, не позволяющие записать что-либо на исследуемый накопитель. Необходимость применения таких средств происходит как из требований процессуального законодательства (например, УПК РФ), так и из различных рекомендаций методического и иного характера, а также из стандартов (например, СТО БР ИББС-1.3-2016). Некоторые аспекты функционирования блокираторов записи и будут рассмотрены в настоящей статье.


Один из ранних аппаратных блокираторов записи (2002 год)
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 12K
Комментарии 9

Веста Матвеева: борьба с киберпреступностью – это моральный выбор

Блог компании Group-IB
Знакомьтесь: Веста Матвеева – эксперт в области информационной безопасности Group-IB.

Специализация: расследование киберпреступлений.

Чем известна: Веста регулярно участвует не только в расследованиях, но и в задержаниях, допросах и обысках участников хакерских групп. За 6 лет провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследований Group-IB, успешно раскрыла несколько дел и продолжает работать в этом направлении.
Читать дальше →
Всего голосов 13: ↑10 и ↓3 +7
Просмотры 7.3K
Комментарии 16

Digital Forensics Tips&Tricks: Enhanced Command-line Auditing

Информационная безопасность *
Let's imagine a situation when cyber-attacker executes some commands remotely on the infected workstation using command line interface (cmd.exe) or using a special USB-device like Teensy or Rubber Ducky

image

How can we see these commands during digital forensics process?
Read more →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 5.4K
Комментарии 3

По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном

Блог компании Group-IB Информационная безопасность *Алгоритмы *Математика *Настольные компьютеры


Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 12K
Комментарии 7

Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики

Блог компании Group-IB Информационная безопасность *Софт


Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.
Читать дальше →
Всего голосов 24: ↑22 и ↓2 +20
Просмотры 45K
Комментарии 55

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту

Блог компании Group-IB Информационная безопасность *Софт


При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, таймлайн представляет собой огромный текстовый файл или таблицу, в которой в хронологической последовательности содержится представленная информация о событиях, происходивших в компьютере.

Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому компьютерные криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline.

«Когда я впервые узнал о новой функции Windows, я подумал: «Здорово! Теперь не придется тратить время на генерацию таймлайнов». Однако, как оказалось, радость моя была преждевременна», — признается Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Специально для читателей «Хабра» Игорь рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся.
Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 13K
Комментарии 11

Это всё, что останется после тебя: криминалистические артефакты шифровальщика Troldesh (Shade)

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *
image

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ.

В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK».

Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 6K
Комментарии 8

Ваш выход, граф: как мы не нашли хороший сетевой граф и создали свой

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Сетевые технологии *


Расследуя дела, связанные с фишингом, бот-сетями, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей. В разных кейсах существуют свои массивы данных, свои алгоритмы выявления связей и интерфейсы, заточенные под конкретные задачи. Все эти инструменты являлись внутренней разработкой Group-IB и были доступны только нашим сотрудникам.

Графовый анализ сетевой инфраструктуры (сетевой граф) стал первым внутренним инструментом, который мы встроили во все публичные продукты компании. Прежде чем создавать свой сетевой граф, мы проанализировали многие подобные разработки на рынке и не нашли ни одного продукта, который бы удовлетворял нашим собственным потребностям. В этой статье мы расскажем о том, как мы создавали сетевой граф, как его используем и с какими трудностями столкнулись.

Дмитрий Волков, CTO Group-IB и глава направления киберразведки
Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 4.7K
Комментарии 2

Открыт набор на совместный обучающий курс Group-IB и Belkasoft по компьютерной криминалистике

Блог компании Group-IB Информационная безопасность *


С 9 по 11 сентября в Москве пройдет совместный обучающий курс Group-IB и Belkasoft «Belkasoft Digital Forensics», на котором специалисты Group-IB расскажут, как эффективно работать над криминалистическими расследованиями с помощью инструментов Belkasoft.

Продукты Belkasoft более 10 лет известны на российском и мировом рынках решений по компьютерной криминалистике и используются для борьбы с различными видами преступлений.

Обучение позволит слушателям эффективно работать с Belkasoft Evidence Center для решения задач по расследованию инцидентов и цифровой криминалистике, а экспертиза и многолетний опыт Group-IB помогут получить максимальную пользу от продукта с первого дня его использования.

Программа будет интересна специалистам по ИБ и ИТ, аналитикам SOC и CERT, криминалистам и всем, кто работает в сфере высоких технологий.

Что интересного будет на курсе?


На курсе вы:

  • Познакомитесь с основами компьютерной криминалистики;
  • Научитесь решать типовые криминалистические задачи: извлекать данные, искать артефакты, анализировать полученные данные и составлять отчет;
  • Ознакомитесь с рекомендациями по повседневному использованию Belkasoft Evidence Center;
  • Станете обладателем сертификата Group-IB и Belkasoft о прохождении обучения;
  • Получите приятные бонусы от Belkasoft.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 3.3K
Комментарии 1

Совместные курсы Group-IB и Belkasoft: чему научим и кому приходить

Блог компании Group-IB Информационная безопасность *Учебный процесс в IT

Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft. В августе мы анонсировали первый курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Обо всём по порядку.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры 4.2K
Комментарии 0

Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *

В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке.
Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 19K
Комментарии 7

Явка провалена: выводим AgentTesla на чистую воду. Часть 1

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *

Недавно в Group-IB обратилась европейская компания-производитель электромонтажного оборудования — ее сотрудник получил по почте подозрительное письмо с вредоносным вложением. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ этого файла, обнаружил там шпионскую программу AgentTesla и рассказал, чего ждать от подобного ВПО и чем оно опасно.

Этим постом мы открываем серию статей о том, как проводить анализ подобных потенциально опасных файлов, а самых любопытных ждем 5 декабря на бесплатный интерактивный вебинар по теме «Анализ вредоносного ПО: разбор реальных кейсов». Все подробности — под катом.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 4.3K
Комментарии 2

Явка провалена: выводим AgentTesla на чистую воду. Часть 3

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. В первой части мы провели детальный анализ зараженного файла, который получила по почте одна европейская компания, и обнаружили там шпионскую программу AgentTesla. Во второй части описали результаты поэтапного анализа основного модуля AgentTesla.

Сегодня Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, расскажет о первом этапе анализа ВПО — полуавтоматической распаковке сэмплов AgentTesla на примере трех мини-кейсов из практики специалистов CERT Group-IB.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.4K
Комментарии 0