Post on 31-Aug-2019
Особенности современной форензики
киберпреступлений
Расследование
киберпреступлений
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
СЕТЕВЫЕ АТАКИ
ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ
DDOS-АТАКИ
ВЗЛОМ IP-ТЕЛЕФОНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)
СЕТЕВОЙ ШАНТАЖ /
ВЫМОГАТЕЛЬСТВО
ЦЕЛЕВЫЕ АТАКИ /
ПРОМЫШЛЕННЫЙ ШПИОНАЖ
ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ
«ПРОСЛУШКА» СЕТЕВЫХ
КАНАЛОВ СВЯЗИ
УСТАНОВКА ПРОГРАММНЫХ
ЗАКЛАДОК
ОРГАНИЗАЦИЯ ЦИФРОВЫХ
«ЧЕРНЫХ ВХОДОВ»
САБОТАЖ И ИНСАЙД
УТЕЧКИ ИНФОРМАЦИИ
УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
МАНИПУЛЯЦИЯ ДАННЫМИ
С ЦЕЛЬЮ МОШЕННИЧЕСТВА
БЛОКИРОВАНИЕ ДОСТУПА
ЭКОНОМИЧЕСКИЕ
ПРЕСТУПЛЕНИЯ
МОШЕННИЧЕСТВО
С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ
ТЕХНОЛОГИЙ
ВЫМОГАТЕЛЬСТВО,
РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ
ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ
ТОВАРНОГО ЗНАКА И БРЕНДА
РАССЛЕДОВАНИЕ
КИБЕРПРЕСТУПЛЕНИЙ
2
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Сбор цифровыхдоказательств
Проведение криминалистического исследования
Экспресс-криминалистика
Участие специалистовв оперативно-розыскныхмероприятиях
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства
Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве
Проведениекриминалистическихисследований в сжатые сроки
Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий
3
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Исследование вредоносныхпрограмм
Сравнение исходных кодов и программныхпродуктов
Исследованиемобильных устройств
Аутсорсинг услуг
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Определение функциональных возможностей исполняемых файлов, установление сетевых адресов. Разбор и дешифрация файлов конфигурации и иных служебных данных
Проведение компьютерных исследований современного плагиата в области ИТ
Проведение исследований мобильных устройств на логическом и физическом уровнях, а также на уровне файловой системы
Объединение услуг в комплексе, что позволяет эффективно управлять инцидентами и минимизировать временные и финансовые затраты на них
4
ПРИМЕРЫ
РАССЛЕДОВАНИЙ
5
Киберпреступня иерархия:
6
Структура типичной мошеннической группы на примере группы Carberp, ликвидированной в марте 2012 года.
П
GizmoЛидер группы,создатель бот-сети
ПрограммистАвтор вредоносной программы Carberp
Т ТраферВзламывыл популярные сайты и незаметно перенаправлял их посетителей на вредоносные ресурсы.Среди взломанных были www.rzd.ru, www.ikea.ru, www.kp.ru, www.mk.ru, www.klerk.ru, www.glavbukh.ru и д.р.
Руководитель обналаОбеспечивал группу пластиковыми картами, банковскими счетами для перевода денежных средств.
Поставщики пластиковых карт и счетов в банкахЗанимаются продажей пластиковых карт и банковских счетов,оформленных на подставных лиц
ПКД ДропыЛюди, которые снимали деньги через банкомата или в банке
РЗ Руководитель заливщиковКоординировал заливщиков, выдавал им реквизиты для перевода похищенных средств
З ЗаливщикиПолучив чужие логины/пароли,выводили деньги со счетов
G
РО
Примеры
расследований:
Группа Carberp
1 2 3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
7
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
8
Примеры
расследований:
BlackHole (Paunch)
9
1 2 3
Paunch - создатель связки эксплоитов BlackHole и Cool Exploit Kit, а также сервиса анонимных антивирусных проверок файлов Crypt.am
40% заражений в мире происходило с использованием инструментов Paunch’а
Первый в российской правоохранительной практике случай задержания автора связок эксплоитов, как участника процесса хищения
ПРИМЕРЫ
КИБЕРПРЕСТУПЛЕНИЙ
10
1. Мошенничество в системах ДБО
2. Мошенничество с использованием смс-банкинга с зараженных смартфонов
3. Заражение банкоматов вредоносным ПО
4. Взлом банковских систем, целевые атаки
5. Взлом корпоративных сетей с целью дальнейшей монетизации
Этапы работы мошенников
Покупка вредоносного ПО
Шифрование исполняемых файлов
Аренда серверов для управления бот сетью
Покупка трафика в определенных регионах РФ
Отправка платежных поручений
Вывод и легализация денежных средств
Способы «обналичивания» средств
Вывод на юридическое лицо
Регистрация юридического
лица
…
Оформление счета в банке
Перевод денег на счет компании
Перевод на карту/карты для обналичивания
Вывод на физическое лицо
Оформление банковской карты
Поиск человека (дропа)
Перевод денег на карту
Обналичивание с карты
Прибыль злоумышленников
УПРАВЛЯЮЩИЕ
ЦЕНТРЫ БОТ-СЕТЕЙ
15
16
Панель администратора «BlackHole»
17
Панель администратора «Carberp»
18
Стоимость:Вредоносное программное обеспечение: от 3 000$ - 10 000$Шифрование исполняемых файлов: от 20 – 30$Анонимный хостинг: 250$Покупка траффика: 900$ - 3 000$
Средняя цена: 8 000$ – 10 000$
РЕАГИРОВАНИЕ
НА ИНЦИДЕНТ
19
Реагирование на инцидент
Создание физических или логических копий содержимого накопителей
21
Реагирование на инцидент
Создание дампа оперативной памяти
• Processes• Drivers• Kernel Modules• Socket Information• Passwords• Crypto Passphrases• Decrypted files• Execution order• Execution state• Configuration Information• Clipboard material• Logged Users
• Network Driver Buffers• Open Files• Unsaved documents• Live Registry• Vídeo Buffers • BIOS Memory• VOIP Calls• Malicious Code• IM Chats
• Rootkits footprint
22
Реагирование на инцидент
Создание физических или логических копий содержимого памяти мобильных устройств
Основные контр-криминалистические меры
1. Шифрование. Всего накопителя, либо хранение на накопителе криптоконтейнеров;
2. Разрушение носителей информации;
3. Хранение информации в облачных сервисах;
4. Удаленное управление с целью уничтожения информации;
5. Сокрытие серверов и рабочих станций.
Нетипичные источники сведений
1. Хранения данные на серверах расположенных удаленно. (Другой офис, хостинг центр, DropBox).
2. Мобильные устройства – телефоны, планшеты, фотоаппараты, навигаторы, плееры.
3. Видеорегистраторы, сетевое оборудование (маршрутизаторы, коммутаторы, точки доступа, межсетевые экраны).
НОВШЕСТВА В СХЕМАХ
МОШЕННИЧЕСТВА
25
96%3% >1%
26
Мобильное ВПО. Статистика
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. СМС с текстом «Для Bас [1] рoмантический пoдарoк! Пpocмотр: http://vk.cc/1USKZa».
3. Вредоносная программа обладает функционалом для отправки и скрытия SMS, получения команд с сетевого адреса, установки приложений.
4. Вывод денег с привязанных к телефонному номеру карт.
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. Обновление плеера Adobe Flash ( официально под ANDROID OSотсутствует) (http://download-flashplayer.ru/FlashPlayerUpdate.apk)
3. Вредоносная программа обладает функционалом для скрытия SMS, отображения оповещения при нажатии на которое осуществляется открытие произвольно сетевого адреса.
4. http://promo.client-ХХХ.ru/client/promo/bm/ - передача данных банковской карты клиента (фишинг).
Криптолокер [Ransom.EXE]
This is definitely not a 1024 bits key! The number has 128 digits, which could indicate a (big) mistake from the malware author, who wanted to generate a 128 bytes key.
Once decoded, the key translates to the following number:31298847196625400639506938637161930162789011464295952600544145829335849533528834917800088971765784757175491347320005860302574523
30
Использование систем анонимизации
Использование крипто-валюты
31
Граббер
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS.3. Перехват треков и пинов, запись их в зашифрованном виде в скрытый поток NTFS.4. Копирование данных на чип определенной карты, удаление вируса и следов работы после
чтения определенной карты.
Диспенсер
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Активация посредством специальной карты.
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
32
Заражение POS-терминалов
Dump Memory Grabber [vSkimmer]
ПРОВЕДЕНИЕ
ИССЛЕДОВАНИЯ
33
Timeline:
35
Volatility Forensics
+7 (495) 984-33-64 доб.005nikitin@group-ib.ru
Сергей Никитин
36
+7 (495) 984-33-64 www.group-ib.ru info@group-ib.ru
facebook.com/group-ib twitter.com/group-ib
37