z g dью l j gы i j k l m i e g b c · cert-gib ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ...
TRANSCRIPT
![Page 1: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/1.jpg)
![Page 2: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/2.jpg)
![Page 3: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/3.jpg)
Расследование компьютерных преступлений
![Page 4: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/4.jpg)
Миссия Group-IB
ЗАЩИЩАТЬ НАШИХ КЛИЕНТОВ
В КИБЕРПРОСТРАНСТВЕ,
СОЗДАВАЯ И ИСПОЛЬЗУЯ ИННОВАЦИОННЫЕ
ПРОДУКТЫ, РЕШЕНИЯ И СЕРВИСЫ
2
![Page 5: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/5.jpg)
Group-IB
Основные направления деятельности:
ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ
КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ
И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ
И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ
С ИСПОЛЬЗОВАНИЕМ
ВЫСОКИХ ТЕХНОЛОГИЙ
1 2 3 4 5
Киберразведка, мониторинг и предотвращение киберугроз
Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий
Компьютерная криминалистикаи экспертиза
Аудит информационной безопасности и анализ защищенности
Разработка инновационных продуктов в области информационнойбезопасности 3
![Page 6: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/6.jpg)
Этапы
развития
компании
ГОД ОСНОВАНИЯ
GROUP-IB
2003 2009 2010 2011 2014
ВЫХОД НА МЕЖДУНАРОДНЫЙ
РЫНОК
КРУПНЕЙШАЯ
В ВОСТОЧНОЙ ЕВРОПЕ
ЛАБОРАТОРИЯ
КОМПЬЮТЕРНОЙ
КРИМИНАЛИСТИКИ
СОЗДАН
CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ
КОМПЕТЕНЦИЯМИ
20+ 30+ 100+СОТРУДНИКОВ 4
![Page 7: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/7.jpg)
Наши заказчики
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
5
![Page 8: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/8.jpg)
Благодарности
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
6
![Page 9: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/9.jpg)
Основные направления
деятельности
Group-IBПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
CERT-GIB
ЗАЩИТА БРЕНДОВ И
АВТОРСКИХ ПРАВ
В СЕТИ ИНТЕРНЕТ
АУДИТ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
BOT-TREK CYBER INTELLIGENCEANTIPIRACY
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И ИССЛЕДОВАНИЕ
ВРЕДОНОСНОГО КОДА
РАССЛЕДОВАНИЕ
ИНЦИДЕНТОВ
НЕЗАВИСИМЫЕ
ФИНАНСОВЫЕ
И КОРПОРАТИВНЫЕ
РАССЛЕДОВАНИЯ
BOT-TREK THREAT DETECTION SERVICE
BOT-TREK INTELLIGENT BANK
7
![Page 10: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/10.jpg)
Расследование
киберпреступлений
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
СЕТЕВЫЕ АТАКИ
ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ
DDOS-АТАКИ
ВЗЛОМ IP-ТЕЛЕФОНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)
СЕТЕВОЙ ШАНТАЖ /
ВЫМОГАТЕЛЬСТВО
ЦЕЛЕВЫЕ АТАКИ /
ПРОМЫШЛЕННЫЙ ШПИОНАЖ
ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ
«ПРОСЛУШКА» СЕТЕВЫХ
КАНАЛОВ СВЯЗИ
УСТАНОВКА ПРОГРАММНЫХ
ЗАКЛАДОК
ОРГАНИЗАЦИЯ ЦИФРОВЫХ
«ЧЕРНЫХ ВХОДОВ»
САБОТАЖ И ИНСАЙД
УТЕЧКИ ИНФОРМАЦИИ
УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
МАНИПУЛЯЦИЯ ДАННЫМИ
С ЦЕЛЬЮ МОШЕННИЧЕСТВА
БЛОКИРОВАНИЕ ДОСТУПА
ЭКОНОМИЧЕСКИЕ
ПРЕСТУПЛЕНИЯ
МОШЕННИЧЕСТВО
С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ
ТЕХНОЛОГИЙ
ВЫМОГАТЕЛЬСТВО,
РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ
ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ
ТОВАРНОГО ЗНАКА И БРЕНДА
РАССЛЕДОВАНИЕ
КИБЕРПРЕСТУПЛЕНИЙ
8
![Page 11: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/11.jpg)
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Сбор цифровыхдоказательств
Проведение криминалистического исследования
Экспресс-криминалистика
Участие специалистовв оперативно-розыскныхмероприятиях
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства
Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве
Проведениекриминалистическихисследований в сжатые сроки
Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий
9
![Page 12: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/12.jpg)
OSINT
(Open Source Intelligence Techniques )
![Page 13: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/13.jpg)
https://inteltechniques.com/links.html
1. Поисковые системы (открытые/закрытые)2. Поисковые каталоги (dmoz.org)3. Социальные сети4. Форумы (открытые/закрытые)5. “Слитые” базы6. Аукционы/тендеры… 11
![Page 14: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/14.jpg)
Google. Общие правила
1. Кавычки – точное соответствие (“[email protected]”)
2. Операторы:related:vk.comкардинг OR скиммингinfo: vk.comcache:google.rusite:vk.com(site:vk.com веста)
3. Форматhackers filetype:pdf
4. Исключить слово из поискаanunak –kaspersky
12
![Page 15: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/15.jpg)
Google. Общие правила
5. В пределах одного предложенияпопелыш & срок
6. Перевод словаtranslate group-ib into italian
7. do a barrel roll 8. zerg rush
13
![Page 16: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/16.jpg)
Поиск по картинке
14
![Page 17: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/17.jpg)
Использование Google как прокси
http://translate.google.com/translate?sl=en&tl=ru&u=rutracker.org
15
![Page 18: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/18.jpg)
Facebook. Общие принципы
1. Поиск осуществляется только после авторизации2. Для проведения разведки использовать анонимный аккаунт3. Учитывайте, что могут использоваться ненастоящие имена и фамилии4. Уточняйте поиск, чтобы уменьшить количество результатов
16
![Page 19: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/19.jpg)
Facebook. Общие принципы
1. People named “vesta matveeva”2. People named “vesta matveeva” that live in usa3. People that work (worked) in group-ib4. People that live in Moscow5. Men that live in Moscow6. Married men that live in moocow and like football…Особенность запроса:https://www.facebook.com/search/str/people%2Bnamed%2Bvesta/keywords_users
17
![Page 20: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/20.jpg)
Facebook. Общие принципы
People that are friends with … (хорошо для уникального имени) и лайки!
18
![Page 21: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/21.jpg)
ПРАВОПРИМЕНЕНИЕ
19
![Page 22: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/22.jpg)
Правоприменение в РФ
20
![Page 23: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/23.jpg)
Правоприменение в США
21
![Page 24: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/24.jpg)
Правоприменение в Великобритании и КНР
22
![Page 25: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/25.jpg)
ТРЕНДЫ КИБЕРПРЕСТУПЛЕНИЙ
23
![Page 26: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/26.jpg)
Оценка рынка высокотехнологичных преступлений, тренд (млн руб.)
ТРЕНД №1:
СНИЖЕНИЕ УЩЕРБА ПРИ РОСТЕ КОЛИЧЕСТВА АТАК
Хищения в интернет-банкинге у юридических лиц
Хищения в интернет-банкинге у физических лиц
Хищения у физических лиц с помощью Android-троянов
Целевые атаки на банки
24
![Page 27: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/27.jpg)
Рост числа преступных групп: вместо 3х старых мы получаем 6 новых групп Новички
приносят старые методы хищений –удаленное управление
Группы, работающие по компаниям: Инциденты по группам
ТРЕНД №2ПРОФЕССИОНАЛЫ УХОДЯТ С РЫНКА РОССИИ
Shiz
Ranbyus
Infinity
Lurk
Cork
Kontur (Buhtrap)Toplel Uni_chthonic
Prosecutor
Kronos_Nalog
Yebot
NEW
NEW
NEW
NEW
NEW
ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // ХИЩЕНИЯ У ЮРИДИЧЕСКИХ ЛИЦ
NEW
25
![Page 28: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/28.jpg)
ТРЕНД №2ПЕРЕОРИЕНТАЦИЯ РУССКОГОВОРЯЩИХ ХАКЕРОВ НАЗАПАД
Из-за девальвации рубля хакерам стало выгоднее атаковать клиентов иностранных банков
Самые опасные банковские трояны для Запада написаны или управляются русскоговорящими хакерами
Самые популярные трояны для атак наклиентов европейских и американских банков Количество групп
26
![Page 29: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/29.jpg)
Группы, работающие по физическимлицам через Web-банкинг
PhishEye
Infinity Proxy
Группы, работающие по физическимлицам через мобильный клиент-банк
Reich
Waplook
Ada March Greff
Sizeprofit
Cron
Group 404
Ada2
ApiMaps
Tark
Xruss
MobiApps
Mikorta
Webmobil
ТРЕНД №3КАРДИНАЛЬНАЯ СМЕНА МЕТОДА АТАК НА ФИЗИЧЕСКИЕ ЛИЦА РЕЗКИЙ РОСТ МОБИЛЬНЫХ УГРОЗ Инциденты по мобильным
группам
1% 1% 1% 1%
2 23%
21%
11%11%
9%
10%
8%
Количество преступных групп, работающих с
мобильными троянами, увеличилось на 200% и
продолжает растиNEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
NEW
27
![Page 30: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/30.jpg)
Киберфашисты
28
![Page 31: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/31.jpg)
Торговые площадки
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
29
![Page 32: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/32.jpg)
Продажа карт, взломанных аккаунтов
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
30
![Page 33: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/33.jpg)
ТРЕНД №4:
РАЗВИТИЕ ХАКЕРСКОЙ ИНФРАСТРУКТУРЫ
POS-терминалы
31
![Page 34: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/34.jpg)
ТРЕНД №5:
ВЗЛОМ БАНКОМАТОВ
32
![Page 35: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/35.jpg)
Вирус граббер (Платформа NCR)
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS (ApplicationCore.exe:netncr.dll)
3. Перехват треков и пинов и запись их в зашифрованном виде в скрытый поток NTFS (autosave:descriptor).
4. Копирование данных на чип определенной карты, удаление вируса и следов работы после чтения определенной карты.
33
![Page 36: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/36.jpg)
Вирус диспенсер (Платформа NCR)
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.
3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Отключение локальной сети и возможности самоудаления, «McAfee Solidcore for APTRA».
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
34
![Page 37: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/37.jpg)
Подмена кассет (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат. Модификация ключей реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER\
2. Выдача вместо купюр номиналом 100р купюр номиналом 5000р.
35
![Page 38: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/38.jpg)
Вирус диспенсер (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат.
2. Запуск модифицированной версии диагностического ПО Testsoftware Component Diagnostic ("KDIAG32")
3. Выдача купюр без проверки на открытие сейфа. 36
![Page 39: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/39.jpg)
ТРЕНД №6УСИЛЕНИЕ ИНТЕРЕСА К ТОРГОВЫМ / БРОКЕРСКИМСИСТЕМАМ
Группа Corkow
Специальный троян c модулями для брокерских систем
Первая атака в России в феврале 2015
Были спровоцированы Подготовка 5 месяцев 10-рублевые скачки курса доллара
Атака длилась всего 14 минут
Ущерб около300 миллионов рублей
ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015 // АТАКИ НА БРОКЕРОВ В РОССИИ
37
![Page 40: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/40.jpg)
38
![Page 41: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/41.jpg)
Rundll32.dll + Volume Serial + DllGetClassObject
Модуль Описание
MON Собирает информацию о ЭВМ, пользователе, ОС и отслеживает запущенные процессы.
KLG Ведет журнал всех нажатых клавиш.
HVNC Модуль удаленного доступа
FG Ведет журнал посещаемых сайтов в контексте браузера и сохраняет данные авторизации.
iFOBS Модуль для копирования данных из приложения «iFOBSClient.exe»
SBRF Модуль для копирования данных из приложения «IBank2»
IB2 Модуль для копирования данных из приложения «Wclnt.exe»
Corkow
39
![Page 42: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/42.jpg)
Volume ID
28 90 FC 56 90 FC 2B C6
NTFS Volume Serial Number
90FC-2BC6
%SYSTEMDRIVE%
40
![Page 43: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/43.jpg)
41
![Page 44: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/44.jpg)
ПРИНЦИПЫ МОШЕННИЧЕСТВ В
СИСТЕМАХ ДБО
42
![Page 45: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/45.jpg)
Принципы мошенничества в системе ДБО
1. Неправомерная передача платежныхпоручений от имени какой-либо организации.
2. Исполнение платежных поручений.
3. Вывод денежных средств, их легализация.
43
![Page 46: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/46.jpg)
Мошенничество в ДБО
Покупка вредоносного ПО
Шифрование исполняемых файлов
Аренда серверов для управления бот сетью
Покупка трафика в определенных регионах РФ
Отправка платежных поручений
Вывод и легализация денежных средств44
![Page 47: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/47.jpg)
План
Хищения с использованием банковских троянов
Установка панели управления Сборка трояна Крипт Способы распространения Инжекты Обход СМС
Хищения с использованием мобильных троянов Ограбление банков
45
![Page 48: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/48.jpg)
1. Сложная преступная группа
Заливщики
Разработчики
вредоносного ПО
Организаторы
Распространители
вредоносного ПО
Бот
Бот
Бот
Бот
Бот
БотБот
Бот Бот
БотБот
Бот
Бот
Бот
Бот
Бот
ДропыБанковские
счета 46
![Page 49: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/49.jpg)
Роли в преступной группе
Организатор - владелец бот-сети Программист Заливщики Трафер Прозвонщики
Владелец связки эксплойтов Криптор Администратор сервера Поставщик доменов и
серверов
Руководитель обнала Поставщики юридических лиц Поставщики пластиковых карт Поставщики сим-карт Дропы
47
![Page 50: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/50.jpg)
Реальный случай. 20.03.2012 г.
48
![Page 51: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/51.jpg)
1. Заражение машины с помощью вредоносной программы Carberp - > Логины, пароли, скриншоты
2. Установка вредоносной программы для удаленного управления RDPDoor
3. Установка BeTwinService -> Одновременное подключение нескольких пользователей
4. Установка MIPKO Employee Monitor - > Перехват деятельности пользователей
49
![Page 52: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/52.jpg)
Реальный случай. 21.04.2014 г.
50
![Page 53: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/53.jpg)
antiphishing.ru ПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
1 2 3
Форма для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Проект функционирует с 2012 года при участии специалистов CERT-GIB
Полученная информация немедленно направляется аналитикам CERT-GIB, которые оперативно обрабатывают поступающие обращения и принимают необходимые меры для нейтрализации вредоносных ресурсов
Социально ориентированный проект: после отправки заявки, пользователям предоставляется возможность поделиться информацией о проекте в соц. сетях
51
![Page 54: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/54.jpg)
Аналитика и внутренние расследования
![Page 55: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/55.jpg)
53
![Page 56: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/56.jpg)
54
![Page 57: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/57.jpg)
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Bot-Trek Cyber Intelligence (CI) — платформа, предоставляющая компаниям в режиме реального времени персонализированную аналитическую информацию для стратегического планирования, идентификации и оперативного реагирования на актуальные глобальные риски и угрозы безопасности
1 2 3
Оцениваются тысячи показателейизменения внешней киберсредыи их влияние
Коррелируя и собирая дополнительнуюинформацию, Bot-Trek CI предоставляетглобальную, секторальную и объектнуюаналитику по всевозможным видамвысокотехнологичных угроз
Обрабатывая огромные объемы сырыхданных, Bot-Trek CI предоставляетзаказчику только проверенную изначимую информацию, необходимуюдля принятия решений 55
![Page 58: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/58.jpg)
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Bot-Trek CI осуществляет исследование, обработку и корреляциюданных из множества закрытых и открытых источников
56
![Page 59: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/59.jpg)
Bot-Trek СI РАЗРАБОТКА И ВНЕДРЕНИЕ
СПЕЦИАЛИЗИРОВАННОГО
ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Group-IB использует собственные уникальныеразработки для сбора и корреляции данных
Каждый блок данных дополняет соседний, обеспечивая лучшее покрытие и уровень защиты
57
![Page 60: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/60.jpg)
КАК ЗАЩИТИТЬСЯ ОТ
ВРЕДОНОСНОГО ПО
58
![Page 61: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/61.jpg)
Как защититься от вредоносного ПО? Последние версии ОС Отслуживать новые уязвимости в ПО Антивирусное ПО Ограничение прав и привилегий под рабочей учетной записью Ограничение на количество попыток неправильного ввода пароля Многофакторная аутентификация Регулярная смена паролей на критичные ресурсы SRP (способ аутентификации, устойчивый к MitM) Автоматические обновления ОС, Flash, PDF-reader, Office, Java EMET Safe Browsing Проверка автозагрузки (Autoruns.exe) CrowdInspect Отслеживание сетевых соединений Межсетевой экран Проверка каталоге «Temp» BotTrack IDS IDS/IPS Обучение персонала Тесты на проникновение
59
![Page 62: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/62.jpg)
EMET
60
![Page 63: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/63.jpg)
EMET
61
![Page 64: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/64.jpg)
EMET
62
![Page 65: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/65.jpg)
63
![Page 66: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/66.jpg)
CrowdInspect
64
![Page 67: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/67.jpg)
Межсетевой экран ЗАПРЕТИТЬ даже соединения изнутри сети от
критичных областей к критичным
Сервера доступны только из VLAN администраторов
Закрыть лишние порты
Закрыть уязвимые порты
Белый/Черный список адресов
65
![Page 68: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/68.jpg)
BOT-TREK TDS
66
![Page 69: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/69.jpg)
BOT-TREK TDS
67
![Page 70: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/70.jpg)
BOT-TREK TDS
68
![Page 71: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/71.jpg)
BOT-TREK TDS
69
![Page 72: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/72.jpg)
BOT-TREK TDS
70
![Page 73: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/73.jpg)
BOT-TREK TDS
71
![Page 74: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/74.jpg)
КАК РЕАГИРОВАТЬ НА ИНЦИДЕНТ?
72
![Page 75: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/75.jpg)
Задачи первичного реагирования
Подтверждение или опровержение факта инцидента.
Корректный сбор информации об инциденте для дальнейшего расследования.
Обеспечение юридически грамотного оформления доказательств.
Создание правил правильного извлечения и обращения с доказательствами.
Минимизация степени последствий для бизнеса, репутации, материальных
потерь.
Возможность правового преследования причастных к инциденту лиц.
Получение рекомендаций по предотвращению эскалации последствий
инцидента, дальнейшей компрометации или хищения данных и т. д.
Выработка модели правильного реагирования на последующие инциденты, в
том числе быстрое выявление и/или предотвращение инцидентов в будущем
(посредством извлеченных уроков, изменений политик безопасности и т. д.).
«Не упустить и не пропустить!».73
![Page 76: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/76.jpg)
Первичное реагирование
Последовательность действий при реагировании на инцидент:
1. Связаться со специалистами2. Определить тип инцидента, а именно задействованные системы, компьютеры и
причастных людей3. Изолировать доступ всех лиц, кроме тех, чье участие необходимо, к выявленным
объектам4. Собрать всю возможную информацию, которая впоследствии передается на
исследование специалистам для установления причин и хода инцидента5. Задокументировать процесс сбора доказательств с указанием
идентификационной информации устройств, с которых информация снимается, а также самих данных
6. Закрыть брешь (отключить от сети, закрыть порт, выключить компьютер, обновить ПО, обновить правила политик безопасности и т. д.)
7. Оповестить нужных лиц8. Провести опрос задействованных лиц9. Восстановить штатную работу сети, компьютера, внешних сервисов и т. д.
(удалить вредоносное ПО, переустановить ОС, закрыть уязвимости, закрыть удаленный доступ к критичным элементам сети, смена паролей и т. д.)
10. Обратиться в правоохранительные органы при необходимости11. Дать рекомендации пострадавшим лицам, техническому отделу или иным
лицам, действия которых так или иначе могут повлиять на повторение инцидента74
![Page 77: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/77.jpg)
Сбор доказательной базы
1. Носитель компьютерной информации (или компьютер), задействованный в инциденте.
2. Оперативная память компьютера;
3. Сетевой трафик;
4. Отдельные файлы и каталоги;
5. Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, контроллера домена, антивирусных средств и др.;
6. Логи сетевого оборудования, IDS/IPS, DLP-систем;
7. Логи провайдера;
8. АТС, рабочие станции и серверы.
9. Интернет-сайты, данные интернет-сервисов
10. Системы слежения за пользователями
11. ПО для проверки целостности файлов в системе
12. Топология сети, способ выхода в сеть Интернет
13. Детализация IP-адресов и за что отвечает каждый серве
14. Результаты тестов на проникновение75
![Page 78: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/78.jpg)
Дополнительные источники доказательств
1. Записи с видеорегистратора
2. Журналы систем учета рабочего времени
3. Журналы систем управления доступом в помещение
4. Опрос сотрудников
5. Запись телефонных разговоров
Необязательно изымать из работы полностью компьютеры с установленными системами, достаточно сделать выгрузку
необходимых данных, записать на неперезаписываемый диск, упаковать, опечатать
76
![Page 79: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/79.jpg)
Снятие данных в присутствии независимых специалистов
Сопровождение документами о снятии данных
Запись данных с защитой от перезаписи
Соблюдение целостности данных на источниках информации
Опечатывание техники
Снятие криминалистических образов данных
Проверка контрольных сумм
Правила снятия доказательств
77
![Page 80: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/80.jpg)
К кому обращаться за данными?
Провайдер (блокировка трафика, получение логов) Регистраторы доменных имен Хостинг-провайдеры Разработчики ПО (о специфики работы ПО, определенных
событиях в логах, ложных срабатываниях на определенную сигнатуру атаки). Носит скорее уточняющий, а не ключевой характер в расследовании
Если использовалась уязвимость ПО, то ее разработчику стоит о ней сообщить.
Группы реагирования (CERT-GIB,), организации, которые заточены под реагирование и владеют дополнительными данными о злоумышленниках, имеют накопленные базы сведений, опыт и т. д.
Forum of Incident Response and Security Teams (FIRST), Government Forum of Incident Response and Security Teams (GFIRST), Anti-Phishing Working Group (APWG) не являются группами реагирования, но обеспечивают обмен информацией между группами реагирования. Затронутые стороны. Знаете об инциденте, знаете, что
пострадали или могут пострадать (скомпрометирована информация о них) др организации/лица, надо им сообщить.
78
![Page 81: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/81.jpg)
Источники доказательной базы (ИДБ)
Энергозависимые
Оперативная память компьютера
Перечень запущенных процессов Сведения о сетевых соединениях Пароли Расшифрованные файлы Ключи шифрования Буфер обмена Переписка Вредоносный код
Сетевой трафик
Временные журналы регистрации событий
79
![Page 82: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/82.jpg)
Создание дампа оперативной памяти
• AccessData FTK Imager (http://www.accessdata.com)
80
![Page 83: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/83.jpg)
Volatility
81
![Page 84: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/84.jpg)
Mandiant Redline
82
![Page 85: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/85.jpg)
RAWCAP (http://www.netresec.com/?page=RawCap)
TCPDUMP (WINDUMP) (http://www.tcpdump.org/)
TCPFLOW (http://www.forensicswiki.org/wiki/Tcpflow)
Wireshark (http://www.wireshark.org/download.html)
Извлечение дампа сетевого трафика (утилиты)
83
![Page 86: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/86.jpg)
Анализ трафика
84
![Page 87: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/87.jpg)
Источники доказательной базы
(Энергонезависимые источники)
Накопители на жестких магнитных дисках (НЖМД);
Накопители на гибких магнитных дисках (НГМД);
Отдельные файлы и каталоги;
АТС, рабочие станции и серверы.
Интернет-сайты, данные интернет-сервисов
Журналы систем протоколирования, ОС, межсетевых экранов, прокси-серверов, антивирусных средств и др.;
Логи сетевого оборудования, IDS/IPS, DLP-систем;
Логи провайдера;
Содержимое оптических дисков и накопителей на основе флеш-памяти;
Мобильные телефоны, планшетные ЭВМ, КПК и т.п.
и т. д.
Все временно!85
![Page 88: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/88.jpg)
Правовой аспект
Обеспечение сохранности и применение неразрушающих методов копирования компьютерной информации
статья 57 Уголовно-процессуального кодекса РФ:
«эксперт не вправе… проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов
либо изменение их внешнего вида или основных свойств»
86
![Page 89: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/89.jpg)
Ошибки реагирования на инцидент1. Антивирусная проверка файловых систем носителей
информации ЭВМ
Приводит к изменению временных меток файлов вредоносныхпрограмм, перемещению или удалению файлов вредоносныхпрограмм
2. Переустановка операционных систем ЭВМ
Приводит к удалению файлов вредоносных программ, следов ихработы, системных журналов и усложняет расследование инцидентаза счет необходимости восстановления данных.
3. Продолжение работы пользователей с ЭВМ, имеющимиотношение к инциденту
Дает возможность злоумышленнику удалить следы собственнойактивности, будут затерты удаленные данные.
87
![Page 90: Z g dью l j gы i j k l m i e g b c · CERT-GIB ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 20+ 30+ 100+ K H L J M > G B D H](https://reader035.vdocuments.site/reader035/viewer/2022071006/5fc3787a900114143d540056/html5/thumbnails/90.jpg)
+7 (495) 984 33 64 www.group-ib.ru [email protected]
facebook.com/groupib twitter.com/groupib
youtube.com/groupib linkedin.com/company/group-ib
+7 (495) 984-33-64 доб[email protected]
Веста Матвеева
88