j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов...
TRANSCRIPT
![Page 1: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/1.jpg)
Особенности современной форензики
киберпреступлений
![Page 2: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/2.jpg)
Расследование
киберпреступлений
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
СЕТЕВЫЕ АТАКИ
ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ
DDOS-АТАКИ
ВЗЛОМ IP-ТЕЛЕФОНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)
СЕТЕВОЙ ШАНТАЖ /
ВЫМОГАТЕЛЬСТВО
ЦЕЛЕВЫЕ АТАКИ /
ПРОМЫШЛЕННЫЙ ШПИОНАЖ
ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ
«ПРОСЛУШКА» СЕТЕВЫХ
КАНАЛОВ СВЯЗИ
УСТАНОВКА ПРОГРАММНЫХ
ЗАКЛАДОК
ОРГАНИЗАЦИЯ ЦИФРОВЫХ
«ЧЕРНЫХ ВХОДОВ»
САБОТАЖ И ИНСАЙД
УТЕЧКИ ИНФОРМАЦИИ
УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
МАНИПУЛЯЦИЯ ДАННЫМИ
С ЦЕЛЬЮ МОШЕННИЧЕСТВА
БЛОКИРОВАНИЕ ДОСТУПА
ЭКОНОМИЧЕСКИЕ
ПРЕСТУПЛЕНИЯ
МОШЕННИЧЕСТВО
С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ
ТЕХНОЛОГИЙ
ВЫМОГАТЕЛЬСТВО,
РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ
ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ
ТОВАРНОГО ЗНАКА И БРЕНДА
РАССЛЕДОВАНИЕ
КИБЕРПРЕСТУПЛЕНИЙ
2
![Page 3: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/3.jpg)
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Сбор цифровыхдоказательств
Проведение криминалистического исследования
Экспресс-криминалистика
Участие специалистовв оперативно-розыскныхмероприятиях
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства
Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве
Проведениекриминалистическихисследований в сжатые сроки
Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий
3
![Page 4: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/4.jpg)
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Исследование вредоносныхпрограмм
Сравнение исходных кодов и программныхпродуктов
Исследованиемобильных устройств
Аутсорсинг услуг
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Определение функциональных возможностей исполняемых файлов, установление сетевых адресов. Разбор и дешифрация файлов конфигурации и иных служебных данных
Проведение компьютерных исследований современного плагиата в области ИТ
Проведение исследований мобильных устройств на логическом и физическом уровнях, а также на уровне файловой системы
Объединение услуг в комплексе, что позволяет эффективно управлять инцидентами и минимизировать временные и финансовые затраты на них
4
![Page 5: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/5.jpg)
ПРИМЕРЫ
РАССЛЕДОВАНИЙ
5
![Page 6: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/6.jpg)
Киберпреступня иерархия:
6
Структура типичной мошеннической группы на примере группы Carberp, ликвидированной в марте 2012 года.
П
GizmoЛидер группы,создатель бот-сети
ПрограммистАвтор вредоносной программы Carberp
Т ТраферВзламывыл популярные сайты и незаметно перенаправлял их посетителей на вредоносные ресурсы.Среди взломанных были www.rzd.ru, www.ikea.ru, www.kp.ru, www.mk.ru, www.klerk.ru, www.glavbukh.ru и д.р.
Руководитель обналаОбеспечивал группу пластиковыми картами, банковскими счетами для перевода денежных средств.
Поставщики пластиковых карт и счетов в банкахЗанимаются продажей пластиковых карт и банковских счетов,оформленных на подставных лиц
ПКД ДропыЛюди, которые снимали деньги через банкомата или в банке
РЗ Руководитель заливщиковКоординировал заливщиков, выдавал им реквизиты для перевода похищенных средств
З ЗаливщикиПолучив чужие логины/пароли,выводили деньги со счетов
G
РО
![Page 7: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/7.jpg)
Примеры
расследований:
Группа Carberp
1 2 3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
7
![Page 8: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/8.jpg)
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
8
![Page 9: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/9.jpg)
Примеры
расследований:
BlackHole (Paunch)
9
1 2 3
Paunch - создатель связки эксплоитов BlackHole и Cool Exploit Kit, а также сервиса анонимных антивирусных проверок файлов Crypt.am
40% заражений в мире происходило с использованием инструментов Paunch’а
Первый в российской правоохранительной практике случай задержания автора связок эксплоитов, как участника процесса хищения
![Page 10: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/10.jpg)
ПРИМЕРЫ
КИБЕРПРЕСТУПЛЕНИЙ
10
![Page 11: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/11.jpg)
1. Мошенничество в системах ДБО
2. Мошенничество с использованием смс-банкинга с зараженных смартфонов
3. Заражение банкоматов вредоносным ПО
4. Взлом банковских систем, целевые атаки
5. Взлом корпоративных сетей с целью дальнейшей монетизации
![Page 12: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/12.jpg)
Этапы работы мошенников
Покупка вредоносного ПО
Шифрование исполняемых файлов
Аренда серверов для управления бот сетью
Покупка трафика в определенных регионах РФ
Отправка платежных поручений
Вывод и легализация денежных средств
![Page 13: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/13.jpg)
Способы «обналичивания» средств
Вывод на юридическое лицо
Регистрация юридического
лица
…
Оформление счета в банке
Перевод денег на счет компании
Перевод на карту/карты для обналичивания
Вывод на физическое лицо
Оформление банковской карты
Поиск человека (дропа)
Перевод денег на карту
Обналичивание с карты
![Page 14: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/14.jpg)
Прибыль злоумышленников
![Page 15: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/15.jpg)
УПРАВЛЯЮЩИЕ
ЦЕНТРЫ БОТ-СЕТЕЙ
15
![Page 16: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/16.jpg)
16
Панель администратора «BlackHole»
![Page 17: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/17.jpg)
17
Панель администратора «Carberp»
![Page 18: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/18.jpg)
18
Стоимость:Вредоносное программное обеспечение: от 3 000$ - 10 000$Шифрование исполняемых файлов: от 20 – 30$Анонимный хостинг: 250$Покупка траффика: 900$ - 3 000$
Средняя цена: 8 000$ – 10 000$
![Page 19: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/19.jpg)
РЕАГИРОВАНИЕ
НА ИНЦИДЕНТ
19
![Page 20: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/20.jpg)
Реагирование на инцидент
Создание физических или логических копий содержимого накопителей
![Page 21: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/21.jpg)
21
Реагирование на инцидент
Создание дампа оперативной памяти
• Processes• Drivers• Kernel Modules• Socket Information• Passwords• Crypto Passphrases• Decrypted files• Execution order• Execution state• Configuration Information• Clipboard material• Logged Users
• Network Driver Buffers• Open Files• Unsaved documents• Live Registry• Vídeo Buffers • BIOS Memory• VOIP Calls• Malicious Code• IM Chats
• Rootkits footprint
![Page 22: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/22.jpg)
22
Реагирование на инцидент
Создание физических или логических копий содержимого памяти мобильных устройств
![Page 23: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/23.jpg)
Основные контр-криминалистические меры
1. Шифрование. Всего накопителя, либо хранение на накопителе криптоконтейнеров;
2. Разрушение носителей информации;
3. Хранение информации в облачных сервисах;
4. Удаленное управление с целью уничтожения информации;
5. Сокрытие серверов и рабочих станций.
![Page 24: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/24.jpg)
Нетипичные источники сведений
1. Хранения данные на серверах расположенных удаленно. (Другой офис, хостинг центр, DropBox).
2. Мобильные устройства – телефоны, планшеты, фотоаппараты, навигаторы, плееры.
3. Видеорегистраторы, сетевое оборудование (маршрутизаторы, коммутаторы, точки доступа, межсетевые экраны).
![Page 25: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/25.jpg)
НОВШЕСТВА В СХЕМАХ
МОШЕННИЧЕСТВА
25
![Page 26: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/26.jpg)
96%3% >1%
26
Мобильное ВПО. Статистика
![Page 27: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/27.jpg)
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. СМС с текстом «Для Bас [1] рoмантический пoдарoк! Пpocмотр: http://vk.cc/1USKZa».
3. Вредоносная программа обладает функционалом для отправки и скрытия SMS, получения команд с сетевого адреса, установки приложений.
4. Вывод денег с привязанных к телефонному номеру карт.
![Page 28: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/28.jpg)
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. Обновление плеера Adobe Flash ( официально под ANDROID OSотсутствует) (http://download-flashplayer.ru/FlashPlayerUpdate.apk)
3. Вредоносная программа обладает функционалом для скрытия SMS, отображения оповещения при нажатии на которое осуществляется открытие произвольно сетевого адреса.
4. http://promo.client-ХХХ.ru/client/promo/bm/ - передача данных банковской карты клиента (фишинг).
![Page 29: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/29.jpg)
Криптолокер [Ransom.EXE]
This is definitely not a 1024 bits key! The number has 128 digits, which could indicate a (big) mistake from the malware author, who wanted to generate a 128 bytes key.
Once decoded, the key translates to the following number:31298847196625400639506938637161930162789011464295952600544145829335849533528834917800088971765784757175491347320005860302574523
![Page 30: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/30.jpg)
30
Использование систем анонимизации
Использование крипто-валюты
![Page 31: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/31.jpg)
31
Граббер
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS.3. Перехват треков и пинов, запись их в зашифрованном виде в скрытый поток NTFS.4. Копирование данных на чип определенной карты, удаление вируса и следов работы после
чтения определенной карты.
Диспенсер
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Активация посредством специальной карты.
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
![Page 32: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/32.jpg)
32
Заражение POS-терминалов
Dump Memory Grabber [vSkimmer]
![Page 33: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/33.jpg)
ПРОВЕДЕНИЕ
ИССЛЕДОВАНИЯ
33
![Page 34: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/34.jpg)
Timeline:
![Page 35: j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов для управления бот сетью Покупка трафика в определенных](https://reader030.vdocuments.net/reader030/viewer/2022040106/5dd13256d6be591ccb64af70/html5/thumbnails/35.jpg)
35
Volatility Forensics