#форензика — Public Fediverse posts

История одного инцидента, или почему не стоит публиковать 1С

Всем привет, на связи команда DFIR JetCSIRT! Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии. Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

https://habr.com/ru/companies/jetinfosystems/articles/1035226/

#Ransomware #DFIR #1С #Форензика #Forensics #информационная_безопасность #вредоносное_ПО #SOC #иб

История одного инцидента, или почему не стоит публиковать 1С

Всем привет, на связи команда DFIR JetCSIRT! Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии. Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

https://habr.com/ru/companies/jetinfosystems/articles/1035226/

#Ransomware #DFIR #1С #Форензика #Forensics #информационная_безопасность #вредоносное_ПО #SOC #иб

История одного инцидента, или почему не стоит публиковать 1С

Всем привет, на связи команда DFIR JetCSIRT! Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии. Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

https://habr.com/ru/companies/jetinfosystems/articles/1035226/

#Ransomware #DFIR #1С #Форензика #Forensics #информационная_безопасность #вредоносное_ПО #SOC #иб

История одного инцидента, или почему не стоит публиковать 1С

Всем привет, на связи команда DFIR JetCSIRT! Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии. Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

https://habr.com/ru/companies/jetinfosystems/articles/1035226/

#Ransomware #DFIR #1С #Форензика #Forensics #информационная_безопасность #вредоносное_ПО #SOC #иб

SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало. Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики. Про главные страницы и почему я не стал делать обычную Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют». Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную. Источники:

https://habr.com/ru/articles/1025216/

#информационная_безопасность #обучение_кибербезопасности #симуляторы_атак #разбор_уязвимостей #практическая_ИБ #веблаборатория #SOC #форензика #образовательный_проект

SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало. Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики. Про главные страницы и почему я не стал делать обычную Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют». Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную. Источники:

https://habr.com/ru/articles/1025216/

#информационная_безопасность #обучение_кибербезопасности #симуляторы_атак #разбор_уязвимостей #практическая_ИБ #веблаборатория #SOC #форензика #образовательный_проект

SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало. Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики. Про главные страницы и почему я не стал делать обычную Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют». Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную. Источники:

https://habr.com/ru/articles/1025216/

#информационная_безопасность #обучение_кибербезопасности #симуляторы_атак #разбор_уязвимостей #практическая_ИБ #веблаборатория #SOC #форензика #образовательный_проект

SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало. Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики. Про главные страницы и почему я не стал делать обычную Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют». Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную. Источники:

https://habr.com/ru/articles/1025216/

#информационная_безопасность #обучение_кибербезопасности #симуляторы_атак #разбор_уязвимостей #практическая_ИБ #веблаборатория #SOC #форензика #образовательный_проект

Данные Signal и Telegram остаются после удаления. Объясняем как ФБР получила доступ к данным после чистки

Мы покажем что конкретно остаётся на iOS и Android после удаления Telegram и Signal, через какие инструменты это находится и сколько времени проходит, прежде чем артефакты начинают исчезать.

https://habr.com/ru/companies/femida_search/articles/1023506/

#vpn #telegram #tls #tcp #max #макс #signal #форензика #иб #ip

Данные Signal и Telegram остаются после удаления. Объясняем как ФБР получила доступ к данным после чистки

Мы покажем что конкретно остаётся на iOS и Android после удаления Telegram и Signal, через какие инструменты это находится и сколько времени проходит, прежде чем артефакты начинают исчезать.

https://habr.com/ru/companies/femida_search/articles/1023506/

#vpn #telegram #tls #tcp #max #макс #signal #форензика #иб #ip

Данные Signal и Telegram остаются после удаления. Объясняем как ФБР получила доступ к данным после чистки

Мы покажем что конкретно остаётся на iOS и Android после удаления Telegram и Signal, через какие инструменты это находится и сколько времени проходит, прежде чем артефакты начинают исчезать.

https://habr.com/ru/companies/femida_search/articles/1023506/

#vpn #telegram #tls #tcp #max #макс #signal #форензика #иб #ip

Данные Signal и Telegram остаются после удаления. Объясняем как ФБР получила доступ к данным после чистки

Мы покажем что конкретно остаётся на iOS и Android после удаления Telegram и Signal, через какие инструменты это находится и сколько времени проходит, прежде чем артефакты начинают исчезать.

https://habr.com/ru/companies/femida_search/articles/1023506/

#vpn #telegram #tls #tcp #max #макс #signal #форензика #иб #ip

Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

DFIR-дежавю или несколько инцидентов и один Threat Actor

Всем привет, на связи команда DFIR JetCSIRT! Близится конец года, все готовят салаты и годовые отчеты. Мы тоже подводим итоги и заметили, что с одной из групп (или, по крайней мере, кластером злоумышленников) мы сталкивались чаще, чем с другими. Речь пойдёт о Rainbow Hyena — именно её активности мы посвящаем эту статью, разобрав несколько реальных кейсов.

https://habr.com/ru/companies/jetinfosystems/articles/980466/

#информационная_безопасность #иб #ransomware #dfir #trueconf #форензика #forensics #вредоносное_по #soc #инфобез

Быстрый старт в форензике: открыта стажировка в Solar 4RAYS

В Центре исследования киберугроз Solar 4RAYS работают эксперты в сферах Threat Intelligence, DFIR, Threat Hunting и наступательной кибербезопасности. Они освещают темную сторону: обнаруживают ранее неизвестные профессиональные группировки, описывают новое ВПО, расследуют сложные атаки и делятся информацией с профессиональным сообществом в своих отчетах и блогах. Уже в декабре «Солар» открывает новичкам возможность присоединиться к этой команде и начать карьеру в Threat Intelligence сразу с интересных и полезных для отрасли задач. Заявки на стажировку принимаем до 10 ноября. Узнать о стажировке

https://habr.com/ru/companies/solarsecurity/articles/959618/

#карьера #стажировка #форензика #солар #аналитика #киберразведка

Тень в кадре, свет в логах: как логи видеорегистратора помогли восстановить последовательность событий

Часто при просмотре видеозаписей кажется, что всё на своих местах: события, люди, действия. Всё выглядит логично — до тех пор, пока не обращаешь внимания на время. Когда дата на видео не совпадает с реальностью, это меняет всё. В этой статье Андрей Кравцов , специалист Лаборатории цифровой криминалистики F6 , расскажет о случае из практики, когда именно нестыковка во времени стала ключом решения. Истину помогли установить не кадры, а скрытые от глаз журналы событий, которые хранят больше, чем кажется на первый взгляд. Изначально задача казалась тривиальной: провести криминалистический анализ, в рамках которого восстановить видеозаписи с жёсткого диска видеорегистратора. Заказчик сообщил, что самостоятельно найти и просмотреть видеозаписи за определённый период не получилось, это и стало причиной обращения к нам в Лабораторию.

https://habr.com/ru/companies/F6/articles/953930/

#форензика #цифровая_криминалистика #видео #информационная_безопасность

Хроники целевых атак в 1 полугодии 2025: аналитика, факты и рекомендации

Специалисты Центра исследования киберугроз Solar 4RAYS в своем блоге продолжают следить за динамикой киберландшафта в России и уже подвели итоги первого полугодия 2025 года. В этой статье делимся ключевыми выводами: какие отрасли попадают под активные удары, каковы цели группировок, которые действуют против российских компаний, и какие практические выводы можно сделать из анализа вредоносной активности.

https://habr.com/ru/companies/solarsecurity/articles/936084/

#кибербезопасность #киберугрозы #исследование #киберпреступность #кибератаки #форензика #forensics #атака #уязвимость

Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

Эволюция шпионского софта под iOS

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно. Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах. Для обнаружения таких зловредов требуются специальные инструменты.

https://habr.com/ru/companies/globalsign/articles/890860/

#iOS #Pegasus #Predator #iCloud #Advanced_Data_Protection #сквозное_шифрование #E2E #эксплоиты #0day #iPhone #0Click #1Click #NSO_Group #iSoon #Hermit #Mobile_Verification_Toolkit #MVT #форензика #компьютерная_криминалистика #Sysdiagnose #режим_блокировки

Эволюция шпионского софта под iOS

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно. Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах. Для обнаружения таких зловредов требуются специальные инструменты.

https://habr.com/ru/companies/globalsign/articles/890860/

#iOS #Pegasus #Predator #iCloud #Advanced_Data_Protection #сквозное_шифрование #E2E #эксплоиты #0day #iPhone #0Click #1Click #NSO_Group #iSoon #Hermit #Mobile_Verification_Toolkit #MVT #форензика #компьютерная_криминалистика #Sysdiagnose #режим_блокировки

Эволюция шпионского софта под iOS

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно. Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах. Для обнаружения таких зловредов требуются специальные инструменты.

https://habr.com/ru/companies/globalsign/articles/890860/

#iOS #Pegasus #Predator #iCloud #Advanced_Data_Protection #сквозное_шифрование #E2E #эксплоиты #0day #iPhone #0Click #1Click #NSO_Group #iSoon #Hermit #Mobile_Verification_Toolkit #MVT #форензика #компьютерная_криминалистика #Sysdiagnose #режим_блокировки

Эволюция шпионского софта под iOS

Возможности программного обеспечения Sysdiagnose для компьютерной криминалистики на iOS Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно. Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах. Для обнаружения таких зловредов требуются специальные инструменты.

https://habr.com/ru/companies/globalsign/articles/890860/

#iOS #Pegasus #Predator #iCloud #Advanced_Data_Protection #сквозное_шифрование #E2E #эксплоиты #0day #iPhone #0Click #1Click #NSO_Group #iSoon #Hermit #Mobile_Verification_Toolkit #MVT #форензика #компьютерная_криминалистика #Sysdiagnose #режим_блокировки

Тайны офиса: поиск скрытых метаданных в файлах DOCX, исправленных задним числом

Наверняка каждый из вас сталкивался с похожей ситуацией: ищешь вещь, уверен, что она лежит где-то рядом, а находишь совсем в другом месте. Как будто обронили винтик под ноги, а он взял и перекатился через всю комнату. В этом блоге я — Андрей Кравцов , специалист по реагированию на инциденты и цифровой криминалистике компании F6, — хочу рассказать о похожем опыте — поиске временных меток в файле с расширением DOCX. И поделюсь своим способом решения подобной задачи на примере воссозданной ситуации в виртуальной машине.

https://habr.com/ru/companies/F6/articles/889590/

#форензика #компьютерная_криминалистика #временные_метки #docx

Форензика Windows

При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на пользовательские рабочие места. Проникнув на компьютер пользователя, злоумышленник может дальше развивать атаку уже в корпоративной сети. Чтобы понять, как злоумышленник проник на машину, что он делал дальше, на какие узлы ходил и так далее нам необходимо произвести анализ скомпрометированного узла. Так как в большинстве организаций пользовательские компьютеры по прежнему используют Windows, в этой статье мы поговорим об анализе этой операционной системы.

https://habr.com/ru/companies/otus/articles/879044/

#devsecops #forensics #windows #форензика #расследование_инцидентов

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024

Привет Хабр! На связи Владислав Азерский , заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд , ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.

https://habr.com/ru/companies/f_a_c_c_t/articles/861142/

#cybercamp_2024 #форензика #LotL #living_off_the_land #компьютерная_криминалистика #киберучения

Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024

Привет Хабр! На связи Владислав Азерский , заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд , ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.

https://habr.com/ru/companies/f_a_c_c_t/articles/861142/

#cybercamp_2024 #форензика #LotL #living_off_the_land #компьютерная_криминалистика #киберучения

Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024

Привет Хабр! На связи Владислав Азерский , заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд , ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.

https://habr.com/ru/companies/f_a_c_c_t/articles/861142/

#cybercamp_2024 #форензика #LotL #living_off_the_land #компьютерная_криминалистика #киберучения

Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024

Привет Хабр! На связи Владислав Азерский , заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд , ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T. В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.

https://habr.com/ru/companies/f_a_c_c_t/articles/861142/

#cybercamp_2024 #форензика #LotL #living_off_the_land #компьютерная_криминалистика #киберучения

Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков

Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

https://habr.com/ru/companies/jetinfosystems/articles/859974/

#ransomware #diskcryptor #DсHelp #MeshAgent #mesh #dfir #форензика #forensics #информационная_безопасность #вредоносное_по

[Перевод] Иголка в стоге сена: ищем следы работы C2-фреймворка Sliver

Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Не так давно на нашем канале вышла статья по использованию фреймворка постэксплуатации Sliver C2 от Bishop Fox. Сегодня мы представляем вам исследование компании Immersive Labs по детектированию и анализу нагрузок и туннелей взаимодействия Sliver. Этот С2 всё сильнее набирает популярность, а значит специалисты по реагированию на инциденты должны быть всегда готовы столкнуться лицом к лицу с новыми техниками и инструментами. Приятного прочтения!

https://habr.com/ru/articles/781478/

#soc #sliver #forensics #forensic_analysis #форензика

Автоматизация рутинной работы в форензике: извлечение временных атрибутов файлов по списку

Представьте: у вас есть несколько тысяч файлов, и для каждого нужно извлечь метаданные — даты создания, модификации и последний доступ. Можно, конечно, сидеть и вручную копировать эти данные из Проводника. Один файл, второй… Через час работы голова уже плывёт, а впереди ещё сотни файлов. Но всего этого можно избежать. Меня зовут Максим Антипов, я кибердетектив и преподаватель в CyberEd. В этом руководстве я покажу вам, как автоматизировать процесс извлечения атрибутов файлов с помощью скрипта на VBA. Мы настроим Excel так, чтобы он сам собирал данные о размере, дате создания, модификации и последнем доступе к файлам.

https://habr.com/ru/articles/847408/

#форензика #информационная_безопасность #vba #digital_forensics #forensics #компьютерная_криминалистика

Респонс по DaVinci: как мы перевернули систему работы Security-аналитика и что из этого вышло

Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем. А что дальше? А дальше — переключился на новый инцидент или ожидает его появления. В крайних случаях — участие в расследовании инцидентов и разработка новых сценариев выявления атак. Такова «хрестоматийная», стандартная схема работы аналитика в коммерческом SOC. Это и не хорошо, и не плохо — это, как правило, просто данность. Однако формат действий security-аналитика можно сделать кардинально иным, и за счет этого помочь амбициозному специалисту расти быстрее и шире, а компании-заказчику — дополнительно укрепить свою безопасность. Я, Никита Чистяков, тимлид команды security-аналитиков в «Лаборатории Касперского». Под катом я расскажу, как и зачем в Kaspersky помогаю выстраивать новые условия работы для security-аналитиков и как эти условия помогают им стать эдакими витрувианскими ИБшниками эпохи Возрождения. Если вы сами аналитик или в целом работаете в инфобезе, хотите узнать, какой скрытый потенциал есть у профессии и как его раскрыть, эта статья — для вас.

https://habr.com/ru/companies/kaspersky/articles/801451/

#лаборатория_касперского #респонс #soc #incident_responce #incident #инцидент #securityаналитик #security_analyst #разработка #r&d #Threat_Intelligence #Threat_Hunting #GReAT #AMR #anti_malware_research #форензика #IoC #ИБ #hr #сотрудники #управление_командой #управление_людьми #карьера #управление_персоналом #карьера_в_itиндустрии #карьера_в_it #карьера_итспециалиста #работа #информационная_безопасность #кибербезопасность #безопасность #уязвимости #кибератаки #пентест #исследование #аналитика #рынок_труда #рынок_труда_в_ит #найм_персонала #тенденции #хедхантеры

Десериализация VIEWSTATE: команда Solar 4RAYS изучила кибератаку азиатской группировки с «недозакрытой уязвимостью»

В 2023 году мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Наиболее интересные исследования из блога мы публикуем и здесь, и это – одно из них. В конце прошлого года мы в команде Solar 4RAYS провели расследование атаки на российскую телеком-компанию. Её сеть была скомпрометирована азиатской APT-группировкой, которую мы назвали Obstinate Mogwai (или «Упрямый Демон» в переводе с английского). Почему "Упрямый?" Хакеры вновь и вновь проникали в атакованную организацию с помощью давно известной уязвимости десериализации ненадежных данных в параметре VIEWSTATE среды ASP.NET (далее будем называть это десериализацией VIEWSTATE). Мы смогли окончательно закрыть злоумышленникам все возможности для проникновения. Сегодня мы расскажем историю исследования уязвимости, опишем, как обнаружить подобные атаки и как на них реагировать, а в конце приведем индикаторы компрометации.

https://habr.com/ru/companies/solarsecurity/articles/814891/

#кибербезопасность #киберугрозы #исследование #киберпреступность #кибератаки #форензика #forensics #атака #десериализация #уязвимость

Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей

В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких случаях, рассказал Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз Лаборатории цифровой криминалистики F.A.C.C.T. На конкретном примере продемонстрируем нестандартный подход по поиску решения по расшифровке данных.

https://habr.com/ru/companies/f_a_c_c_t/articles/818417/

#шифровальщики #реверс #компьютерная_криминалистика #программывымогатели #форензика #декриптор

Стеганоанализ в компьютерно-технической экспертизе

В 1999 году на встрече по обмену опытом с представителями правоохранительных органов США я узнал о существовании цифровой стеганографии. Тогда демонстрация работы S-Tools произвела на меня эффект, сравнимый с тем, что производят фокусы Копперфильда, однако после «разоблачения» все стало понятно. Еще через несколько лет я узнал, что существует научное направление, посвященное обнаружению стеганографии. Это было что-то совсем фантастическое… С тех пор я интересуюсь стеганоанализом цифровых изображений, стараюсь популяризировать его среди тех, кто противодействует киберпреступлениям. Цель статьи – привлечь внимание к применению стеганоанализа в компьютерной экспертизе и пригласить сообщество к дискуссии по методологическим аспектам.

https://habr.com/ru/articles/791284/

#стеганография #стеганоанализ #форензика #компьютернотехническая_экспертиза #утечка_данных

Where's hacker: как понять, что вашу инфраструктура атаковала APT-группировка

Всем привет! Надеемся, вы уже знаете, что у центра исследования киберугроз Solar 4RAYS есть собственный блог . В нем мы делимся исследованиями различных APT-группировок, подробно рассказываем о расследованиях и делимся индикаторами компрометации. В этом материале мы решили рассказать, с чего, как правило, начинаются наши расследования — по каким признакам определяем, что в инфраструктуру заказчика попали профессиональные хакеры и как ищем следы их атак. Также мы расскажем, какие уловки хакеры применяют для маскировки своих атак и как в этом случае компаниям защититься от злоумышленников.

https://habr.com/ru/companies/solarsecurity/articles/836938/

#индикаторы_компрометации #ioc #форензика #кибергруппировки #расследование_инцидентов

Ваш цифровой след: Погружение в форензику Windows

В этой статье мы поговорим о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода. Может показаться, что для решения большинства из этих задач специальных знаний не требуется и достаточно простого владения компьютером на уровне уверенного пользователя. Что ж, может, так и есть. Хотите знать наверняка? Добро пожаловать под кат.

https://habr.com/ru/companies/first/articles/839496/

#форензика #autopsy #kape #реестр_windows

Обзор криминалистических артефактов Windows

При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов операционной системы, которые не всегда легко интерпретировать. Иногда стандартный набор артефактов может не обеспечить полный ответ на вопрос: «Что произошло в системе?». Например, если настройки аудита неправильно настроены, то необходимые события в журналах безопасности могут не записаться, или злоумышленник может успеть очистить наиболее популярные артефакты, или данные в процессе сбора или передачи могут повредиться. В данной статье предлагается наиболее полный список источников, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки показывает где их находить и чем анализировать. Подробнее

https://habr.com/ru/articles/841712/

#форензика #windows #расследование_инцидентов_иб #криминалистика_windows #forensic_analysis #forensic_investigations

Что такое компьютерная криминалистика (форензика)?

Когда происходит киберпреступление, его раскрывают не детективы с лупой, а эксперты по компьютерной криминалистике. Они занимаются поиском и анализом цифровых следов злоумышленников на компьютерах и устройствах. Это Максим Антипов, кибердетектив и преподаватель в CyberEd. В этой статье мы расскажем, как эти специалисты работают и что стоит за их расследованиями.

https://habr.com/ru/articles/837460/

#форензика #компьютерная_криминалистика #forensics

О чём не молчит Windows. Погружение в Windows Registry Forensic. Часть вторая

Доброго дня, уважаемые читатели! Во второй статье продолжим разговор, рассмотрев вопросы восстановления удалённых из реестра элементов (ключи, значения), а также некоторые особенности создания и хранения элементов реестра. В экспериментах используется виртуальная машина VirtualBox с Windows 11 23H2. Первую часть о форенсике реестра Windows и некоторых интересных сведениях из него можно прочитать здесь .

https://habr.com/ru/articles/823468/

#windows #форенсика #registry #registry_forensic #криминалистика_Windows #расследование_инцидентов #Windows_registry_forensic #форензика

Сетевая форензика с помощью ZUI

В процессе расследования инцидентов в сетевой области традиционно применяют такие инструменты как Wireshark, Zeek, Suricata. Каждый из указанных инструментов обладает своими достоинствами и недостатками, соответственно было бы целесообразно использовать их в связке из единого интерфейса. Такую возможность предоставляет анализатор трафика ZUI (Brim), о котором пойдет речь в данной статье.

https://habr.com/ru/companies/securityvison/articles/805385/

#расследование_инцедентов_иб #форензика #wireshark #suricata #анализ_трафика

Фишинговая атака в Angara Security: расследование инцидента

Никита Леокумович, руководитель отдела реагирования и цифровой криминалистики Angara SOC, поделился опытом, как "невинное" письмо из "отдела кадров" может привести к серьезным последствиям для компании. Среди киберпреступлений фишинг - это наиболее распространенный тип атаки для получения учетных данных, в том числе для последующего проникновения во внутреннюю сеть организаций и распространения вредоносного программного обеспечения (далее – ВПО). Чтобы повысить эффективность таких фишинговых атак, в частности, чтобы привлечь внимание, улучшить структуру и визуальную составляющую сообщений, хакеры используют новостную и политическую повестку. Это позволяет оказывать определенное моральное давление на получателей, особенно, если приходит от "государственной организации" и затрагивает чувствительные темы. Распространение ChatGPT позволяет преступникам создавать эффективные с точки зрения содержания и структуры сообщения, даже если вектор атаки нацелен на адресатов в другой языковой среде. Если раньше одним из методов распознания фишинговых было выявление ошибок, неточностей или необычного слога при составлении письма, то сейчас использование ChatGPT может полностью исключить такие промахи со стороны атакующих. За 2023 год резко выросло число фишинговых писем, связанных с рабочими процессами. Вместе с тем, процент атак на компании, проведенных посредством отправки фишинговых писем по почте, содержащих во вложениях ВПО под видом легитимных файлов либо гиперссылок на них, составил более 50% .

https://habr.com/ru/companies/angarasecurity/articles/792456/

#информационная_безопасность #форензика #dfirma #dfir #forensics

Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей

В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких случаях, рассказал Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз Лаборатории цифровой криминалистики F.A.C.C.T. На конкретном примере продемонстрируем нестандартный подход по поиску решения по расшифровке данных.

https://habr.com/ru/companies/f_a_c_c_t/articles/818417/

#шифровальщики #реверс #компьютерная_криминалистика #программывымогатели #форензика #декриптор