j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов...
37
Особенности современной форензики киберпреступлений
Transcript of j n h j g a b d b d b [ j i j k l m i e g b c - bis-expert.ru · Аренда серверов...
Особенности современной форензики
киберпреступлений
Расследование
киберпреступлений
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
СЕТЕВЫЕ АТАКИ
ХИЩЕНИЕ В ИНТЕРНЕТ-БАНКИНГЕ
DDOS-АТАКИ
ВЗЛОМ IP-ТЕЛЕФОНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
(ВЕБ-САЙТ / БД / СЕРВЕР / ПОЧТА)
СЕТЕВОЙ ШАНТАЖ /
ВЫМОГАТЕЛЬСТВО
ЦЕЛЕВЫЕ АТАКИ /
ПРОМЫШЛЕННЫЙ ШПИОНАЖ
ЦЕЛЕВЫЕ ВИРУСНЫЕ АТАКИ
«ПРОСЛУШКА» СЕТЕВЫХ
КАНАЛОВ СВЯЗИ
УСТАНОВКА ПРОГРАММНЫХ
ЗАКЛАДОК
ОРГАНИЗАЦИЯ ЦИФРОВЫХ
«ЧЕРНЫХ ВХОДОВ»
САБОТАЖ И ИНСАЙД
УТЕЧКИ ИНФОРМАЦИИ
УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
МАНИПУЛЯЦИЯ ДАННЫМИ
С ЦЕЛЬЮ МОШЕННИЧЕСТВА
БЛОКИРОВАНИЕ ДОСТУПА
ЭКОНОМИЧЕСКИЕ
ПРЕСТУПЛЕНИЯ
МОШЕННИЧЕСТВО
С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ
ТЕХНОЛОГИЙ
ВЫМОГАТЕЛЬСТВО,
РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ
ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ
ТОВАРНОГО ЗНАКА И БРЕНДА
РАССЛЕДОВАНИЕ
КИБЕРПРЕСТУПЛЕНИЙ
2
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Сбор цифровыхдоказательств
Проведение криминалистического исследования
Экспресс-криминалистика
Участие специалистовв оперативно-розыскныхмероприятиях
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Сбор сведений об инцидентеи определение источниковхранения доказательнойинформации по инциденту,их сохранение и оформление в соответствии с нормамигосударственного законодательства
Для разбора инцидента,получения и закреплениядоказательств, являющихсядопустимыми в судебномразбирательстве
Проведениекриминалистическихисследований в сжатые сроки
Минимизация рисков уничтожения доказательств в случае неквалифицированных действий, а также обеспечение должного правового статуса технических мероприятий
3
Компьютерная
криминалистика
и исследование
вредоносного кода
1 2 3 4
Исследование вредоносныхпрограмм
Сравнение исходных кодов и программныхпродуктов
Исследованиемобильных устройств
Аутсорсинг услуг
КОМПЬЮТЕРНАЯ
КРИМИНАЛИСТИКА
И РАССЛЕДОВАНИЕ
Определение функциональных возможностей исполняемых файлов, установление сетевых адресов. Разбор и дешифрация файлов конфигурации и иных служебных данных
Проведение компьютерных исследований современного плагиата в области ИТ
Проведение исследований мобильных устройств на логическом и физическом уровнях, а также на уровне файловой системы
Объединение услуг в комплексе, что позволяет эффективно управлять инцидентами и минимизировать временные и финансовые затраты на них
4
ПРИМЕРЫ
РАССЛЕДОВАНИЙ
5
Киберпреступня иерархия:
6
Структура типичной мошеннической группы на примере группы Carberp, ликвидированной в марте 2012 года.
П
GizmoЛидер группы,создатель бот-сети
ПрограммистАвтор вредоносной программы Carberp
Т ТраферВзламывыл популярные сайты и незаметно перенаправлял их посетителей на вредоносные ресурсы.Среди взломанных были www.rzd.ru, www.ikea.ru, www.kp.ru, www.mk.ru, www.klerk.ru, www.glavbukh.ru и д.р.
Руководитель обналаОбеспечивал группу пластиковыми картами, банковскими счетами для перевода денежных средств.
Поставщики пластиковых карт и счетов в банкахЗанимаются продажей пластиковых карт и банковских счетов,оформленных на подставных лиц
ПКД ДропыЛюди, которые снимали деньги через банкомата или в банке
РЗ Руководитель заливщиковКоординировал заливщиков, выдавал им реквизиты для перевода похищенных средств
З ЗаливщикиПолучив чужие логины/пароли,выводили деньги со счетов
G
РО
Примеры
расследований:
Группа Carberp
1 2 3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
7
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
8
Примеры
расследований:
BlackHole (Paunch)
9
1 2 3
Paunch - создатель связки эксплоитов BlackHole и Cool Exploit Kit, а также сервиса анонимных антивирусных проверок файлов Crypt.am
40% заражений в мире происходило с использованием инструментов Paunch’а
Первый в российской правоохранительной практике случай задержания автора связок эксплоитов, как участника процесса хищения
ПРИМЕРЫ
КИБЕРПРЕСТУПЛЕНИЙ
10
1. Мошенничество в системах ДБО
2. Мошенничество с использованием смс-банкинга с зараженных смартфонов
3. Заражение банкоматов вредоносным ПО
4. Взлом банковских систем, целевые атаки
5. Взлом корпоративных сетей с целью дальнейшей монетизации
Этапы работы мошенников
Покупка вредоносного ПО
Шифрование исполняемых файлов
Аренда серверов для управления бот сетью
Покупка трафика в определенных регионах РФ
Отправка платежных поручений
Вывод и легализация денежных средств
Способы «обналичивания» средств
Вывод на юридическое лицо
Регистрация юридического
лица
…
Оформление счета в банке
Перевод денег на счет компании
Перевод на карту/карты для обналичивания
Вывод на физическое лицо
Оформление банковской карты
Поиск человека (дропа)
Перевод денег на карту
Обналичивание с карты
Прибыль злоумышленников
УПРАВЛЯЮЩИЕ
ЦЕНТРЫ БОТ-СЕТЕЙ
15
16
Панель администратора «BlackHole»
17
Панель администратора «Carberp»
18
Стоимость:Вредоносное программное обеспечение: от 3 000$ - 10 000$Шифрование исполняемых файлов: от 20 – 30$Анонимный хостинг: 250$Покупка траффика: 900$ - 3 000$
Средняя цена: 8 000$ – 10 000$
РЕАГИРОВАНИЕ
НА ИНЦИДЕНТ
19
Реагирование на инцидент
Создание физических или логических копий содержимого накопителей
21
Реагирование на инцидент
Создание дампа оперативной памяти
• Processes• Drivers• Kernel Modules• Socket Information• Passwords• Crypto Passphrases• Decrypted files• Execution order• Execution state• Configuration Information• Clipboard material• Logged Users
• Network Driver Buffers• Open Files• Unsaved documents• Live Registry• Vídeo Buffers • BIOS Memory• VOIP Calls• Malicious Code• IM Chats
• Rootkits footprint
22
Реагирование на инцидент
Создание физических или логических копий содержимого памяти мобильных устройств
Основные контр-криминалистические меры
1. Шифрование. Всего накопителя, либо хранение на накопителе криптоконтейнеров;
2. Разрушение носителей информации;
3. Хранение информации в облачных сервисах;
4. Удаленное управление с целью уничтожения информации;
5. Сокрытие серверов и рабочих станций.
Нетипичные источники сведений
1. Хранения данные на серверах расположенных удаленно. (Другой офис, хостинг центр, DropBox).
2. Мобильные устройства – телефоны, планшеты, фотоаппараты, навигаторы, плееры.
3. Видеорегистраторы, сетевое оборудование (маршрутизаторы, коммутаторы, точки доступа, межсетевые экраны).
НОВШЕСТВА В СХЕМАХ
МОШЕННИЧЕСТВА
25
96%3% >1%
26
Мобильное ВПО. Статистика
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. СМС с текстом «Для Bас [1] рoмантический пoдарoк! Пpocмотр: http://vk.cc/1USKZa».
3. Вредоносная программа обладает функционалом для отправки и скрытия SMS, получения команд с сетевого адреса, установки приложений.
4. Вывод денег с привязанных к телефонному номеру карт.
СМС-Трояны
1. ANDROID OS с разрешением установки приложений из неизвестных источников.
2. Обновление плеера Adobe Flash ( официально под ANDROID OSотсутствует) (http://download-flashplayer.ru/FlashPlayerUpdate.apk)
3. Вредоносная программа обладает функционалом для скрытия SMS, отображения оповещения при нажатии на которое осуществляется открытие произвольно сетевого адреса.
4. http://promo.client-ХХХ.ru/client/promo/bm/ - передача данных банковской карты клиента (фишинг).
Криптолокер [Ransom.EXE]
This is definitely not a 1024 bits key! The number has 128 digits, which could indicate a (big) mistake from the malware author, who wanted to generate a 128 bytes key.
Once decoded, the key translates to the following number:31298847196625400639506938637161930162789011464295952600544145829335849533528834917800088971765784757175491347320005860302574523
30
Использование систем анонимизации
Использование крипто-валюты
31
Граббер
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS.3. Перехват треков и пинов, запись их в зашифрованном виде в скрытый поток NTFS.4. Копирование данных на чип определенной карты, удаление вируса и следов работы после
чтения определенной карты.
Диспенсер
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Активация посредством специальной карты.
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
32
Заражение POS-терминалов
Dump Memory Grabber [vSkimmer]
ПРОВЕДЕНИЕ
ИССЛЕДОВАНИЯ
33
Timeline:
35
Volatility Forensics
![F B G H ; J G : M D J H K K B B ; H J B K H = N B E B : N ......2 I. H [ s Z y Z j Z d l _ j b k l b d Z h ] j Z f f u 1.1. P _ e b Z e b a Z p b b h ] j Z f f u: I j h ] j Z f f Z](https://static.fdocuments.us/doc/165x107/61285b440ec75835d5693e13/f-b-g-h-j-g-m-d-j-h-k-k-b-b-h-j-b-k-h-n-b-e-b-n-2-i-h-s-z-y.jpg)
![Loginet - Siemens · ∂ Yandex Browser \ _ j k b b 14 ∂ Apple Safari g b _ j k b b 7 ∂ Maxthon Cloud Browser g _ \ _ j k b b 3.5 1. J _ ] b k l j Z p b v a h \ Z l _ e y k l](https://static.fdocuments.us/doc/165x107/5fbe5954a596b07ac81c32f8/loginet-siemens-a-yandex-browser-j-k-b-b-14-a-apple-safari-g-b-j-k-b.jpg)
![Z g b l m j h i j Z l h j Z « B g l m j b ... - Intourist.ru · режиме электронное письмо с темой « J _ ] b k l j Z p b b b k l _ f _ h g b j h \ Z](https://static.fdocuments.us/doc/165x107/5f1153a5f1c69d0b5456bd56/z-g-b-l-m-j-h-i-j-z-l-h-j-z-b-g-l-m-j-b-.jpg)
![F : J D ? L B G = HЫ C I E : G NSP › docs › Marketing-plan_NSP... · < \ _ ^ _ g b _ J Z k i j h k l j Z g _ g b _ i j h ^ m d p b b b a j m d \ j m d b ( g h ] h m j h \ g _](https://static.fdocuments.us/doc/165x107/5f15484a60f7b932047e452d/f-j-d-l-b-g-h-c-i-e-g-nsp-a-docs-a-marketing-plannsp-.jpg)
![G D M ^ e y j Z k i j ^ e g b y w e d l j h w g j ] b b = J S b < J ... i b k Z g b _ d m j k Z S21 I j b f _ g _ g b _ g b a d h \ h e v l g h ] h h [ h j m ^ h \ Z g b y : ; ; \](https://static.fdocuments.us/doc/165x107/5b3639b37f8b9a5f288c7d63/g-d-m-e-y-j-z-k-i-j-e-g-b-y-w-e-d-l-j-h-w-g-j-b-b-j-s-b-j-i-b-k-z.jpg)
![I j h ] j [ g h c b k p b i e b g « l h j b y» Утверждена ......2019/08/22 · I j h ] j _ [ g h c b k p b i e b g « l h j b y» Утверждена Академическим](https://static.fdocuments.us/doc/165x107/5ed823960fa3e705ec0de845/i-j-h-j-g-h-c-b-k-p-b-i-e-b-g-l-h-j-b-y-20190822.jpg)
![l h f Z l b a b j Z g Z ] h j e d Z a Z i e l b h l k j b ... · k l j N b j f Z l Z i j h b a \ h ^ b l _ e < b [ e Z ] h ^ Z j b a Z g Z i j Z \ _ g b y h l < Z k b a [ h j k l](https://static.fdocuments.us/doc/165x107/5f4bde32c59a4c5f111d0080/l-h-f-z-l-b-a-b-j-z-g-z-h-j-e-d-z-a-z-i-e-l-b-h-l-k-j-b-k-l-j-n-b-j-f-z-l.jpg)
![J Z [ h q j h ] j j ^ f l « l h j b h k k b b», « k h [ s ...ksosch.ucoz.ru/svedeniya-o-shk/OBRAZOVANIE/program... · J Z [ h q j h ] j j _ ^ f _ l « l h j b h k k b b», « k](https://static.fdocuments.us/doc/165x107/5f8607572f15b865c01d8a43/j-z-h-q-j-h-j-j-f-l-l-h-j-b-h-k-k-b-b-k-h-s-j-z-h-q-j-h-.jpg)
![Оглавление - rosgeo.org · 4 F b g _ j Z e h ] b i _ l j h ] j Z n b y 23 5 = b ^ j h e h ] b y 32 6 J Z ^ b h f _ l j b y 35 7 R e b o h \ h _ j h [ h \ Z g b _ 39 8 G](https://static.fdocuments.us/doc/165x107/5edeccd6ad6a402d666a26fd/-4-f-b-g-j-z-e-h-b-i-l-j-h-j-z-n-b-y-23-5-b-j.jpg)
