Как стать автором
Обновить

На Yahoo и Google стало меньше клик-фрода

Чулан
Почти на один процент (если быть точным, то на 0,9%) снизилось количество мошеннических кликов в поисковых системах Yahoo и Google, составив 11,9% в третьем квартале этого года против 12,8% во втором. В то же время в поисковиках «второго эшелона» этот же показатель возрос с 20,3% до 23,2%.

Таковы результаты свежего отчета, представленного аналитической компанией Click Forensics.

Между тем рекламодатели жалуются на то, что Yahoo и Google предоставляют им совсем небольшой «кредит» на мошеннические клики — менее 10%. Таким образом компании теряют прибыль, однако проблема вряд ли решится в скором времени.
Рейтинг 0
Просмотры 275
Комментарии 0

Криминалистическая экспертиза зараженных TDL4 компьютеров

Блог компании ESET NOD32
Началось все с того, что в начале прошлого лета у нас появился ряд задач, связанных с быстрым извлечением скрытого контейнера файловой системы руткита Win32/Olmarik, тогда еще в версии TDL3. Немного поразмыслив, мы разработали первую версию утилиты TdlFsReader, которая справляется с TDL3 и TDL3+. Через какое-то время она была опубликована в свободном доступе и многим помогла в задачах криминалистических экспертиз. Однако в конце лета появилась четвертая версия данного руткита, которая имела уже принципиальные отличия в файловой системе: теперь это уже больше походило на полноценную файловую систему.

image
Читать дальше →
Всего голосов 28: ↑22 и ↓6 +16
Просмотры 12K
Комментарии 7

Duqu: история Stuxnet продолжается…

Блог компании ESET NOD32
На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 7.2K
Комментарии 5

Форензика. Компьютерная криминалистика. Н.Н. Федотов

Информационная безопасность *
image

Уважаемые хабраюзеры!

Позвольте порекомендовать вам единственную и по-настоящему стоящую книгу по тематике компьютерной криминалистики на русском языке.

Аннотация говорит сама за себя:
Читать дальше →
Всего голосов 87: ↑76 и ↓11 +65
Просмотры 17K
Комментарии 70

Как я учил Африканцев из ЮАР защищать SAP

Блог компании Digital Security Информационная безопасность *
Открываем рубрику Infosectravel, — будем писать заметки о поездках на конференции и выставки по ИБ по всему миру таких как Кувейт, Африка, Австралия и т.д. Хотя и европейские и американские ивенты такие как BlackHat и Confidence и прочие тоже без внимания не оставим.

Приветствуем пожелания и замечания. Формат совсем новый, хотя пара попыток уже была (Кувейт, BlackHat, Confidence) и сами не знаем пока, что получится в итоге.

Случилось так, что на майские праздники я поехал отнюдь не отдыхать в Турцию, а работать в Африку :)
В двух словах, с 7 по 9 мая в Йоханнесбурге — столице ЮАР — проходила международная выставка-конференция по безопасности ITWEB. В этом году мы решили принять в ней активное участие, выступить с докладом да и пообщаться с клиентами, которых не часто увидишь воочию. Поездка казалась тем более заманчивой, что мои коллеги по причине повышенной криминальной обстановки региона ехать отказались.

Первые впечатления

Первое, что я увидел, заселившись в гостиницу, было ЭТО. Простите за качество фотографии — использовал для съемки то, что было под рукой.
image

Отлично, новый маклерен. А я слышал, в Африке дети голодают… Потом были мазератти и бентли, но это было уже не так эпично.
Читать дальше →
Всего голосов 47: ↑37 и ↓10 +27
Просмотры 44K
Комментарии 61

Анализ Simplelocker-a — вируса-вымогателя для Android

Блог компании Pentestit Информационная безопасность *Реверс-инжиниринг *


Добрый день уважаемые хабрачитатели, сегодня специалисты нашей компании хотели бы представить вашему взору разбор одного попавшегося не так давно нам на глаза Android вируса, если можно его так назвать, SimpleLocker. Для того, чтобы узнать о нём побольше, мы проделали немалую работу, которою в общем можно разбить на 3 шага:

Шаг 1. Анализ манифеста и ресурсов
Шаг 2. Декомпиляция приложения
Шаг 3. Анализ кода
Читать дальше →
Всего голосов 18: ↑11 и ↓7 +4
Просмотры 14K
Комментарии 4

Forensic system administration

Блог компании Webzilla Анализ и проектирование систем *
Среди всех служебных обязанностей системного администратора, самой интересной, сложной и продуктивной, на мой взгляд, является детективная работа по мотивам случившегося «инцидента». При этом, в отличие от реальной криминологии, системный администратор сам себе одновременно и детектив, и эксперт по вещественным доказательствам.

Я сейчас исключаю из рассмотрения инциденты с осмысленным злым умыслом, это отдельный топик. Речь про стихийные проблемы (сервер упал/завис, виртуальная машина начала тормозить а потом перестала, приложение потеряло 100500 транзакций и считает, что всё хорошо).

Суть происшествия


Иногда она тривиальная («самопроизвольно перезагрузился сервер», или «упал самолёт»). Иногда она крайне трудная для объяснения («клиенты жалуются что у не получается поменять регион», при этом все сотрудники с клиентскими аккаунтами регион поменять могут). Чаще всего, чем дальше от системного администратора источник жалобы, тем более размытой становится жалоба: «клиент говорит, что после заказа в интернет-магазине плюшевого медведя он не может поменять регион на IE7 при использовании LTE-коннекта через USB-модем, а ещё он получает 500ую ошибку при попытке отменить операцию и нажатии „назад“).

Ещё более сложным является случай, когда несколько проблем сливаются вместе: „сервер внезапно перезагрузился, а на другом сервере был таймаут работы с базой данных, а клиенты в это время писали, что у них не грузятся картинки“. Сколько тут проблем? Одна, две, три, а может и больше? Какие из проблем надо молча объединить (база данных и отсутствие картинок), а какие надо учитывать раздельно? А если в этот момент ещё придёт жалоба, что пользователь не может залогиниться в систему — это обычное „забыл пароль“ или тоже симптом? А если таких пользователей два? Или кто-то мимоходом говорит, „что-то у меня почта не проходит“?

Подсознательно в момент начала проблем, каждая новая жалоба тут же объединяется с существующими (и может завести не туда), плюс резко увеличивает стресс из-за того, что приходится думать не о трёх симптомах, а о восьми, например. А в голове хорошо только семь удерживаются. Но в то же время в моей практике бывало так, что пришедший „новый“ симптом с лёгкостью приводил к сути проблемы и её устранению…… за вычетом того, что серьёзная проблема (с которой всё началось) не имеет никакого отношения к радостно и быстро починенной ерунде. А время потрачено.

Простого совета для такой ситуации нет. В сложных ситуациях я обычно выписываю всё, что слышу и замечаю, не анализируя, но фиксируя время.

То есть журнал (в sticky notes) выглядит так:
  • Мониторинг сработал на srv1 (22:05)
  • (имя) сказал про проблемы с почтой (22:07)
  • Не могу залогиниться на srv12 (22:08)/refused — Зашёл 22:16, dmesg чисто, аптайм большой
  • Не могу залогиниться на srv13 (22:10) (timeout) — отвалился офисный wifi (22:11)
  • Не открывается панель (22:12)
  • Саппорт пишет, что клиент жалуется, что ничего не работает, 22:15

Не стоит увлекаться (не время печатать), но симптомы стоит выписывать. Один это случай или несколько, важные это симптомы или нет, станет понятно потом. Я обычно начинаю выписывать примерно после третьего отвлекающего обращения.

Вторым аспектом проблемы является доказательство существования проблемы. Самая ненавистная фраза, которой не удаётся избежать:

У меня всё работает


После того, как Энийские Авиалинии пожаловались производителю на то, что самолёты иногда падают, разработчик проверил, что самолёты взлетают/садятся и закрыл тикет с 'Unable to reproduce'. Сотрудники поддержки Энийских Авиалиний продолжают собирать статистику по падению самолётов и пытаются научиться воспроизводить падение в лабораторных условиях.

Читать дальше →
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 17K
Комментарии 6

Восстанавливаем локальные и доменные пароли из hiberfil.sys

Информационная безопасность *
Из песочницы
Утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.

Подготовка


Для осуществления задуманного нам понадобятся следующие утилиты:
Читать дальше →
Всего голосов 74: ↑73 и ↓1 +72
Просмотры 108K
Комментарии 60

Forensic VS шрёдер: получение доступа к удаленным файлам

Блог компании НеоБИТ Информационная безопасность *Занимательные задачки CTF *
Основой одного из заданий online-этапа NeoQUEST-2016 стала форензика, а именно — работа со средствами восстановления предыдущего состояния разделов Windows. Профессионалы знают и часто пользуются при пентестах или расследовании инцидентов информационной безопасности возможностями данной технологии.

Многим известная Volume Shadow Copy – служба теневого копирования томов, впервые появившаяся в ОС Windows Sever 2003. Она позволяет делать и восстанавливать моментальные снимки файловой системы (снепшоты), в том числе и системного раздела. Также прошлые снепшоты раздела могут быть подмонтированы в букву диска или в папку, как и обычный раздел. Таким образом, удается получить доступ к предыдущему состоянию системы вместе со ВСЕМИ файлами, в том числе и к файлам, в настоящий момент удаленным с этого раздела. Все эти свойства Volume Shadow Copy могут быть использованы специалистами по информационной безопасности следующими способами:
  1. Доступ и копирование занятых системой или пользовательскими приложениями файлов (БД паролей приложений, почтовые ящики Outlook, Thunderbird, БД Active Directory).
  2. Доступ и копирование удаленных файлов (в том числе и надежно затертых шредером).
  3. Сокрытие исполняемых файлов и модулей вредоносного бэкдора (делается снимок файловой системы, в котором они присутствуют, после чего они удаляются с текущего раздела, оставаясь в теневой копии).

На использовании возможности из второго пункта и было основано решение задания на форензику NeoQUEST. Подробнее — под катом!
Читать дальше →
Всего голосов 13: ↑11 и ↓2 +9
Просмотры 11K
Комментарии 0

Средства сбора данных в компьютерно-технической экспертизе

Информационная безопасность *

forensics data acquisition


В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.

Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 33K
Комментарии 30

CTFzone write-ups – First comes Forensics

Блог компании BI.ZONE Информационная безопасность *CTF *


Прошло несколько дней после окончания CTFzone от компании BI.ZONE, а наши смартфоны до сих пор разрываются от уведомлений Telegram – чат с участниками битвы после конференции стал еще более оживленным. По отзывам игроков, многие задания CTFzone были очень нестандартными и действительно непростыми. Во время соревнования мы пообещали участникам, что, как только наши разработчики отоспятся и придут в себя, мы выложим райтапы для всех заданий в нашем блоге.

Начнем мы с направления Forensics, и в этой статье представляем вам решения на все таски – от задания на 50 до 1000. Мы знаем, что hackzard опередил нас и уже выложил райтапы к заданиям на 50 и 100, но с более крутыми тасками будет сложнее ;)
Читать дальше →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 9.7K
Комментарии 2

SHA2017 CTF: Нужно больше трафика

Информационная безопасность *CTF *
Tutorial


Всем доброго времени суток. Только что подошел к концу SHA2017 CTF и в этой статье, я бы хотел рассмотреть решение одного интересного таска Abuse Mail (300) из раздела Network.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 9.4K
Комментарии 1

Дампим память и пишем maphack

Qt *Реверс-инжиниринг *
Из песочницы

image


В один из вечеров школьного лета, у меня появилась потребность в мапхаке для DayZ Mod (Arma 2 OA). Поискав информацию по теме, я понял, что связываться с античитом Battleye не стоит, ибо нет ни знаний, ни опыта для обхода защитного драйвера ядра, который вежливо расставил кучу хуков на доступ к процессу игры.


DayZ одна из немногих игр, где расположение важных для игрового процесса объектов, меняется не часто и сохраняется после перезахода(базы не двигаются, большинство техники тоже много времени стоит на месте). Этот факт открывает возможность атаки через дамп оперативной памяти.

Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 10K
Комментарии 4

Нарушения безопасности мобильных приложений как результат недостаточного внимания компаний-разработчиков

Блог компании Перспективный мониторинг Информационная безопасность *Разработка под iOS *Разработка мобильных приложений *Разработка под Android *

Во второй половине 2017 года в Google Play разработчики загружали примерно по 2800 приложений каждый день. По AppStore данные пока не удалось найти, но вряд ли во много раз меньше. Каждое из этих приложений содержит определённое количество данных (data), которые хранятся или передаются через сотовые и Wi-Fi-сети.


image
Источник


Очевидно, что данные мобильных приложений являются основной целью злоумышленников: они не только крадут их, но и манипулируют ими в своих собственных интересах. Это также сопряжено с рядом проблем, таких как поддельные и альтернативные (часто ненадёжные) приложения, вредоносное ПО, утечка данных, слабозащищённые данные или ошибки защиты данных, а также инструменты для получения доступа к данным и их дешифровке.

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3.8K
Комментарии 1

Безопасность IoT. Выпуск 1. Умные часы, фитнес-трекеры и весы

Блог компании Перспективный мониторинг Информационная безопасность *Разработка мобильных приложений *Интернет вещей

В своей прошлой статье я рассказывал, как съездил на DefCamp. Сегодняшняя статья — первая часть публикации о моих исследованиях в области безопасности интернета вещей, которые легли в основу выступления на конференции.

IoT быстро развивается: сейчас насчитывается более 260 компаний, включая «умные» города, заводы, шахты, нефтяные предприятия, предприятия розничной торговли, здравоохранение, образование и многое другое. В цикле публикаций будут освещены только направления носимой техники, умной медицины и умного дома, включая мобильные приложения.

Сегодня умная техника начинает обретать больший смысл, нежели подключение Bluetooth-гарнитуры к телефону, и становится обычным явлением, что говорит о понимании, с какой целью умная техника используется и какие сценарии позволяет автоматизировать.

Плохая новость — многие из этих новых устройств являются мишенями для атак. При этом вопросы безопасности или же решались задним числом или не решались вообще из-за отсутствия поддержки старых устройств. Подобные устройства представляют серьёзный риск для инфраструктуры (домашней или предприятия), если ими не управлять должным образом. Поэтому ниже рассмотрим, ряд вопросов, связанных с безопасностью умных вещей, доступными методами и инструментами взлома, а также особенностями обработки и защиты данных. Целью исследований является не выполнение или описание методик «взлома под ключ», а обзор подходов, которые в тех или иных условиях могут привести к доступу к данным, а также обзор ситуаций, где разработчики по какой-то причине решили не защищать пользовательские данные. Материалы представлены обзорно (полную информацию можно найти на официальном сайте.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 6.3K
Комментарии 1

Digital Forensics Tips&Tricks: Local User Accounts Membership

Информационная безопасность *
During the digital forensics analyze process, you may need to find out a local (non-domain) user accounts membership in built-in groups. For example in case when you checking some objects' ACLs which contain permissions only for local security groups.

I've tested a several system registry analyzers but didn't find at least one tool with such function. BTW if you know about such app, please write a it's name in comments.

So, I tried to understand how to check a user account membership manually and here is the solution. All you need is any of hex editors and patience of course :)
Читать дальше →
Всего голосов 16: ↑12 и ↓4 +8
Просмотры 2.5K
Комментарии 1

Digital Forensics Tips&Tricks: How to Detect an Intruder-driven Group Policy Changes

Информационная безопасность *
First of all let's remember a standart group policy precedence: Local — Site — Domain — Organisation Unit (LSDOU). From less specific level to more specific. It means that Local GPO settings will apply first, then Site-level, Domain-level etc. And the last applied (OU GPO) settings have the highest precedence on the resulting system. However, if a domain administrator didn't set some settings in the higher-level GPOs (e.g. Enable/Disable Windows Defender service) but the same settings have been configured on the Local-level GPO — the last ones will be apply. Yes, even the machine is a domain member.

The Local GPO files are located in %systemroot%\System32\GroupPolicy hidden folder and, of course, it has two scopes (located in subfolders): for User and for Computer. Any user (here I mean a «bad guy» of course), having access to this folder(s), can copy a Registry.pol file and check/change a Local GPO settings. An intruder can use a third-part apllication, such as a RegPol Viewer:

image

Read more →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 4.9K
Комментарии 0

Безопасность IoT. Выпуск 2. Умный дом

Блог компании Перспективный мониторинг Информационная безопасность *Разработка мобильных приложений *Интернет вещей


Умный дом представлен широком набором устройством. Во второй части цикла публикаций о безопасности IoT будут рассмотрены умные ТВ приставки, умная кухня, голосовые помощники и освещение. Ссылка на 1 часть.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 4.6K
Комментарии 1

Digital Forensics Tips&Tricks: How to Find an Intruder's Lucky Coin

Информационная безопасность *
As you know, some people throw a coins into a fountain or sea for a luck or for come back to this place later.

image

So, cyber attackers are do the same thing — they often hide some little malware agents in the IT Infrastructure to keep a possibility to come back again.
Read more →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 1K
Комментарии 2

Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики

Блог компании Group-IB Информационная безопасность *Софт


Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.
Читать дальше →
Всего голосов 24: ↑22 и ↓2 +20
Просмотры 46K
Комментарии 55