Рубрика «incident response»

в 8:16, , рубрики: clickfix, DFIR, Emmenhtal, fileless malware, incident response, malware analysis, threat hunting, YARA, банковский троян, форензика

Реальный кейс: ClickFix → Emmenhtal → банковский троян → Telegram C2. 23 бот-токена, веб-инжекты Bank of America, SMS-граббер — и всё это найдено после переустановки Windows.

Вступление

В конце февраля 2026 года к нам обратилась организация с подозрением на компрометацию рабочей станции бухгалтера. Сценарий знакомый: на экране появился фейковый экран «Обновление Windows», а параллельно в интернет-банке проводились несанкционированные операции.

Но был нюанс, превративший рядовой IR-кейс в форензик-археологию:

Администратор переустановил Windows до снятия forensic-образа. Затем пользователь в тот же деньЧитать полностью »

в 14:47, , рубрики: forensics, incident response, information security, Блог компании BI.ZONE, информационная безопасность, расследование, реагирование на инциденты, форензика

С чего все началось

30 апреля в 14:34 (мск) в телеграм-канале DumpForums опубликовали пост, в котором объявили о том, что «недавно была взломана компания bi.zone». К посту были прикреплены скриншоты с фрагментами конфигурационных файлов, SQL-дампов с персональными данными и перечнем конфиг-файлов с именами наших подсайтов.

Скриншот из поста в телеграм-канале DumpForums

Скриншот из поста в телеграм-канале DumpForums

Читать полностью »

в 10:55, , рубрики: incident response, mysql, proxysql, Администрирование баз данных, Блог компании Туту.ру, выходные шрёдингера, отказоустойчивость, Серверное администрирование

Этот день — яркий пример того, как несколько вещей, которые сами по себе не приводят к отказу, могут удачно совпасть. Итак, 23 апреля было совершенно обычным днём, с обычным трафиком и обычной загрузкой ресурсов. Как обычно, с запасом больше трети, чтобы при потере любого из ЦОДов пережить это без проблем. Никто не думал, что к серверному мониторингу нужно прикручивать ещё мониторинг того, что говорит президент на прямой линии, поэтому дальше случилось вот что:

Как новость про +4 выходных дня уронила нам базу данных - 1

Примерно в 13:30 у нас резко подскочила нагрузка на поиск по авиации и по железнодорожным билетам. Где-то в этот момент РЖД сообщила о перебоях на сайте и в приложении, а мы начали экстренно наливать дополнительные инстансы бекендов во всех ЦОДах.

Но на самом деле проблемы начались раньше. Примерно в 8 утра мониторинг прислал алерт про то, что на одной из реплик базы данных у нас что-то подозрительно много долгоживущих процессов. Но мы это прошляпили, сочли не очень важным.
Читать полностью »

в 19:57, , рубрики: Cisco, incident response, nta, stealthwatch, threat hunting, Блог компании Cisco, информационная безопасность, расследование инцидентов

Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.Читать полностью »

в 10:59, , рубрики: forensic, incident response, антивирусная защита, Блог компании Ростелеком-Solar, информационная безопасность, логи Windows, расследование инцидентов, системное администрирование, форенсика

Можно ли полностью защититься от кибератак? Наверное, можно, если окружить себя всеми существующими средствами защиты и нанять огромную команду экспертов управлять процессами. Однако понятно, что в реальности это невозможно: бюджет на информационную безопасность не бесконечный, и инциденты все же будут происходить. А раз они будут происходить, значит, к ним нужно готовиться!

В этой статье мы поделимся типовыми сценариями расследования инцидентов, связанных с вредоносным ПО, расскажем, что искать в логах, и дадим технические рекомендации в отношении того, как настроить средства защиты информации, чтобы повысить шансы на успех расследования.

Готовимся к расследованию инцидентов - 1
Читать полностью »

в 11:54, , рубрики: incident response, IT-стандарты, NIST, scirt, SoC, solar jsoc, Блог компании Ростелеком-Solar, информационная безопасность, реагирование на инциденты, Терминология IT

Вы замечали, как любая рыночная ниша, став популярной, привлекает маркетологов от информационной безопасности, торгующих страхом? Они убеждают вас, что, случись кибератака, компания не сможет самостоятельно справиться ни с одной из задач по реагированию на инцидент. И тут, конечно, появляется добрый волшебник – сервис-провайдер, который за определенную сумму готов избавить заказчика от любых хлопот и необходимости принимать какие-либо решения. Рассказываем, почему такой подход может быть опасен не только для кошелька, но и для уровня защищенности компании, какую практическую пользу может принести вовлечение сервис-провайдера и какие решения должны всегда оставаться в зоне ответственности заказчика.

Управление инцидентами: «отдать нельзя оставить» или искусство расстановки запятых - 1
Читать полностью »

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js