ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±áž á¡ááŒá
áºá¡áá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºáááºá¡ááœáẠá¡ááºááºááá¯áá®áááºáá»á¬ážááŸáá·áº áááºážááááá¬ááºáá»á¬ážá áááºááŸá ááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠáá±ááºáá±á
á®ážááŒá±á¬ááºážáá»á¬ážá áá¯áá¹ááá®áá»á¬ážááœáẠáá±áá¬áá±á«ááºááŒá¬ážááŸá¯ááᯠá
á¯á¶á
ááºážá
á
áºáá±ážááẠáá»ááºážáááºááŸá¯áá»á¬ážá ááá±á¬ááºáá¬áá»á¬ážááŸáá·áº ááá¯ááá¯ááºážáá
á¹á
ááºážáá»á¬ážááᯠáá¯áá±ááááŒá¯ááŒááºážá áá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááᯠááá¯ááºážááŒá¬ážá
áááºááŒá¬ááŒááºážá áááá®áááºáááºáá±áá¬áá±áá¬ááᯠáá¯ááºáá°ááŒááºážááŸáá·áº áá±áá¬ááá¬ááá»á¬ážá
áœá¬ááᯠááœá²ááŒááºážá
áááºááŒá¬ááŒááºáž - á€á¡áá¬á¡á¬ážáá¯á¶ážááŸáá·áº á¡ááŒá¬ážá¡ááŒá±á¬ááºážá¡áá¬áá»á¬áž Group-IB ááŸáá·áº Belkasoft á áá°ážááœá²áááºáááºážá¡áá
áºáá»á¬ážááœáẠáá±á·áá¬ááá¯ááºáá«áááºá ááŒáá¯ááºáááŸá¬ áá»áœááºáá±á¬áºááá¯
All in one ááŸá
áºáá¯
Group-IB áááºáááºážááœááºáá«áááºáá°áá»á¬ážááẠá¡áá±ážá¡áá°áá¶ááá±á¬ ááœááºáá»á°áá¬á áá áºáá»á¬ážááŸáá·áº ááœááºáááºáá»á¬ážááᯠá á¯á¶á ááºážá á áºáá±ážáá¬ááœáẠá¡áá±á¬ááºá¡áá°ááŒá áºá á±ááá·áº áááááá¬áá áºáá¯á¡ááŒá±á¬ááºáž á áááºáá±ážááŒááºážááŒá®áž á¡ááŒá áºá¡áá»ááºáá¯á¶á·ááŒááºááŸá¯á¡ááœááºáž áá»áœááºá¯ááºááá¯á·á¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážááá·áº á¡ááá²á· utilities á¡áá»áá¯ážáá»áá¯ážá áá¯ááºáá±á¬ááºááá¯ááºá áœááºážáá»á¬ážááᯠáá±á«ááºážá ááºáá¬ážááŒá®ážáá±á¬áẠáá°ážááœá²áá±á·áá»áá·áºáá±ážáááºáááºážáá»á¬áž áá»ááºážáááẠá áááºáá°ážáá±á«áºáá¬áááºá
áá»áœááºá¯ááºááá¯á·áá¡ááŒááºá¡áá ááá¯áá²á·ááá¯á·áá±á¬áááááá¬ááẠBelkasoft Evidence Center ááŒá
áºááá¯ááºááẠ(áá»áœááºá¯ááºááá¯á·ááááºážááá¯ááŒá±á¬ááá¯áá¬ážááŒá®ážááŒá
áºáááºá
á¡áá±ážááŒá®ážáááº- áááºáááºážáá»á¬ážááẠá¡á ááºááá¯ááºááŒá áºááŒá®áž á¡ááŒááºá¡ááŸááºáá»áááºáááºáá¬ážáááºá Belkasoft Digital Forensics ááẠBelkasoft Evidence Center áááá¯ááááºá¡ááœáẠáááºááœááºááŒá®áž Belkasoft Incident Response Examination ááẠBelkasoft áá¯ááºáá¯ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááŒá áºáááºáá»á¬ážááᯠá á¯á¶á ááºážá á áºáá±ážáááºá¡ááœáẠáááºááœááºáá«áááºá ááá¯ááá¯áááºááŸá¬ Belkasoft Incident Response Examination áááºáááºážááᯠááá±á·áá¬áá®á Belkasoft Digital Forensics áááºáááºážááᯠááŒá®ážááŒá±á¬ááºááẠáá»áœááºá¯ááºááá¯á· ááŒááºážááŒááºážáááºááẠá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá á¡áááºá áááºááẠá¡ááŒá áºá¡áá»ááºá á¯á¶á ááºážá á áºáá±ážááŒááºážááá¯ááºáá¬áááºáááºážááᯠáá»ááºáá»ááºážá áááºáá«áá áá»á±á¬ááºážáá¬ážááẠBelkasoft Evidence Center ááá¯á¡áá¯á¶ážááŒá¯á ááŸá¯áááºážáá±ážááá¬ááá¯ááºáᬠáá á¹á ááºážáá»á¬ážááᯠááŸá¬ááœá±ááŒááºážááŸáá·áº á á áºáá±ážááŒááºážááœáẠá áááºá¡ááŸá±á¬ááºá¡ááŸááºááŒá áºá á±áá±á¬ á¡ááááá¬ááœá¬ááá»ááºááŸáááá¯ááºáááºá áááºážááẠBelkasoft Incident Response Examination áááºáááºážááœáẠáá±á·áá»áá·áºáá±á áẠáá»á±á¬ááºážáá¬ážááẠáá á¹á ááºážááᯠáá»áœááºážáá»ááºááẠá¡áá»áááºáááŸáááá¯ááºáá²á ááá¯á·ááá¯áẠáá±á·áá»áá·áºáá»áááºááᯠáá¯ááºáá¯á¶ážá á±áááºááŒá áºáá±á¬ááŒá±á¬áá·áº áá»ááºá¡ááœá²á·áá¬ážáá»á¬ážááẠá¡ááááá¬á¡áá áºáá»á¬ážááá°áá¬ááœáẠááŸá±ážááœá±ážááœá¬ážáááá·áºáááºáá°áá±á¬á¡áá»ááºááᯠááŒá áºáá±á«áºá á±ááá¯ááºáááºá Belkasoft Digital Forensics áááºáááºážá០á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáááºáááºážááá¬á០ááŸááºážááŒáááºá
Belkasoft Evidence Center ááŒáá·áº ááœááºáá»á°áá¬ááŸá¯áááºážáá±ážááá¬
áááºáááºážááááºááœááºáá»áẠBelkasoft áá áºáá»á áºáááºááŸá¯áááºážáá±ážááᬠâ áá»á±á¬ááºážáá¬ážáá»á¬ážá¡á¬áž Belkasoft Evidence Center áááá¯ááááºááœáẠááááºáááºáá±ážáá«á á¡áááºážá¡ááŒá áºá¡áá»áá¯ážáá»áá¯ážá០á¡áá±á¬ááºá¡áá¬ážáá»á¬áž (cloud ááá¯ááŸá±á¬ááºááŸá¯á áá»áááºážáááºáá±á¬ááºááŸá¯ááŸááºáá¬áẠ(RAM)á ááá¯ááá¯ááºážáááááá¬áá»á¬ážá ááá¯ááŸá±á¬ááºááŸá¯áá®áá®áᬠ(áá¬á·ááºáááá¯ááºáá»á¬ážá ááááºááŸáºáááá¯ááºáá»á¬áž á áááº)) á០á¡áá±á¬ááºá¡áá¬ážáá»á¬ážá á¯áá±á¬ááºážááẠá€áááá¯ááááºááᯠá¡áá¯á¶ážááŒá¯áááºá¡á±á¬áẠáááºááŒá¬ážáá±ážáá«á á¡ááŒá±áᶠááŸá¯áááºážááá¯ááºáᬠáááºážá áá áºáá»á¬ážááŸáá·áº áááºážá áá áºáá»á¬ážá Windows áá á¹á ááºážáá»á¬ážá ááá¯ááá¯ááºážáá á¹á ááºážáá»á¬ážá RAM á áœáá·áºáá áºááŸá¯áá»á¬ážá ááŸá¯áááºážááá¯ááºáᬠá á áºáá±ážááŸá¯áááºážáááºážáá»á¬ážá ááá±á¬ááºáá¬áá»á¬ážááŸáá·áº áááºáááºážá á¬ááá¯áá±ážááá¯á·ááŒááºáž áááá¯ááááºáá»á¬ážá ááŸá±ážáá±á¬ááºážáá á¹á ááºážáá»á¬ážááᯠáá±á¬áºáá¯ááºáááºááŸáá·áº ááŸááºáááºážáááºáááºá á¡áá»áá¯ážáá»áá¯ážáá±á¬ á¡áááºážá¡ááŒá áºáá»á¬ážá០ááŸá¯áááºážááá¯ááºáᬠáááá¹áá°áá»á¬ážááᯠáááºáá®ážááŒááºážá áááá®áááºáááºáá±áá¬áá±áá¬ááᯠáá¯ááºáá°ááŒá®áž ááŸá¬ááœá±ááŒááºážááá¯á·ááá¯áááºáž áá±á·áá¬ááá¯ááºáá«áááºá á á¬áá¬ážá¡á á®á¡á á¥áºáá»á¬ážá¡ááœáẠ(áá±á¬á·áá»ááºá á¬áá¯á¶ážáá»á¬ážááŒáá·áºááŸá¬ááœá±ááŒááºáž)á áá¯áá±ááááŒá¯áá¯ááºáá¬ááœááºá Windows registry ááá¯ááœá²ááŒááºážá áááºááŒá¬ááŒááºážá á¡áááºááá SQLite áá±áá¬áá±á·á áºáá»á¬ážááá¯ááŸá¬ááœá±ááŒááºážáá»áœááºážáá»ááºááŸá¯á ááááºáá áºááŸáá·áºáá®áá®ááá¯ááá¯ááºáá»á¬ážááá¯á á áºáá±ážááŒááºážáá¡ááŒá±áá¶áá»á¬ážááŸáá·áº á á¯á¶á ááºážá á áºáá±ážááŸá¯áá»á¬ážá¡ááœááºážá¡áá¯á¶ážááŒá¯ááá·áºááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááºážááá¬áá»á¬ážááá¯áá»áœááºážáá»ááºááá¯ááºááá¯ááºá áœá¬áá¯ááºáá±á¬ááºáá«á
á¡ááá¯áá«áááºáááºážááẠááœááºáá»á°áá¬áááºážááá¬ááá¯ááºáᬠááŸá¯áááºážáá±ážááᬠ(ááœááºááŒá°áá¬ááŸá¯áááºážáá±ážááá¬) áááºáááºááœáẠá¡áá°ážááŒá¯áá¬ážáá±á¬ áá»áœááºážáá»ááºáá°áá»á¬ážá¡ááœáẠá¡áá¯á¶ážáááºáááºááŒá áºáá«áááºá á¡á±á¬ááºááŒááºáá±á¬ áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯á á¡ááŒá±á¬ááºážáááºážáá»á¬ážááᯠáá¯á¶ážááŒááºáá±ážáá±á¬ áááºážááá¬áá»áœááºážáá»ááºáá°áá»á¬ážá á¡ááœááºážáá° (á¡ááœááºážááá¯ááºážáá»áá¯ážáá±á¬ááºáá°) á០á¡áá»ááºá¡áááºááá¯ážáá°ááŸá¯ (áá±á«ááºááŒá¬ážááŸá¯áá»á¬áž) ááᯠáá±á¬áºáá¯ááºááŸááºáááºážáááºááá·áº áááºážááá¬áá»áœááºážáá»ááºáá°áá»á¬ážá e-Discovery áá»áœááºážáá»ááºáá°áá»á¬ážá SOC ááŸáá·áº CERT/CSIRT áááºáááºážáá»á¬ážá ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±ážáááºáááºážáá»á¬ážá ááœááºááŒá°áᬠááŸá¯áááºážáá±ážááᬠáá«ááá¬ááŸááºáá»á¬ážá
áááºáááºážá¡á á®á¡á ááº-
- Belkasoft Evidence Center (BEC): áááá¡ááá·áº
- BEC ááœáẠá¡ááŸá¯ááœá²áá»á¬áž áááºáá®ážááŒááºážááŸáá·áº á á®áá¶áá±á¬ááºááœááºááŒááºáž
- BEC ááŸáá·áº ááŸá¯áááºážááá¯ááºáᬠá á¯á¶á ááºážá á áºáá±ážááŸá¯áá»á¬ážá¡ááœáẠáá áºáá»á áºáááºá¡áá±á¬ááºá¡áá¬ážáá»á¬áž á á¯áá±á¬ááºážáá«á
- á á áºáá¯ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
- á¡á á®áááºáá¶á á¬áá»á¬ážáá¯ááºáá±ážááŒááºážá
- Instant Messaging Programs áá»á¬ážááᯠáá¯áá±ááááŒá¯áá«á
- áááºááá±á¬ááºáá¬áá¯áá±áá
- ááá¯ááá¯ááºážáááááᬠáá¯áá±áá
- áááá®áááºáá±áá¬áá±áá¬ááᯠáá¯ááºáá°ááŒááºážá
- ááá á¹á áá»á¬ážááœáẠá á¬áá¬áž á¡ááœá²áá»á¬ážááᯠááŸá¬ááœá±ááŒááºážá
- cloud ááá¯ááŸá±á¬ááºááŸá¯ááŸáá±áá¬ááá¯áá¯ááºáá°ááŒááºážááŸáá·áºááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
- áá¯áá±ááááŒá¯á ááºá¡ááœááºáž ááœá±á·ááŸááá±á¬ áááá¬áááºááŸá¬ážáá±á¬ á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠáá®ážáá±á¬ááºážááá¯ážááŒááẠá á¬ááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
- Windows á áá áºááá¯ááºáá»á¬ážááá¯á á áºáá±ážááŒááºážá
- Windows Registry ááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
- SQLite áá±áá¬áá±á·á áºáá»á¬ážááá¯ááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
- áá±áá¬áááºáááºáá±ážáááºážáááºážáá»á¬áž
- RAM á¡ááŸáá¯ááºáá»á¬ážááá¯á á áºáá±ážááŒááºážáááºážááá¬
- ááŸá¯áááºážáá±ážááá¬áá¯áá±ááááœáẠhash ááááºážááœááºá ááºááŸáá·áº hash ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
- áá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºáá»á¬ážááᯠáá±á·áá¬ááŒááºážá
- ááááºáá áºááŸáá·áº áá®áá®ááá¯ááá¯ááºáá»á¬ážááᯠáá±á·áá¬ááẠáááºážáááºážáá»á¬áž
- ááŸá¯áááºážáá±ážááᬠáá¯áá±ááááœáẠááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
- Built-in Belkascripts áááá¯ááááºážáááºážáá¬áá¬á áá¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯á¶ááŸááºáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºááŒá¯áá¯ááºáá«á
- áááºááœá±á·áááºáááºážá á¬áá»á¬áž
áááºáááºáž- Belkasoft Incident Response Examination
áááºáááºážááááºááœááºáá»ááºááŸá¬ ááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯ááá¯ááºáᬠááŸá¯áááºážááá¯ááºáᬠá á¯á¶á ááºážá á áºáá±ážááŸá¯á á¡ááŒá±áá¶á¡áá»ááºáá»á¬ážááŸáá·áº á á¯á¶á ááºážá á áºáá±ážááŸá¯áá áºáá¯ááœáẠBelkasoft Evidence Center ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá ááŒá áºááá¯ááºááŒá±áá»á¬ážááᯠáá±á·áá¬áááºááŒá áºáááºá MITER ATT&CK matrix ááᯠá¡ááŒá±áá¶á ááœááºáá»á°áᬠááœááºáááºáá»á¬ážáá±á«áºááŸá áá±ááºáá® ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá á¡ááááá»áá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážá¡ááŒá±á¬ááºáž áá±á·áá¬ááááºááŒá áºááŒá®ážá á¡áá±ážá¡áá°áá¯ááºááŒááºážá á¡áá»ááºá¡áááºááᯠáá±á¬áºáá¯ááºáááºááŸáá·áº ááá¯ááºááá¯ááºáá°áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááŒááºáááºáááºáá±á¬ááºáááºá¡ááœáẠMITER ATT&CK matrix ááᯠá¡ááŒá±áá¶á áááºáááºááŸá¯á áá Ạáá¯áá±áá algorithms áá»á¬ážááᯠá¡áá¯á¶ážáá»ááẠáá±á·áá¬áá«á áááºááá·áºááá¯ááºáá»á¬ážááᯠáá±á¬ááºáá¯á¶ážááœáá·áºáá¬ážáááºááᯠáá±á¬áºááŒáá«á áááºáááºááŸá¯á áá áºááẠáááºáááºááá¯ááºáá±á¬ááá¯ááºáá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºáá¯á¶ááŸáá·áº áááºáááºáá¯á¶á¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠááááºážáááºážáá¬ážáá¬á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááœááºáááºá¡ááœááºáž áááºáá²á·ááá¯á· ááœáŸá±á·ááŒá±á¬ááºážááœá¬ážáá¯á¶ááŸáá·áº BEC ááᯠá¡áá¯á¶ážááŒá¯á á€á¡áá¬áá»á¬ážááᯠáááºážá á áºáááºážááᯠáá±á·áá¬áá«á á¡ááŒá áºá¡áá»ááºá á¯á¶á ááºážá á áºáá±ážááŒááºážááŸáá·áº á¡áá±ážááŸáááºáá±á¬ááºááŸá¬ááœá±ááŒááºážáááŸá¯áá±á¬áá·áºá០á áááºáááºá á¬ážááœááºáá±á¬ááºážáá±á¬ á áá áºááŸááºáááºážáá»á¬ážááœáẠá¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠáááºáááºáž áá±á·áá¬ááá¯ááºááŒá®áž BEC ááá¯á¡áá¯á¶ážááŒá¯á áááºážááá¯á·ááᯠáááºááá¯á·á á¯á¶á ááºážááááºááᯠáá±á·áá¬ááá¯ááºáááºááŒá áºáááºá
á¡ááá¯áá«áááºáááºážááẠá¡á±á¬ááºááŒááºáá±á¬áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯áá¡ááŒá±á¬ááºážáááºážáá»á¬ážááá¯áá¯á¶ážááŒááºáááºá ááŒá áºáááºáá»á¬ážáááœááºážáááºáá»á¬ážááŸáá·áº ááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážáá¡áá»áá¯ážáááºáá»á¬ážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬áá±ážáá±á¬ áááºážááá¬áá»áœááºážáá»ááºáá°áá»á¬ážá¡ááœáẠá¡áá¯á¶ážáááºáááºááŒá áºáá«áááºá á áá áºá á®áá¶ááá·áºááœá²áá°áá»á¬ážá SOC ááŸáá·áº CERT/CSIRT áááºáááºážáá»á¬ážá ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáááºáááºážá
áááºáááºážáá¯á¶ážáááºáá»ááº
Cyber ââKill Chain ááẠáá¬ážáá±á¬ááºá ááœááºáá»á°áá¬áá»á¬áž (ááá¯á·ááá¯áẠááœááºáá»á°áá¬ááœááºáááº) áá±á«áºááŸá áááºážááá¬ááá¯ááºážááá¯ááºáᬠááá¯ááºááá¯ááºááŸá¯á á¡ááá á¡ááá·áºáá»á¬ážááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž áá±á¬áºááŒáááº-
SOC áááºáááºážáá»á¬áž (CERTá ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±ážá á
áááº) á áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááẠá¡áá¬á¡ááœáẠáá±ážáá¬ážáá±á¬ ááááºážá¡áá»ááºá¡ááẠá¡áááºážá¡ááŒá
áºáá»á¬ážááᯠáá»á°ážáá»á±á¬áºáá°áá»á¬áž áááºáá±á¬ááºááŒááºážá០áá¬ážáá®ážááẠáááºááœááºáá«áááºá
á¡áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¬ááœááºáá¬ážáá±á¬ á¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠáá»á¬ážááᯠááá¯ážáá±á¬ááºáááºáá±á¬ááºáá«áá á¡áááºáá±á¬áºááŒáá«áá¯áá¹ááá¯ááºáá»á¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá០ááááá¯ááºáá»ááºá á®ážááŸá¯ááᯠáá»áŸá±á¬á·áá»ááẠááŒáá¯ážá á¬ážááá·áºáááºá ááá¯ááºááá¯ááºááŸá¯ááᯠáááºááá¯á·áá¯ááºáá±á¬ááºáá²á·áááºááᯠáá¯á¶ážááŒááºáááºá á¡áá±ážá¡áá°áá¶ááá±á¬ á¡áá»ááºá¡áááºááœá²á·á ááºážáá¯á¶ááŸá ááá¯ááºááá¯ááºáá°áá»á¬ážá ááŒá áºáááºáá»á¬ážááŸáá·áº áááºááá¯ááºáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠááŒááºáááºáááºáá±á¬ááºáááºááŸáá·áº á¡áá±ážáá°áááºá áá±á¬ááºááœáẠá€ááá¯ááºááá¯ááºááŸá¯áá»áá¯ážááᯠáá¬ááœááºááẠá¡á á®á¡áá¶áá»á¬ážá
ááœááºááẠ(ááœááºááŒá°áá¬) á¡á¬áž á¡áá±ážá¡áá°áá¯ááºáá¬ážááŒá±á¬ááºáž ááœáŸááºááŒáá±á¬ á¡áá±ážá¡áá°áá¯ááºáá¬ážáá±á¬ á¡áá»ááºá¡áááºá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááœáẠá¡á±á¬ááºáá«áá²ááœááºá á¡áá»áá¯ážá¡á á¬ážáá»á¬ážááᯠááœá±á·ááŸáááá¯ááºáááº-
Belkasoft Evidence Center áááá¯ááááºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááŒá±áá¬áá»á¬ážá¡á¬ážáá¯á¶ážááᯠááŸá¬ááœá±á·ááá¯ááºáá«áááºá
BEC ááœáẠ"Incident Investigation" module áá áºáá¯ááŸáááŒá®ážá ááá¯ááŸá±á¬ááºááŸá¯áá®áá®áá¬ááᯠááœá²ááŒááºážá áááºááŒá¬ááá·áºá¡áá«á á¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠá á¯á¶á ááºážá á áºáá±ážááá·áºá¡áá« áá¯áá±áá®á¡á¬áž áá°áá®áá±ážááá¯ááºááá·áº ááŸá±ážáá±á¬ááºážáá á¹á ááºážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠáá¬ážááŸááá±ážáá«áááºá
BEC ááẠAmcacheá Userassistá Prefetchá BAM/DAM ááá¯ááºáá»á¬ážá¡áá«á¡ááẠá
á¯á¶á
ááºážáá²á
áá
áºááŸá executable files áá»á¬ážááᯠexecutable áá¯ááºááŒá±á¬ááºážááœáŸááºááŒááá·áº Windows artifacts áá»á¬ážá á¡áááá¡áá»áá¯ážá¡á
á¬ážáá»á¬ážááᯠá
á
áºáá±ážááŒááºážááᯠáá¶á·ááá¯ážáá±ážáá«áááºá
á¡áá±ážá¡áá°áá¶á áá áºáá áºáá¯ááŸá á¡áá¯á¶ážááŒá¯áá°áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ ááŒá±áá¬áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠá¡á±á¬ááºáá«áá¯á¶á á¶ááŒáá·áº áááºááŒááá¯ááºáááº-
á€á¡áá»ááºá¡áááºááœáẠá¡ááŒá¬ážá¡áá¬áá»á¬ážáá²ááœáẠáááºáááºáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ ááá¯ááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬áž áá«áááºáááº-
'RDPWInst.exe' ááá¯ááºááᯠáá¯ááºáá±á¬ááºááŒááºážááá¯ááºáᬠá¡áá»ááºá¡áááºá
á¡áá±ážá¡áá°áá¶ááá±á¬á áá áºáá»á¬ážááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááŸááá±ááŒááºážááá¯ááºáᬠá¡áá»ááºá¡áááºááᯠWindows ááŸááºáá¯á¶áááºááŒááºážá áááºááá·áºáá±á¬á·áá»á¬ážá áááºáá±á¬ááºááŸá¯áá»á¬ážá á á®á ááºáá¬ážááá·áºá¡áá¯ááºáá»á¬ážá Logon scriptsá WMI á áááºááŒáá·áº ááœá±á·ááŸáááá¯ááºáá«áááºá á áá áºááá¯á· áá»áááºáááºáá¬ážááá·áº ááá¯ááºááá¯ááºáá°áá»á¬ážá á¡áá»ááºá¡áááºááᯠááŸá¬ááœá±ááŒááºážá ááá°áá¬áá»á¬ážááᯠá¡á±á¬ááºáá« screenshots áá»á¬ážááœáẠááœá±á·ááŒááºááá¯ááºáááº-
PowerShell script ááá¯áá¯ááºáá±á¬ááºááá·áºá¡áá¯ááºáá áºáá¯ááá¯áááºáá®ážááŒááºážááŒáá·áº task scheduler ááá¯á¡áá¯á¶ážááŒá¯ááŒá®ážááá¯ááºááá¯ááºáá°áá»á¬ážááá¯ááá·áºáááºáá¬ážáááºá
Windows Management Instrumentation (WMI) ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°áá»á¬ážááᯠá á¯á ááºážááŒááºážá
Logon script ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°áá»á¬ážááᯠá á¯á ááºážááŒááºážá
á¡áá±ážá¡áá°áá¶ááá±á¬ ááœááºáá»á°áá¬ááœááºáááºáá áºáá¯ááŸá ááá¯ááºááá¯ááºáá°áá»á¬ážá ááœá±á·áá»á¬ážááŸá¯ááᯠá¥ááá¬á¡á¬ážááŒáá·áº Windows á áá áºááŸááºáááºážáá»á¬ážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááŒááºážááŒáá·áº (ááá¯ááºááá¯ááºáá°áá»á¬ážááẠRDP áááºáá±á¬ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯áá«á) ááœá±á·ááŸáááá¯ááºáááºá
ááœá±á·ááŸááá¬ážáá±á¬ RDP áá»áááºáááºááŸá¯áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºá
ááœááºáááºáá áºáá»áŸá±á¬áẠááá¯ááºááá¯ááºáá°áá»á¬ážá ááœá±á·áá»á¬ážááŸá¯ááá¯ááºáᬠá¡áá»ááºá¡áááºá
ááá¯á·ááŒá±á¬áá·áºá Belkasoft Evidence Center ááẠáá¯áá±áá®áá»á¬ážá¡á¬áž ááá¯ááºááá¯ááºáá¶ááá±á¬ ááœááºáá»á°áá¬ááœááºáááºááŸá á¡áá¹ááá¬ááºááŸááá±á¬ ááœááºáá»á°áá¬áá»á¬ážááᯠááŸá¬ááœá±áá±á¬áºáá¯ááºáááºá malware ááœáŸáá·áºáááºááŒááºážá ááŒá±áá¬áá»á¬ážá á áá áºááŸáá·áº ááœááºáááºá¡ááœááºáž ááŸá¯ááºááŸá¬ážááŸá¯ááŒá±áá¬áá¶áá»á¬ážá ááŸáá·áº á¡áá±ážá¡áá°áá¶ááá±á¬ ááœááºáá»á°áá¬áá»á¬ážááœáẠááá¯ááºááá¯ááºáá°áá¯ááºáá±á¬ááºááŸá¯á á¡ááŒá¬ážááŒá±áá¬áá»á¬ážááᯠááŸá¬ááœá±ááẠáá°áá®áá±ážááá¯ááºáá«áááºá
ááá¯ááá¯á·áá±á¬ áá¯áá±ááááŒá¯áááºážááᯠBelkasoft Incident Response Examination áááºáááºážááœáẠáá±á¬áºááŒáá¬ážááá·áº á¡áááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ ááŸá±ážáá±á¬ááºážáá á¹á ááºážáá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºáá¯á¶á
áááºáááºážá¡á á®á¡á ááº-
- ááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯ áá±ááºáá±á á®ážááŒá±á¬ááºážáá»á¬ážá áááºážááá¬áá»á¬ážá áááááá¬áá»á¬ážá ááá¯ááºááá¯ááºáá°áá»á¬ážá áááºážááá¯ááºáá»á¬áž
- ááá¯ááºááá¯ááºáá°áá»á¬ážá áááºážáá»á°áá¬áá»á¬ážá áááºážááá¬áá»á¬ážááŸáá·áº áá¯ááºáá¯á¶ážáá¯ááºáááºážáá»á¬ážááᯠáá¬ážáááºááẠááŒáááºážááŒá±á¬ááºááŸá¯áá¯á¶á á¶áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
- ááá¯ááºáá¬áááºááœááºážáááº
- á¡ááŒá áºá¡áá»ááºáá¯á¶á·ááŒááºááŸá¯ á¡ááºáááá¯áá®áááº- ááœá²ááŒá¬ážáááºááŸááºááŒááºážá áá±ááááºááŸááºááŒááºážá ááœáŸááºážááááºážáá»á¬ážáá¯ááºáá¯ááºááŒááºážá áá°ážá ááºáá¶áá¬ážáááá·áº áá¯á¶ááŸááºá¡áá áºáá»á¬ážááᯠááŸá¬ááœá±ááŒááºáž
- BEC ááᯠá¡áá¯á¶ážááŒá¯á Windows á áá áºáá»á¬ážááᯠáá±á·áá¬ááŒááºážá
- áááºááá°ážá ááºááŸá¯áááºážáááºážáá»á¬ážá ááœááºáááºáá»á¶á·ááŸá¶á·ááŸá¯á á á¯á ááºážááŸá¯ááŸáá·áº BEC ááᯠá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ malware á ááœááºáááºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá±á¬ááºááŸááºážááŒááºážá
- áá±á¬áá«ááá¯ážááŸááá±á¬ á áá áºáá»á¬ážááᯠáá±á¬áºáá¯ááºááŒá®áž BEC ááᯠá¡áá¯á¶ážááŒá¯á áá°ážá ááºááŸá¯ááŸááºáááºážááᯠááŒááºáááºááá°áá«á
- áááºááœá±á·áááºáááºážá á¬áá»á¬áž
á¡ááŒá²áá±ážáá±á·ááŸááá±á¬áá±ážááœááºážáá»á¬ážáááºáááºážááœá±áááºááŸá¬áá»ááºážááá¬áá²á
áááºáááºážáá»á¬ážááᯠGroup-IB áá¯á¶ážáá»á¯ááºááœáẠááá¯á·ááá¯áẠááŒááºáááá¯áẠ(áá±á·áá»áá·áºáá±ážá
ááºáá¬) ááœáẠáá»ááºážááá«áááºá áááºáááºážááá¬áá
áºáŠážááẠáá±á¬áºááá¯ááááºáá±á¬ááºáááºáá»á¬ážááŸáá·áºá¡áá° ááá¯ááºáá»á¬ážááá¯á· ááá®ážááœá¬ážááẠááŒá
áºááá¯ááºáááºá
á¡áááºážááᯠáááºáá°á áááºáá±ážáá¬áá²á
Group-IB ááŸá áááºáááºážááá¬áá»á¬ážááẠááŸá¯áááºážáá±ážááᬠáá¯áá±ááááŒá¯áá¯ááºááŒááºážá áá±á¬áºááá¯ááááºá
á¯á¶á
ááºážá
á
áºáá±ážááŒááºážááŸáá·áº ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡ááŒá
áºá¡áá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºáá¬ááœáẠááŸá
áºáá±á«ááºážáá»á¬ážá
áœá¬ á¡ááœá±á·á¡ááŒá¯á¶ááŸááá±á¬ áá±á·áá»áá·áºáá°áá»á¬ážááŒá
áºáááºá
áááºáááºážááá¬áá»á¬ážá á¡áááºá¡áá»ááºážáá»á¬ážááᯠááá¯ááºáá¶ááá¬á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬áž- GCFAá MCFEá ACEá EnCE á áááºááá¯á·ááŒáá·áº á¡áááºááŒá¯áá«áááºá
áá»áœááºá¯ááºááá¯á·á áááºáááºážááá¬áá»á¬ážááẠá¡ááŸá¯ááºááœá±ážáá¯á¶ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááá¯ááẠááŸááºážáááºážá áœá¬ ááŸááºážááŒááŒá®áž ááááááºááŸáá·áº áá¯á¶áá¬áá¬á áá¬ážááᯠá¡ááœááºááá° ááŸá¬ááœá±ááá¯ááºáááºá áá»á±á¬ááºážáá¬ážáá»á¬ážááẠááœááºááŒá°áᬠá¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠá á¯á¶á ááºážá á áºáá±ážááŒááºážá ááœááºááŒá°áᬠááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá±á¬áºáá¯ááºááŒááºážááŸáá·áº áááºááŒááºááŒááºážááá¯ááºáᬠáááºááá¯ááºááá·áº á áááºáááºá á¬ážááœááºáᬠá¡áá»ááºá¡áááºáá»á¬ážá áœá¬ááᯠáááºáá°ááŒááŒá®áž ááœá²á·áááŒá®ážááŒá®ážáá»ááºáž áááºááœá±á·á¡áá¯á¶ážáá»ááá¯ááºááá·áº áááºááœá±á·áá»áá±á¬ á¡ááááá¬áá»á¬áž áááŸááááºááŒá áºáááºá
áááºáááºážáá»á¬ážááẠBelkasoft áá¯ááºáá¯ááºáá»á¬ážááŸáá·áºááááºááá¯ááºáá±á¬ á¡áá¯á¶ážáááºáá±á¬á
áœááºážáááºáá»á¬ážááᯠáá±ážáááºáá¬áž ááá¯á·ááá¯áẠá€áá±á¬á·ááºáá²ááºááá«áá² á€áá»áœááºážáá»ááºááŸá¯áá»á¬ážááẠá¡áá¯á¶ážáá»áááááá¯ááºáá«á
áááºáááºážáá¬áá¡ááœááºážáááŸááá±á¬áá»áœááºážáá»ááºááŸá¯áá»á¬ážááẠBelkasoft áá¯ááºáá¯ááºáá»á¬ážááᯠá¡áá¯á¶ážáááŒá¯áá² á¡áá¯á¶ážáááºáááºááŒá
áºáá«áááºá
áááŠážá
ááºážáááºááŸá¯ááœáẠá¡áááºá¡áá¬áá«áááºááááºážá
Primary testing ááẠcomputer forensics á á¡ááŒá±áᶠááá¯áá¯ááá»á¬ážááᯠá
ááºážáááºááŒááºáž ááŒá
áºáááºá Belkasoft ááŸáá·áº Group-IB áá¯ááºáá¯ááºáá»á¬ážá á¡ááááá¬ááᯠá
ááºážáááºááẠá¡á
á®á¡á
ááºáááŸááá«á
áá¯áá¹ááá®á ááá¬áá±ážááá¯ááºáᬠáááºáááºážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºááŸá¬ ááŸá¬ááááºáááºážá
ááá¬áá±ážáááºáááºážáá»á¬ážá áá
áºá
áááºáá
áºááá¯ááºážá¡áá±ááŒáá·áº Group-IB ááẠá¡ááŒá
áºá¡áá»ááºáá¯á¶á·ááŒááºááŸá¯á áá²ááºáá²áá¯áá±ááá ááá¯ááºáá¬áá±á¬ááºááŸááºážáá±ážáá»áœááºážáá»ááºáá°áá»á¬áž (Threat Intelligence)á áá¯á¶ááŒá¯á¶áá±ážá
á
áºáááºáá±ážá
ááºáᬠ(SOC) ááœáẠá¡áá¯ááºáá¯ááºááẠá¡áá°ážáá»áœááºážáá»ááºáá°áá»á¬ážááᯠáá±á·áá»áá·áºáá±ážáááºá ááŒáááºážááŒá±á¬ááºááŸá¯á¡áá²ááá¯ááºááŒááºáž (Threat Hunter) á
áááºááá¯á·á¡ááœáẠá¡áá°ážáá»áœááºážáá»ááºáá°áá»á¬ážááᯠáá±á·áá»áá·áºáá±ážáá«áááºá . Group-IB á០áá®ážááá·áºáááºáááºážáá»á¬áž á
á¬áááºážá¡ááŒáá·áºá¡á
á¯á¶ááᯠáááŸáááá¯ááºáá«áááºá
Group-IB ááŸáá·áº Belkasoft á¡ááŒá¬áž áá°ážááœá²áááºáááºážáá»á¬áž ááŒá®ážáá¯á¶ážááá·áº áá»á±á¬ááºážáá¬ážáá»á¬ážááẠá¡áááºáá¯ááŒá±ážááœá±áá»á¬áž áááŸáááŒááááºážá
Group-IB ááŸáá·áº Belkasoft á¡ááŒá¬áž áá°ážááœá²áááºáááºážáá»á¬ážááœáẠáá±á·áá»áá·áºáá±áž ááŒá®ážáá¯á¶ážáá°áá»á¬ážááẠá¡á±á¬ááºáá«ááá¯á·ááᯠáááŸááááºááŒá
áºáááºá
- áááºáááºážááŒá®ážáá¯á¶ážááŒá±á¬ááºážáááºááŸááº;
- Belkasoft Evidence Center ááá¯á· áá áẠá¡ááá²á· á á¬áááºážááœááºážááŒááºážá
- Belkasoft Evidence Center áááºáá°ááŸá¯á¡áá±á«áº 10% áá»áŸá±á¬á·á á»á±ážá
ááááá¯á¶ážáááºáááºážááᯠááááºá¹áá¬áá±á·ááŸá¬ á
áááºááŸá¬ááŒá
áºáá«ááŒá±á¬ááºáž á¡áááá±ážá¡ááºáá«áááºá 9 á
ááºáááºáá¬á, - ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážá ááœááºáá»á°áá¬ááŸá¯áááºážáá±ážááá¬ááŸáá·áº á¡ááŒá
áºá¡áá»ááºáá¯á¶á·ááŒááºááŸá¯áááºáááºááœáẠáá°ážááŒá¬ážáá±á¬á¡ááááá¬áááŸáááẠá¡ááœáá·áºá¡áá±ážááᯠáááºááœááºááá¶áá«ááŸáá·áºá áááºáááºážá¡ááœáẠááŸááºáá¯á¶áááºááŒááºážá
ááááºážáááºážááŒá áºáá±á¬ááºážáá«ážááŒááºáááºáá¬ááœáẠOleg Skulkin á០"á¡á±á¬ááºááŒááºáá±á¬ áá±á¬ááºááŸááºážáá±ážááŸáá±á¬ááºážááŸááºáá±á¬ á¡ááŒá áºá¡áá»ááºáá¯á¶á·ááŒááºááŸá¯á¡ááœáẠá¡áá±ážá¡áá°áá¯ááºááŒááºážááá¯ááºáᬠá¡ááœáŸááºážááááºážáá»á¬ážááá°ááẠáááºáá¶áá°-á¡ááŒá±áá¶ááŸá¯áááºážáá±ážááá¬ááᯠá¡áá¯á¶ážááŒá¯ááŒááºáž" ááᯠá¡áá¯á¶ážááŒá¯áá¬ážáá«áááºá
source: www.habr.com