Рубрика «расследование инцидентов»

в 13:20, , рубрики: DFIR, информационная безопасность, расследование инцидентов, реагирование на инциденты

В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту.

В сегодняшей статье расследуем атаку, используя дамп сетевой трафик, дамп оперативной памяти атакованного хоста, а также изучим образец ВПО.

Введение

А теперь немного подробнее, что вас ждёт далее.

Данная статья в своей сути является прохождением лаборатории Lockdown Lab на платформе CyberDefendersЧитать полностью »

в 5:34, , рубрики: SoC, расследование инцидентов

в 9:15, , рубрики: blue team, ransomware, SoC, windwos, информационная безопасность, расследование инцидентов
Цифровые раскопки - 1

Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows-хостах.

Предыстория

С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic).

Читать полностью »

в 10:15, , рубрики: анализ логов, защита данных, информационная безопасность, логи, расследование инцидентов, целостность данных

Логи — это черный ящик информационной системы. Когда что-то идет не так, все надежды на него: что там записалось, как все было на самом деле. В теории звучит красиво. А на практике…

Недавно был случай – назовем клиента «Pypkin Corp», крупное производство, куча компов, серверов. Расследование рядового, на первый взгляд, инцидента превратилось в марафон с препятствиями, где главным врагом был не хакер, а собственная система записи событий. История поучительная, поэтому делюсь (изменив детали, конечно).

«У нас тут что-то странное!»

Читать полностью »

в 9:10, , рубрики: G-Socket, Sliver, SoC, инструменты для атак на Linux, инструменты для атак на Windows, инструменты хакеров, кибератаки в 2024, разведка угроз, расследование инцидентов, реагирование на инциденты
Инструменты атакующих в 2023–2024 годах - 1

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Запись выступления можно посмотреть Читать полностью »

в 9:50, , рубрики: арбитраж, АЭС, Блог компании Timeweb Cloud, инженерные системы, ошибки в коде, расследование инцидентов, США, технологии, Читальный зал, Энергия и элементы питания
Иногда аварии, чтобы она запомнилась надолго, не надо быть техногенкой с кучей жертв. Именно так случилось в январе 2012 года, когда на калифорнийской АЭС Сан-Онофре произошла утечка радиоактивной воды из первого контура в парогенераторе. Авария неприятная, но она не привела к значимому повышению радиационного фона и если бы не её косвенные последствия, то прошла бы в отчётах МАГАТЭ и NRC (американский атомный регулятор), как незначительное происшествие. Проблема была в том, что устранить её быстро было невозможно, а без парогенератора энергоблок требовалось отправить в простой. И это лишь начало истории.

Ошибка в коде, стоившая целой АЭС - 1
Читать полностью »

в 9:00, , рубрики: forensic analysis, forensics, open source, Блог компании Бастион, инструменты, информационная безопасность, компьютерная криминалистика, криминалистика, расследование, расследование инцедентов иб, расследование инцидентов, сбор данных, Софт, форензика
70+ бесплатных инструментов для компьютерной криминалистики (форензики) - 1

Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.

Читать полностью »

в 8:00, , рубрики: Блог компании ДомКлик, информационная безопасность, история, расследование инцидентов, сотовая связь, Читальный зал
Кто читает ваши SMS - 1

Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.

Добро пожаловать под кат, далее будет небольшая история.

Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональные данные и получает решение по кредиту. Упрощенная архитектура выглядит так:

Читать полностью »

в 13:22, , рубрики: cybercriminalistics, reverse engineering, информационная безопасность, Исследования и прогнозы в IT, киберкриминалистика, компьютерная безопасность, компьютерная криминалистика, расследование инцидентов, реагирование на инциденты, реверс-инжиниринг

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста - 1

В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать полностью »

в 19:57, , рубрики: Cisco, incident response, nta, stealthwatch, threat hunting, Блог компании Cisco, информационная безопасность, расследование инцидентов

Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js