Расследование компьютерных преступлений

Миссия Group-IB

ЗАЩИЩАТЬ НАШИХ КЛИЕНТОВ

В КИБЕРПРОСТРАНСТВЕ,

СОЗДАВАЯ И ИСПОЛЬЗУЯ ИННОВАЦИОННЫЕ

ПРОДУКТЫ, РЕШЕНИЯ И СЕРВИСЫ

2

Group-IB

Основные направления деятельности:

ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ

КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ

И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ

И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ

С ИСПОЛЬЗОВАНИЕМ

ВЫСОКИХ ТЕХНОЛОГИЙ

1 2 3 4 5

Киберразведка, мониторинг и предотвращение киберугроз

Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий

Компьютерная криминалистикаи экспертиза

Аудит информационной безопасности и анализ защищенности

Разработка инновационных продуктов в области информационнойбезопасности 3

Этапы

развития

компании

ГОД ОСНОВАНИЯ

GROUP-IB

2003 2009 2010 2011 2014

ВЫХОД НА МЕЖДУНАРОДНЫЙ

РЫНОК

КРУПНЕЙШАЯ

В ВОСТОЧНОЙ ЕВРОПЕ

ЛАБОРАТОРИЯ

КОМПЬЮТЕРНОЙ

КРИМИНАЛИСТИКИ

СОЗДАН

CERT-GIB

ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ

КОМПЕТЕНЦИЯМИ

20+ 30+ 100+СОТРУДНИКОВ 4

Наши заказчики

Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ

5

Благодарности

Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ

6

Основные направления

деятельности

Group-IBПРЕДОТВРАЩЕНИЕ

И МОНИТОРИНГ

КОМПЬЮТЕРНАЯ

КРИМИНАЛИСТИКА

И РАССЛЕДОВАНИЕ

РАЗРАБОТКА И ВНЕДРЕНИЕ

СПЕЦИАЛИЗИРОВАННОГО

ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

CERT-GIB

ЗАЩИТА БРЕНДОВ И

АВТОРСКИХ ПРАВ

В СЕТИ ИНТЕРНЕТ

АУДИТ

ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

BOT-TREK CYBER INTELLIGENCEANTIPIRACY

КОМПЬЮТЕРНАЯ

КРИМИНАЛИСТИКА

И ИССЛЕДОВАНИЕ

ВРЕДОНОСНОГО КОДА

РАССЛЕДОВАНИЕ

ИНЦИДЕНТОВ

НЕЗАВИСИМЫЕ

ФИНАНСОВЫЕ

И КОРПОРАТИВНЫЕ

РАССЛЕДОВАНИЯ

BOT-TREK THREAT DETECTION SERVICE

BOT-TREK INTELLIGENT BANK

7

Расследование

киберпреступлений

КОМПЬЮТЕРНАЯ

КРИМИНАЛИСТИКА

И РАССЛЕДОВАНИЕ

СЕТЕВЫЕ АТАКИ

ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ

DDOS-АТАКИ

ВЗЛОМ IP-ТЕЛЕФОНИИ

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП

(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)

СЕТЕВОЙ ШАНТАЖ /

ВЫМОГАТЕЛЬСТВО

ЦЕЛЕВЫЕ АТАКИ /

ПРОМЫШЛЕННЫЙ ШПИОНАЖ

ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ

«ПРОСЛУШКА» СЕТЕВЫХ

КАНАЛОВ СВЯЗИ

УСТАНОВКА ПРОГРАММНЫХ

ЗАКЛАДОК

ОРГАНИЗАЦИЯ ЦИФРОВЫХ

«ЧЕРНЫХ ВХОДОВ»

САБОТАЖ И ИНСАЙД

УТЕЧКИ ИНФОРМАЦИИ

УНИЧТОЖЕНИЕ ИНФОРМАЦИИ

МАНИПУЛЯЦИЯ ДАННЫМИ

С ЦЕЛЬЮ МОШЕННИЧЕСТВА

БЛОКИРОВАНИЕ ДОСТУПА

ЭКОНОМИЧЕСКИЕ

ПРЕСТУПЛЕНИЯ

МОШЕННИЧЕСТВО

С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ

ТЕХНОЛОГИЙ

ВЫМОГАТЕЛЬСТВО,

РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ

ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ

ИНФОРМАЦИИ

НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ

ТОВАРНОГО ЗНАКА И БРЕНДА

РАССЛЕДОВАНИЕ

КИБЕРПРЕСТУПЛЕНИЙ

8

Компьютерная

криминалистика

и исследование

вредоносного кода

1 2 3 4

Сбор цифровыхдоказательств

Проведение криминалистического исследования

Экспресс-криминалистика

Участие специалистовв оперативно-розыскныхмероприятиях

КОМПЬЮТЕРНАЯ

КРИМИНАЛИСТИКА

И РАССЛЕДОВАНИЕ

Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства

Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве

Проведениекриминалистическихисследований в сжатые сроки

Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий

9

OSINT

(Open Source Intelligence Techniques )

https://inteltechniques.com/links.html

1. Поисковые системы (открытые/закрытые)2. Поисковые каталоги (dmoz.org)3. Социальные сети4. Форумы (открытые/закрытые)5. “Слитые” базы6. Аукционы/тендеры… 11

Google. Общие правила

1. Кавычки – точное соответствие (“info@group-ib.ru”)

2. Операторы:related:vk.comкардинг OR скиммингinfo: vk.comcache:google.rusite:vk.com(site:vk.com веста)

3. Форматhackers filetype:pdf

4. Исключить слово из поискаanunak –kaspersky

12

Google. Общие правила

5. В пределах одного предложенияпопелыш & срок

6. Перевод словаtranslate group-ib into italian

7. do a barrel roll 8. zerg rush

13

Поиск по картинке

14

Использование Google как прокси

http://translate.google.com/translate?sl=en&tl=ru&u=rutracker.org

15

Facebook. Общие принципы

1. Поиск осуществляется только после авторизации2. Для проведения разведки использовать анонимный аккаунт3. Учитывайте, что могут использоваться ненастоящие имена и фамилии4. Уточняйте поиск, чтобы уменьшить количество результатов

16

Facebook. Общие принципы

1. People named “vesta matveeva”2. People named “vesta matveeva” that live in usa3. People that work (worked) in group-ib4. People that live in Moscow5. Men that live in Moscow6. Married men that live in moocow and like football…Особенность запроса:https://www.facebook.com/search/str/people%2Bnamed%2Bvesta/keywords_users

17

Facebook. Общие принципы

People that are friends with … (хорошо для уникального имени) и лайки!

18

ПРАВОПРИМЕНЕНИЕ

19

Правоприменение в РФ

20

Правоприменение в США

21

Правоприменение в Великобритании и КНР

22

ТРЕНДЫ КИБЕРПРЕСТУПЛЕНИЙ

23

Оценка рынка высокотехнологичных преступлений, тренд (млн руб.)

ТРЕНД №1:

СНИЖЕНИЕ УЩЕРБА ПРИ РОСТЕ КОЛИЧЕСТВА АТАК

Хищения в интернет-банкинге у юридических лиц

Хищения в интернет-банкинге у физических лиц

Хищения у физических лиц с помощью Android-троянов

Целевые атаки на банки

24

Рост числа преступных групп: вместо 3х старых мы получаем 6 новых групп Новички

приносят старые методы хищений –удаленное управление

Группы, работающие по компаниям: Инциденты по группам

ТРЕНД №2ПРОФЕССИОНАЛЫ УХОДЯТ С РЫНКА РОССИИ

Shiz

Ranbyus

Infinity

Lurk

Cork

Kontur (Buhtrap)Toplel Uni_chthonic

Prosecutor

Kronos_Nalog

Yebot

NEW

NEW

NEW

NEW

NEW

ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // ХИЩЕНИЯ У ЮРИДИЧЕСКИХ ЛИЦ

NEW

25

ТРЕНД №2ПЕРЕОРИЕНТАЦИЯ РУССКОГОВОРЯЩИХ ХАКЕРОВ НАЗАПАД

Из-за девальвации рубля хакерам стало выгоднее атаковать клиентов иностранных банков

Самые опасные банковские трояны для Запада написаны или управляются русскоговорящими хакерами

Самые популярные трояны для атак наклиентов европейских и американских банков Количество групп

26

Группы, работающие по физическимлицам через Web-банкинг

PhishEye

Infinity Proxy

Группы, работающие по физическимлицам через мобильный клиент-банк

Reich

Waplook

Ada March Greff

Sizeprofit

Cron

Group 404

Ada2

ApiMaps

Tark

Xruss

MobiApps

Mikorta

Webmobil

ТРЕНД №3КАРДИНАЛЬНАЯ СМЕНА МЕТОДА АТАК НА ФИЗИЧЕСКИЕ ЛИЦА РЕЗКИЙ РОСТ МОБИЛЬНЫХ УГРОЗ Инциденты по мобильным

группам

1% 1% 1% 1%

2 23%

21%

11%11%

9%

10%

8%

Количество преступных групп, работающих с

мобильными троянами, увеличилось на 200% и

продолжает растиNEW

NEW

NEW

NEW

NEW

NEW

NEW

NEW

NEW

NEW

27

Киберфашисты

28

Торговые площадки

ТРЕНД №4:

РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ

29

Продажа карт, взломанных аккаунтов

ТРЕНД №4:

РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ

30

ТРЕНД №4:

РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ

POS-терминалы

31

ТРЕНД №5:

ВЗЛОМ БАНКОМАТОВ

32

Вирус граббер (Платформа NCR)

1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).

2. Запись тела вируса в библиотеку, в скрытый поток NTFS (ApplicationCore.exe:netncr.dll)

3. Перехват треков и пинов и запись их в зашифрованном виде в скрытый поток NTFS (autosave:descriptor).

4. Копирование данных на чип определенной карты, удаление вируса и следов работы после чтения определенной карты.

33

Вирус диспенсер (Платформа NCR)

1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.

2. Внедрение в служебные процессы ПО банкомата.

3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.

4. Отключение локальной сети и возможности самоудаления, «McAfee Solidcore for APTRA».

CASH OPERATION PERMITTED.

TO START DISPENSE OPERATION -

ENTER CASSETTE NUMBER AND PRESS ENTER

34

Подмена кассет (Платформа Wincor)

1. Загрузка при удаленном или физическом доступе в банкомат. Модификация ключей реестра.

HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER\

2. Выдача вместо купюр номиналом 100р купюр номиналом 5000р.

35

Вирус диспенсер (Платформа Wincor)

1. Загрузка при удаленном или физическом доступе в банкомат.

2. Запуск модифицированной версии диагностического ПО Testsoftware Component Diagnostic ("KDIAG32")

3. Выдача купюр без проверки на открытие сейфа. 36

ТРЕНД №6УСИЛЕНИЕ ИНТЕРЕСА К ТОРГОВЫМ / БРОКЕРСКИМСИСТЕМАМ

Группа Corkow

Специальный троян c модулями для брокерских систем

Первая атака в России в феврале 2015

Были спровоцированы Подготовка 5 месяцев 10-рублевые скачки курса доллара

Атака длилась всего 14 минут

Ущерб около300 миллионов рублей

ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // АТАКИ НА БРОКЕРОВ В РОССИИ

37

38

Rundll32.dll + Volume Serial + DllGetClassObject

Модуль Описание

MON Собирает информацию о ЭВМ, пользователе, ОС и отслеживает запущенные процессы.

KLG Ведет журнал всех нажатых клавиш.

HVNC Модуль удаленного доступа

FG Ведет журнал посещаемых сайтов в контексте браузера и сохраняет данные авторизации.

iFOBS Модуль для копирования данных из приложения «iFOBSClient.exe»

SBRF Модуль для копирования данных из приложения «IBank2»

IB2 Модуль для копирования данных из приложения «Wclnt.exe»

Corkow

39

Volume ID

28 90 FC 56 90 FC 2B C6

NTFS Volume Serial Number

90FC-2BC6

%SYSTEMDRIVE%

40

41

ПРИНЦИПЫ МОШЕННИЧЕСТВ В

СИСТЕМАХ ДБО

42

Принципы мошенничества в системе ДБО

1. Неправомерная передача платежныхпоручений от имени какой-либо организации.

2. Исполнение платежных поручений.

3. Вывод денежных средств, их легализация.

43

Мошенничество в ДБО

Покупка вредоносного ПО

Шифрование исполняемых файлов

Аренда серверов для управления бот сетью

Покупка трафика в определенных регионах РФ

Отправка платежных поручений

Вывод и легализация денежных средств44

План

Хищения с использованием банковских троянов

Установка панели управления Сборка трояна Крипт Способы распространения Инжекты Обход СМС

Хищения с использованием мобильных троянов Ограбление банков

45

1. Сложная преступная группа

Заливщики

Разработчики

вредоносного ПО

Организаторы

Распространители

вредоносного ПО

Бот

Бот

Бот

Бот

Бот

БотБот

Бот Бот

БотБот

Бот

Бот

Бот

Бот

Бот

ДропыБанковские

счета 46

Роли в преступной группе

Организатор - владелец бот-сети Программист Заливщики Трафер Прозвонщики

Владелец связки эксплойтов Криптор Администратор сервера Поставщик доменов и

серверов

Руководитель обнала Поставщики юридических лиц Поставщики пластиковых карт Поставщики сим-карт Дропы

47

Реальный случай. 20.03.2012 г.

48

1. Заражение машины с помощью вредоносной программы Carberp - > Логины, пароли, скриншоты

2. Установка вредоносной программы для удаленного управления RDPDoor

3. Установка BeTwinService -> Одновременное подключение нескольких пользователей

4. Установка MIPKO Employee Monitor - > Перехват деятельности пользователей

49

Реальный случай. 21.04.2014 г.

50

antiphishing.ru ПРЕДОТВРАЩЕНИЕ

И МОНИТОРИНГ

1 2 3

Форма для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Проект функционирует с 2012 года при участии специалистов CERT-GIB

Полученная информация немедленно направляется аналитикам CERT-GIB, которые оперативно обрабатывают поступающие обращения и принимают необходимые меры для нейтрализации вредоносных ресурсов

Социально ориентированный проект: после отправки заявки, пользователям предоставляется возможность поделиться информацией о проекте в соц. сетях

51

Аналитика и внутренние расследования

53

54

Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ

СПЕЦИАЛИЗИРОВАННОГО

ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

Bot-Trek Cyber Intelligence (CI) — платформа, предоставляющая компаниям в режиме реального времени персонализированную аналитическую информацию для стратегического планирования, идентификации и оперативного реагирования на актуальные глобальные риски и угрозы безопасности

1 2 3

Оцениваются тысячи показателейизменения внешней киберсредыи их влияние

Коррелируя и собирая дополнительнуюинформацию, Bot-Trek CI предоставляетглобальную, секторальную и объектнуюаналитику по всевозможным видамвысокотехнологичных угроз

Обрабатывая огромные объемы сырыхданных, Bot-Trek CI предоставляетзаказчику только проверенную изначимую информацию, необходимуюдля принятия решений 55

Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ

СПЕЦИАЛИЗИРОВАННОГО

ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

Bot-Trek CI осуществляет исследование, обработку и корреляциюданных из множества закрытых и открытых источников

56

Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ

СПЕЦИАЛИЗИРОВАННОГО

ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

Group-IB использует собственные уникальныеразработки для сбора и корреляции данных

Каждый блок данных дополняет соседний, обеспечивая лучшее покрытие и уровень защиты

57

КАК ЗАЩИТИТЬСЯ ОТ

ВРЕДОНОСНОГО ПО

58

Как защититься от вредоносного ПО? Последние версии ОС Отслуживать новые уязвимости в ПО Антивирусное ПО Ограничение прав и привилегий под рабочей учетной записью Ограничение на количество попыток неправильного ввода пароля Многофакторная аутентификация Регулярная смена паролей на критичные ресурсы SRP (способ аутентификации, устойчивый к MitM) Автоматические обновления ОС, Flash, PDF-reader, Office, Java EMET Safe Browsing Проверка автозагрузки (Autoruns.exe) CrowdInspect Отслеживание сетевых соединений Межсетевой экран Проверка каталоге «Temp» BotTrack IDS IDS/IPS Обучение персонала Тесты на проникновение

59

EMET

60

EMET

61

EMET

62

63

CrowdInspect

64

Межсетевой экран ЗАПРЕТИТЬ даже соединения изнутри сети от

критичных областей к критичным

Сервера доступны только из VLAN администраторов

Закрыть лишние порты

Закрыть уязвимые порты

Белый/Черный список адресов

65

BOT-TREK TDS

66

BOT-TREK TDS

67

BOT-TREK TDS

68

BOT-TREK TDS

69

BOT-TREK TDS

70

BOT-TREK TDS

71

КАК РЕАГИРОВАТЬ НА ИНЦИДЕНТ?

72

Задачи первичного реагирования

Подтверждение или опровержение факта инцидента.

Корректный сбор информации об инциденте для дальнейшего расследования.

Обеспечение юридически грамотного оформления доказательств.

Создание правил правильного извлечения и обращения с доказательствами.

Минимизация степени последствий для бизнеса, репутации, материальных

потерь.

Возможность правового преследования причастных к инциденту лиц.

Получение рекомендаций по предотвращению эскалации последствий

инцидента, дальнейшей компрометации или хищения данных и т. д.

Выработка модели правильного реагирования на последующие инциденты, в

том числе быстрое выявление и/или предотвращение инцидентов в будущем

(посредством извлеченных уроков, изменений политик безопасности и т. д.).

«Не упустить и не пропустить!».73

Первичное реагирование

Последовательность действий при реагировании на инцидент:

1. Связаться со специалистами2. Определить тип инцидента, а именно задействованные системы, компьютеры и

причастных людей3. Изолировать доступ всех лиц, кроме тех, чье участие необходимо, к выявленным

объектам4. Собрать всю возможную информацию, которая впоследствии передается на

исследование специалистам для установления причин и хода инцидента5. Задокументировать процесс сбора доказательств с указанием

идентификационной информации устройств, с которых информация снимается, а также самих данных

6. Закрыть брешь (отключить от сети, закрыть порт, выключить компьютер, обновить ПО, обновить правила политик безопасности и т. д.)

7. Оповестить нужных лиц8. Провести опрос задействованных лиц9. Восстановить штатную работу сети, компьютера, внешних сервисов и т. д.

(удалить вредоносное ПО, переустановить ОС, закрыть уязвимости, закрыть удаленный доступ к критичным элементам сети, смена паролей и т. д.)

10. Обратиться в правоохранительные органы при необходимости11. Дать рекомендации пострадавшим лицам, техническому отделу или иным

лицам, действия которых так или иначе могут повлиять на повторение инцидента74

Сбор доказательной базы

1. Носитель компьютерной информации (или компьютер), задействованный в инциденте.

2. Оперативная память компьютера;

3. Сетевой трафик;

4. Отдельные файлы и каталоги;

5. Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, контроллера домена, антивирусных средств и др.;

6. Логи сетевого оборудования, IDS/IPS, DLP-систем;

7. Логи провайдера;

8. АТС, рабочие станции и серверы.

9. Интернет-сайты, данные интернет-сервисов

10. Системы слежения за пользователями

11. ПО для проверки целостности файлов в системе

12. Топология сети, способ выхода в сеть Интернет

13. Детализация IP-адресов и за что отвечает каждый серве

14. Результаты тестов на проникновение75

Дополнительные источники доказательств

1. Записи с видеорегистратора

2. Журналы систем учета рабочего времени

3. Журналы систем управления доступом в помещение

4. Опрос сотрудников

5. Запись телефонных разговоров

Необязательно изымать из работы полностью компьютеры с установленными системами, достаточно сделать выгрузку

необходимых данных, записать на неперезаписываемый диск, упаковать, опечатать

76

Снятие данных в присутствии независимых специалистов

Сопровождение документами о снятии данных

Запись данных с защитой от перезаписи

Соблюдение целостности данных на источниках информации

Опечатывание техники

Снятие криминалистических образов данных

Проверка контрольных сумм

Правила снятия доказательств

77

К кому обращаться за данными?

Провайдер (блокировка трафика, получение логов) Регистраторы доменных имен Хостинг-провайдеры Разработчики ПО (о специфики работы ПО, определенных

событиях в логах, ложных срабатываниях на определенную сигнатуру атаки). Носит скорее уточняющий, а не ключевой характер в расследовании

Если использовалась уязвимость ПО, то ее разработчику стоит о ней сообщить.

Группы реагирования (CERT-GIB,), организации, которые заточены под реагирование и владеют дополнительными данными о злоумышленниках, имеют накопленные базы сведений, опыт и т. д.

Forum of Incident Response and Security Teams (FIRST), Government Forum of Incident Response and Security Teams (GFIRST), Anti-Phishing Working Group (APWG) не являются группами реагирования, но обеспечивают обмен информацией между группами реагирования. Затронутые стороны. Знаете об инциденте, знаете, что

пострадали или могут пострадать (скомпрометирована информация о них) др организации/лица, надо им сообщить.

78

Источники доказательной базы (ИДБ)

Энергозависимые

Оперативная память компьютера

Перечень запущенных процессов Сведения о сетевых соединениях Пароли Расшифрованные файлы Ключи шифрования Буфер обмена Переписка Вредоносный код

Сетевой трафик

Временные журналы регистрации событий

79

Создание дампа оперативной памяти

• AccessData FTK Imager (http://www.accessdata.com)

80

Volatility

81

Mandiant Redline

82

RAWCAP (http://www.netresec.com/?page=RawCap)

TCPDUMP (WINDUMP) (http://www.tcpdump.org/)

TCPFLOW (http://www.forensicswiki.org/wiki/Tcpflow)

Wireshark (http://www.wireshark.org/download.html)

Извлечение дампа сетевого трафика (утилиты)

83

Анализ трафика

84

Источники доказательной базы

(Энергонезависимые источники)

Накопители на жестких магнитных дисках (НЖМД);

Накопители на гибких магнитных дисках (НГМД);

Отдельные файлы и каталоги;

АТС, рабочие станции и серверы.

Интернет-сайты, данные интернет-сервисов

Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, антивирусных средств и др.;

Логи сетевого оборудования, IDS/IPS, DLP-систем;

Логи провайдера;

Содержимое оптических дисков и накопителей на основе флеш-памяти;

Мобильные телефоны, планшетные ЭВМ, КПК и т.п.

и т. д.

Все временно!85

Правовой аспект

Обеспечение сохранности и применение неразрушающих методов копирования компьютерной информации

статья 57 Уголовно-процессуального кодекса РФ:

«эксперт не вправе… проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов

либо изменение их внешнего вида или основных свойств»

86

Ошибки реагирования на инцидент1. Антивирусная проверка файловых систем носителей

информации ЭВМ

Приводит к изменению временных меток файлов вредоносныхпрограмм, перемещению или удалению файлов вредоносныхпрограмм

2. Переустановка операционных систем ЭВМ

Приводит к удалению файлов вредоносных программ, следов ихработы, системных журналов и усложняет расследование инцидентаза счет необходимости восстановления данных.

3. Продолжение работы пользователей с ЭВМ, имеющимиотношение к инциденту

Дает возможность злоумышленнику удалить следы собственнойактивности, будут затерты удаленные данные.

87

+7 (495) 984 33 64 www.group-ib.ru info@group-ib.ru

facebook.com/groupib twitter.com/groupib

youtube.com/groupib linkedin.com/company/group-ib

+7 (495) 984-33-64 доб.313matveeva@group-ib.ru

Веста Матвеева

88