ืืืืืจืืชืืื ืืืงืืืงืืช ืชืืืื ืืืืจืืขื ืืืืืช ืืืืข, ืืืืืช ืืืชืงืคืืช ืกืืืืจ ืขืืื ืืืช, ืืืฉืืช ืืืงืืจืช ืืืืคืืช ื ืชืื ืื ืืืืจืืช, ืืงืจ ืืคืืคื ืื ืืืืฉืืจืื ื ืืืืื, ื ืืชืื ืงืืฆืื ืืืฆืคื ืื, ืืืืืฅ ื ืชืื ื ืืืงืื ืืืืืืจืคื ืื ืืชืื ืฉื ืืืืืืช ืืืืืืช ืฉื ื ืชืื ืื - ืื ืืื ืืืืจืื. ื ืืชื ืืืืื ืืงืืจืกืื ืืฉืืชืคืื ืืืฉืื ืฉื Group-IB ื-Belkasoft. ืืืืืืกื ืื ืื ื
ืฉื ืืื ืืื ืืืื
ืืจืขืืื ืืขืจืื ืงืืจืกื ืืืฉืจื ืืฉืืชืคืื ืืืคืืข ืืืืจ ืฉืืืฉืชืชืคืื ืืงืืจืก Group-IB ืืืื ืืฉืืื ืขื ืืื ืฉืืขืืืจ ืืื ืืืงืืจ ืืขืจืืืช ืืืฉืืื ืืจืฉืชืืช ืฉื ืคืืขื, ืืืฉืื ืืช ืืคืื ืงืฆืืื ืืืืช ืฉื ืืื ืขืืจ ืืื ืืืื ืฉืื ืื ืฉืื ื ืืืืืฆืื ืืืฉืชืืฉ ืืื ืืืืื ืชืืืื ืืืืจืืขืื.
ืืืขืชื ื, ืืื ืืื ืืืื ืืืืืช Belkasoft Evidence Center (ืืืจ ืืืืจื ื ืขื ืื ื
ืืฉืื: ืืงืืจืกืื ืื ืขืืงืืื ืืืงืืฉืจืื ืื ืืื! Belkasoft Digital Forensics ืืืงืืฉืช ืืชืืื ืืช Belkasoft Evidence Center, ื-Belkasoft Incident Response Examination ืืืงืืฉืช ืืืงืืจืช ืชืงืจืืืช ืืืืฆืขืืช ืืืฆืจื Belkasoft. ืืืืืจ, ืืคื ื ืืืืื ืืงืืจืก ืืืื ืช ืชืืืื ืืืืจืืขืื ืฉื Belkasoft, ืื ื ืืืืืฆืื ืืืื ืืืฉืืื ืืช ืืงืืจืก ืืืืืืื ืืืืืื ืคืืืื ืฉื Belkasoft. ืื ืชืชืืื ืืื ืขื ืงืืจืก ืขื ืืงืืจืืช ืืืจืืขืื, ืืืชืื ืฉืืชืืืื ืืืื ืคืขืจื ืืืข ืืขืฆืื ืื ืืฉืืืืฉ ืืืจืื ืืจืืืืช ืฉื Belkasoft, ืืืืชืืจ ืืืืื ืช ืืคืฆืื ืืฉืคืืืื. ืื ืขืฉืื ืืืืืื ืืขืืืื ืฉืืืืื ืืืืฉืจื ืืงืืจืก ืืืื ืช ืชืืืื ืืืืจืืขืื ืฉื Belkasoft, ืืชืืืื ืื ืฉืื ืืืื ืืื ืืฉืืื ืืืืืจ, ืื ืฉืืื ืืช ืฉืืจ ืืงืืืฆื ืืจืืืฉืช ืืืข ืืืฉ, ืฉืื ืืื ืืืืจืื ืืืงืืฉ. ืขื ืืื ืืืืื ืฉืืกืืืจ ืืช ืืืืืจ ืืืงืืจืก ืฉื Belkasoft Digital Forensics.
ืืืืื ืคืืืื ืืืฉืืื ืขื Belkasoft Evidence Center
ืืืจืช ืืงืืจืก Belkasoft Digital Forensics - ืืฆืืื ืืชืืืืืื ืืช ืชืืื ืืช Belkasoft Evidence Center, ืืืื ืืืชื ืืืฉืชืืฉ ืืชืืื ืืช ืื ืืื ืืืกืืฃ ืจืืืืช ืืืงืืจืืช ืฉืื ืื (ืืืกืื ืืขื ื, ืืืืจืื ืืืฉื ืืงืจืืืช (RAM), ืืืฉืืจืื ื ืืืืื, ืืืืืช ืืืกืื (ืืื ื ืื ืงืฉืืืื, ืืื ื ื ืืืืง ืืื'), ืืืกืืจ ืืื ืืงืืช ืืืื ืืงืืช ืืฉืคืืืืช ืืกืืกืืืช, ืฉืืืืช ืืืืงื ืืฉืคืืืช ืฉื ืืคืฆื Windows, ืืืฉืืจืื ื ืืืืื, ืืืืืืช RAM. ืืื ืื ืชืืื ืืืืืช ืืืชืขื ืืคืฆืื ืฉื ืืคืืคื ืื ืืชืืื ืืืช ืืืืขืืช ืืืืืืืช, ืืืฆืืจ ืขืืชืงืื ืืฉืคืืืื ืฉื ื ืชืื ืื ืืืงืืจืืช ืฉืื ืื, ืืืืฅ ื ืชืื ื ืืืงืื ืืืืืืจืคื ืืืืคืฉ ืขืืืจ ืจืฆืคื ืืงืกื (ืืืคืืฉ ืืืืืช ืืคืชื), ืืฉืชืืฉ ื-hash ืืขืช ืืืฆืืข ืืืงืจ, ื ืชื ืืช ืืจืืฉืื ืฉื Windows, ืฉืื ืืืืืื ืืืืช ืฉื ืืงืจ ืืกืื ื ืชืื ืื ืื ืืืืขืื ืฉื SQLite, ืืืกืืืืช ืฉื ืืืื ืช ืงืืฆื ืืจืคืืงื ืืืืืื ืืืื ืืงืืช ืื ืืืืืืช ืืืฉืืฉืืช ืืืืื ืืงืืจืืช.
ืืงืืจืก ืืืขืื ืืืืืืื ืืขืื ืืชืืืืช ืืชืืื ืืืืื ืคืืืื ืืื ื ืืืืืฉื (ืืืืื ืคืืืื ืืืฉื); ืืืืืื ืืื ืืื ืืงืืืขืื ืืช ืืกืืืืช ืืคืจืืฆื ืืืฆืืืช, ืื ืชืืื ืืช ืฉืจืฉืจืช ืืืืจืืขืื ืืืช ืืืฉืืืืช ืฉื ืืชืงืคืืช ืกืืืืจ; ืืืืืื ืืื ืืื ืืืืืื ืืืชืขืืื ืื ืืืช ื ืชืื ืื (ืืืืคืืช) ืขื ืืื ืืืฉ ืคื ืื (ืืคืจ ืคื ืืื); ืืืืื e-Discovery; ืฆืืืช SOC ื-CERT/CSIRT; ืขืืืื ืืืืืช ืืืืข; ืืืืื ืืืืื ืคืืืื ืืืฉืืื.
ืชืืื ืืช ืืงืืจืก:
- Belkasoft Evidence Center (BEC): ืฆืขืืื ืจืืฉืื ืื
- ืืฆืืจื ืืืืคืื ืืชืืงืื ื-BEC
- ืืกืืฃ ืจืืืืช ืืืืืืืืืช ืืืงืืจืืช ืืฉืคืืืืช ืขื BEC
- ืฉืืืืฉ ืืืกื ื ืื
- ืืคืงืช ืืืืืช
- ืืืงืจ ืขื ืชืืื ืืืช ืืืืขืืช ืืืืืืืช
- ืืืงืจ ืืคืืคื ืืื ืืจื ื
- ืืืงืจ ืืืฉืืจืื ื ืืืืื
- ืืืืืฅ ื ืชืื ื ืืืงืื ืืืืืืจืคื
- ืืืคืืฉ ืจืฆืคื ืืงืกื ืืืงืจืื
- ืืืืืฅ ืื ืืชืื ื ืชืื ืื ืืืืกื ื ืขื ื
- ืฉืืืืฉ ืืกืืื ืืืช ืืื ืืืืืืฉ ืขืืืืืช ืืฉืืขืืชืืืช ืฉื ืืฆืื ืืืืื ืืืืงืจ
- ืืืื ืช ืงืืฆื ืืขืจืืช Windows
- ื ืืชืื ืืจืืฉืื ืฉื Windows
- ื ืืชืื ืืกืื ื ืชืื ืื ืฉื SQLite
- ืฉืืืืช ืฉืืืืจ ื ืชืื ืื
- ืืื ืืงืืช ืืืืื ืช ืืฉืืืืช RAM
- ืฉืืืืฉ ืืืืฉืืื hash ืื ืืชืื hash ืืืืงืจ ืืฉืคืื
- ื ืืชืื ืงืืฆืื ืืืฆืคื ืื
- ืฉืืืืช ืืืืืื ืงืืฆื ืืจืคืืงื ืืืืืื
- ืืฉืืืืฉ ืืืื ืืงืืช ืื ืืืืืืช ืืืืงืจ ืืฉืคืื
- ืืืืืืฆืื ืฉื ืคืขืืืืช ืฉืืจืชืืืช ืืืืฆืขืืช ืฉืคืช ืืชืื ืืช ืืืืื ืืช Belkascripts
- ืฉืืขืืจืื ืืขืฉืืื
ืงืืจืก: ืืืื ืช ืชืืืื ืืืืจืืขืื ืฉื Belkasoft
ืืืจืช ืืงืืจืก ืืื ืืืืื ืืช ืืกืืืืช ืืืงืืจื ืคืืจื ืืืช ืฉื ืืชืงืคืืช ืกืืืืจ ืืืช ืืคืฉืจืืืืช ืืฉืืืืฉ ืืืจืื ืืจืืืืช ืฉื Belkasoft ืืืงืืจื. ืชืืืื ืขื ืืืืงืืืจืื ืืขืืงืจืืื ืฉื ืืชืงืคืืช ืืืืจื ืืืช ืขื ืจืฉืชืืช ืืืฉืืื, ืชืืืื ืืกืืื ืืชืงืคืืช ืืืฉื ืขื ืกืื ืืืจืืฆืช MITER ATT&CK, ืชืืืื ืืืืืจืืชืืื ืืืืงืจ ืฉื ืืขืจืืืช ืืคืขืื ืืื ืืืกืก ืืช ืขืืืืช ืืคืฉืจื ืืืฉืืืจ ืืช ืคืขืืืืช ืืชืืงืคืื, ืชืืืื ืืืื ืืืืงืืื ืืคืฆืื ืฆืืื ื ืืืื ืงืืฆืื ื ืคืชืื ืืืืจืื ื, ืืืื ืืขืจืืช ืืืคืขืื ืืืืกื ืช ืืืืข ืขื ืืืคื ืืืืจืื ืืืืืฆืืข ืฉื ืงืืฆื ืืคืขืื, ืืืฆื ืืชืืงืคืื ืขืืจื ืืจืืื ืืจืฉืช, ืืืื ืืืฆื ืืืืื ืืช ืืืคืฆืื ืืืื ืืืืฆืขืืช BEC. ืชืืืื ืื ืืืื ืืืจืืขืื ืืืืื ื ืืืขืจืืช ืืขื ืืื ืื ืื ืงืืืช ืืื ืฉื ืืงืืจืช ืืืจืืขืื ืืืืืื ืืืฉื ืืจืืืง, ืืชืืืื ืืืฆื ืืืงืืจ ืืืชื ืืืืฆืขืืช BEC.
ืืงืืจืก ืืืื ืฉืืืืฉื ืืืืืืื ืืื ืืื ืฉืืงืืขื ืืช ืืกืืืืช ืืคืจืืฆื ืืืฆืืืช, ืื ืชืืื ืฉืจืฉืจืืืช ืืืจืืขืื ืืืช ืืืฉืืืืช ืฉื ืืชืงืคืืช ืกืืืืจ; ืื ืืื ืืขืจืืช; ืฆืืืช SOC ื-CERT/CSIRT; ืฆืืืช ืืืืืช ืืืืข.
ืกืงืืจืช ืืงืืจืก
Cyber โโโโKill Chain ืืชืืจ ืืช ืืฉืืืื ืืขืืงืจืืื ืฉื ืื ืืชืงืคื ืืื ืืช ืขื ืืืฉืื ืืงืืจืื (ืื ืจืฉืช ืืืืฉืืื) ืืืืงืื:
ืืคืขืืืืช ืฉื ืขืืืื SOC (CERT, ืืืืืช ืืืืข ืืื') ืืืืื ืืช ืืื ืืข ืืคืืืฉืื ืืืฉืช ืืืฉืืื ืืืืข ืืืื ืื.
ืื ืืื ืืืืจืื ืชืืงืคืื ืืชืฉืชืืช ืืืืื ืช, ืขื ืืื ืฉืื ืืขืื ืื ืกืืช ืืืืขืจ ืืช ืื ืืง ืืคืขืืืืช ืืชืืงืคืื, ืืงืืืข ืืืฆื ืืืฆืขื ืืชืงืืคื, ืืฉืืืจ ืืช ืืืืจืืขืื ืืจืฆืฃ ืืคืขืืืืช ืฉื ืืชืืงืคืื ืืืื ื ืืืืืข ืฉื ืคืืข, ืืื ืงืื ืืืฆืขืื ืืื ืืขืช ืชืงืืคื ืืกืื ืื ืืขืชืื.
ื ืืชื ืืืฆืื ืืช ืกืืื ืืขืงืืืช ืืืืื ืืชืฉืชืืช ืืืืข ืฉื ืคืืขื, ืืืขืืืื ืขื ืื ืฉืืจืฉืช (ืืืืฉื) ื ืคืืขื:
ื ืืชื ืืืฆืื ืืช ืื ืืขืงืืืช ืืืื ืืืืฆืขืืช ืชืืื ืืช Belkasoft Evidence Center.
ื-BEC ืืืืื "ืืงืืจืช ืชืงืจืืืช", ืฉืื, ืืขืช ื ืืชืื ืืืฆืขื ืืืกืื, ืืืฆื ืืืืข ืขื ืืคืฆืื ืฉืืืื ืืขืืืจ ืืืืงืจ ืืขืช ืืงืืจืช ืชืงืจืืืช.
BEC ืชืืื ืืืืืงื ืฉื ืืกืืืื ืืขืืงืจืืื ืฉื ืืคืฆื Windows ืืืฆืืืขืื ืขื ืืืฆืืข ืงืืฆื ืืคืขืื ืืืขืจืืช ืื ืืงืจืช, ืืจืืืช ืงืืฆื Amcache, Userassist, Prefetch, BAM/DAM,
ืืืืข ืขื ืขืงืืืช ืืืืืืื ืืืืข ืขื ืคืขืืืืช ืืืฉืชืืฉ ืืืขืจืืช ืฉื ืคืจืฆื ืืืื ืืืืืช ืืืฆื ืืฆืืจื ืืืื:
ืืืืข ืื, ืืื ืืืชืจ, ืืืื ืืืืข ืขื ืืคืขืืช ืงืืฆื ืืคืขืื:
ืืืืข ืขื ืืคืขืืช ืืงืืืฅ 'RDPWInst.exe'.
ืืืืข ืขื ื ืืืืืช ืืชืืงืคืื ืืืขืจืืืช ืฉื ืคืืขื ื ืืชื ืืืฆืื ืืืคืชืืืช ืืคืขืื ืฉื ืืจืืฉืื ืฉื Windows, ืฉืืจืืชืื, ืืฉืืืืช ืืชืืืื ืืช, ืกืงืจืืคืืื ืืื ืืกื, WMI ืืื'. ืืืืืืืช ืืืืืื ืืืืข ืขื ืชืืงืคืื ืืืฆืืจืคืื ืืืขืจืืช ื ืืชื ืืจืืืช ืืฆืืืืื ืืืกื ืืืืื:
ืืืืืช ืชืืงืคืื ืืืืฆืขืืช ืืชืืื ืืืฉืืืืช ืขื ืืื ืืฆืืจืช ืืฉืืื ืืืจืืฅ ืกืงืจืืคื PowerShell.
ืืืืื ืชืืงืคืื ืืืืฆืขืืช Windows Management Instrumentation (WMI).
ืืืืื ืชืืงืคืื ืืืืฆืขืืช ืกืงืจืืคื ืื ืืกื.
ื ืืชื ืืืืืช ืชื ืืขื ืฉื ืชืืงืคืื ืืจืฉืช ืืืฉืืื ืฉื ืคืืขื, ืืืฉื, ืขื ืืื ื ืืชืื ืืืื ื ืืขืจืืช Windows (ืื ืืชืืงืคืื ืืฉืชืืฉืื ืืฉืืจืืช RDP).
ืืืืข ืขื ืืืืืจื RDP ืฉืืืื.
ืืืืข ืขื ืชื ืืขืช ืืชืืงืคืื ืืจืืื ืืจืฉืช.
ืื, Belkasoft Evidence Center ืืืื ืืกืืืข ืืืืงืจืื ืืืืืช ืืืฉืืื ืฉื ืคืืขื ืืจืฉืช ืืืฉืืื ืืืชืงืคืช, ืืืฆืื ืขืงืืืช ืฉื ืืฉืงื ืฉื ืชืืื ืืช ืืืื ืืืช, ืขืงืืืช ืฉื ืงืืืืข ืืืขืจืืช ืืชื ืืขื ืืจืืื ืืจืฉืช, ืืฉืืจ ืขืงืืืช ืฉื ืคืขืืืืช ืชืืงืคืื ืืืืฉืืื ืฉื ืคืืขื.
ืืืฆื ืืืฆืข ืืืงืจ ืืื ืืืืชืจ ืืช ืืืคืฆืื ืืืชืืืจืื ืืขืื ืืชืืืจ ืืงืืจืก ืืืืฉืจื ืฉื Belkasoft Incident Response Examination.
ืชืืื ืืช ืืงืืจืก:
- ืืืืืช ืืชืงืคืืช ืกืืืืจ. ืืื ืืืืืืืช, ืืืื, ืืืจืืช ืฉื ืชืืงืคืื
- ืฉืืืืฉ ืืืืืืื ืฉื ืืืืืื ืืื ืืืืื ืืช ืืืงืืืงืืช, ืืืื ืืงืืช ืืื ืืืื ืฉื ืืชืืงืคืื
- ืฉืจืฉืจืช ืืจื ืกืืืืจ
- ืืืืืจืืชื ืชืืืื ืืืืจืืขืื: ืืืืื, ืืืงืืืืฆืื, ืืฆืืจืช ืืื ืืืงืืืจืื, ืืืคืืฉ ืฆืืชืื ื ืืืขืื ืืืฉืื
- ื ืืชืื ืืขืจืืืช Windows ืืืืฆืขืืช BEC
- ืืืืื ืฉืืืืช ืฉื ืืืืื ืจืืฉืื ื, ืืชืคืฉืืืช ืจืฉืช, ืืืืื ืืคืขืืืืช ืจืฉืช ืฉื ืชืืื ืืช ืืืื ืืืช ืืืืฆืขืืช BEC
- ืืืืื ืืขืจืืืช ื ืืืขืืช ืืฉืืืืจ ืืืกืืืจืืืช ืืืืืืื ืืืืฆืขืืช BEC
- ืฉืืขืืจืื ืืขืฉืืื
ืฉืืืืช ื ืคืืฆืืชืืืื ืืชืงืืืืื ืืงืืจืกืื?
ืืงืืจืกืื ืืชืงืืืืื ืืืื Group-IB ืื ืืืชืจ ืืืฆืื ื (ืืจืื ืืืจืื). ืืฉ ืืคืฉืจืืช ืืืืื ืื ืกืืข ืืืชืจืื ืขื ืืงืืืืช ืขืกืงืืื.
ืื ืืขืืืจ ืืช ืืฉืืขืืจืื?
ืืืื ืื ื-Group-IB ืื ืืชืจืืืื ืืขืื ื ืืกืืื ืจื ืฉื ืื ืืืืฆืืข ืืืงืจ ืืฉืคืื, ืืงืืจืืช ืืจืืื ืืืช ืืชืืืื ืืืืจืืขื ืืืืืช ืืืืข.
ืืืืฉืืจืื ืฉื ืืืืื ืื ืืืืฉืจืื ืขื ืืื ืชืขืืืืช ืืื ืืืืืืืช ืจืืืช: GCFA, MCFE, ACE, EnCE ืืื '.
ืืืืื ืื ืฉืื ื ืืืฆืืื ืืงืืืช ืฉืคื ืืฉืืชืคืช ืขื ืืงืื, ืืืกืืืจืื ืืืืจืืจ ืืคืืื ืืช ืื ืืฉืืื ืืืืจืืืื ืืืืชืจ. ืืกืืืื ืืื ืืืืื ืืืืข ืจื ืจืืืื ืื ืืืขื ืืื ืขื ืืงืืจืช ืืืจืืขื ืืืฉื, ืฉืืืืช ืืืืื ืืื ืืขืช ืืชืงืคืืช ืืืฉื, ืืืงืืื ืืืข ืืขืฉื ืืืืชื ืฉืืืืื ืืืืฉื ืืื ืืืืจ ืกืืื ืืืืืืืื.
ืืื ืืงืืจืกืื ืืกืคืงื ืืืืื ืืืืช ืฉืืืืฉืืืช ืฉืืื ื ืงืฉืืจืืช ืืืืฆืจื Belkasoft, ืื ืืื ืืืืื ืืืืช ืืื ืื ืืืื ืืฉืืืืช ืืื ืชืืื ื ืื?
ืืืืืื ืืืืช ืฉื ืจืืฉื ืืืืื ืืืืจืื ืืืื ืฉืืืืฉืืืช ืืื ืฉืืืืฉ ืืืืฆืจื Belkasoft.
ืื ืืืื ืืืืืงื ืืจืืฉืื ืืช?
ืืืืงื ืจืืฉืื ืืช ืืื ืืืื ืืืข ืืืกืืืืช ืืืืืื ืืคืืืื ืืืืืืฉื. ืืื ืชืืื ืืืช ืืืืื ืืช ืืืืข ืืืืฆืจื Belkasoft ื-Group-IB.
ืืืื ื ืืชื ืืืฆืื ืืืืข ืขื ืืงืืจืกืื ืืืื ืืืืื ืฉื ืืืืจื?
ืืืกืืจืช ืงืืจืกืื ืืื ืืืืื, Group-IB ืืืฉืืจื ืืืืืื ืืชืืืื ืืืืจืืขืื, ืืงืจ ืชืืื ืืช ืืืื ืืืช, ืืืืื ืืืืืขืื ืกืืืืจ (Threat Intelligence), ืืืืืื ืืขืืืื ื-Security Operation Center (SOC), ืืืืืื ืืฆืื ืืืืืื ืคืจืืืงืืืื (Threat Hunter) ืืื'. . ืจืฉืืื ืืืื ืฉื ืงืืจืกืื ืงื ืืื ืืื ื- Group-IB ืืืื ื
ืืืื ืืื ืืกืื ืืงืืืื ืกืืืื ืืื ืฉืืกืืืืื ืงืืจืกืื ืืฉืืชืคืื ืืื Group-IB ื-Belkasoft?
ืื ืฉืกืืื ืืืฉืจื ืืงืืจืกืื ืืฉืืชืคืื ืืื Group-IB ื-Belkasoft ืืงืืื:
- ืชืขืืืช ืกืืื ืืงืืจืก;
- ืื ืื ืืืืฉื ืืื ื ืืืจืื ืืจืืืืช ืฉื Belkasoft;
- 10% ืื ืื ืืจืืืฉืช Belkasoft Evidence Center.
ืืืืืจืื ืืื ืฉืืงืืจืก ืืจืืฉืื ืืชืืื ืืืื ืฉื ื, 9 ืกืคืืืืจ,- ืื ืชืคืกืคืกื ืืช ืืืืืื ืืช ืืฆืืืจ ืืืข ืืืืืื ืืชืืื ืืืืืช ืืืืข, ืืืืื ืคืืืื ืืืฉืืื ืืชืืืื ืืืืจืืขืื! ืืจืฉืื ืืงืืจืก
ืืงืืจืืชืืืื ืช ืืืืืจ, ืืฉืชืืฉื ื ืืืฆืืช ืฉื ืืืื ืกืงืืืงืื "ืฉืืืืฉ ืืืืืื ืคืืืื ืืืืกืก ืืืจื ืืื ืืงืื ืืื ืืืงืืืจืื ืฉื ืคืฉืจื ืืชืืืื ืืืฆืืืช ืืืืจืืขืื ืืื ืขื ืืืืืขืื."
ืืงืืจ: www.habr.com