Koorsooyinka wadajirka ah ee Group-IB iyo Belkasoft: waxa aan bari doono iyo cidda imanaysa

Algorithms iyo tabaha loogu talagalay ka jawaabista shilalka amniga macluumaadka, isbeddellada weerarrada internetka ee hadda jira, hababka baaritaanka xogta macluumaadka ee shirkadaha, baarista daalacashada iyo aaladaha mobilada, falanqaynta faylalka qarsoon, soo saarista xogta juqraafiyeed iyo falanqaynta tiro badan oo xog ah - dhammaan kuwan iyo mowduucyo kale waxaa lagu baran karaa koorsooyinka wadajirka ah ee cusub ee Group-IB iyo Belkasoft. Agoosto waxaan lagu dhawaaqay Kooraskii ugu horreeyay ee Belkasoft Digital Forensics, kaasoo bilaabmaya Sebtember 9, oo aanu helnay tiro badan oo su'aalo ah, waxaanu go'aansanay inaan si faahfaahsan uga hadalno waxa ardaydu baran doonaan, aqoonta, kartida iyo gunnada (!) ay heli doonaan kuwa dhamaadka gaadha. Horta wax yaabaha ugu horreeya.

Laba Dhammaan hal

Fikradda ah qabashada koorsooyinka tababarka wadajirka ah ayaa soo muuqday ka dib koorsada kooxda-IB ka qaybgalayaasha waxay bilaabeen inay waydiiyaan qalab ka caawin doona inay baaraan nidaamyada kombuyuutarrada iyo shabakadaha, iyo isku-darka shaqeynta adeegyada kala duwan ee bilaashka ah ee aan ku talineyno isticmaalka inta lagu jiro jawaabta dhacdada.

Fikradeena, qalabkan oo kale wuxuu noqon karaa Xarunta Caddaynta ee Belkasoft (mar hore ayaan uga hadalnay gudaha maqaal Igor Mikhailov "Furaha bilowga: software ugu fiican iyo hardware forensics kombiyuutarada"). Sidaa darteed, annagoo kaashanayna Belkasoft, waxaan sameynay laba koorso oo tababar ah: Belkasoft Digital Forensics и Imtixaanka Jawaabta Dhacdada Belkasoft.

MUHIIM: Koorasyadu waa kuwo isdaba-joog ah oo isku xidhan! Belkasoft Digital Forensics waxay u heellan tahay barnaamijka Xarunta Caddaynta Belkasoft, iyo Imtixaanka Jawaabta Dhacdada Belkasoft waxay u heellan tahay baarista shilalka iyadoo la adeegsanayo alaabada Belkasoft. Taasi waa, ka hor intaadan baran koorsada Imtixaanka Jawaabta Dhacdada Belkasoft, waxaan si adag ugu talinaynaa dhamaystirka koorsada Forensics Digital Belkasoft. Haddii aad isla markiiba ku bilawdo koorsada baadhista shilka, ardaygu waxa laga yaabaa inuu leeyahay daldaloolo aqooneed dhibsado xagga isticmaalka Xarunta Caddaynta ee Belkasoft, raadinta iyo baadhista agabka baadhista. Tani waxay horseedi kartaa xaqiiqda ah in inta lagu jiro tababarka koorsada Imtixaanka Jawaabta Dhacdada Belkasoft, ardaygu ma heli doono wakhti uu ku barto qalabka, ama wuxuu hoos u dhigi doonaa kooxda inteeda kale si ay u helaan aqoon cusub, maadaama wakhtiga tababarka la qaadan doono. by tababaraha oo sharxaya walxaha koorsada Belkasoft Digital Forensics.

Baadhitaanka kombuyuutarka ee Xarunta Caddaynta ee Belkasoft

Ujeedada koorsada Belkasoft Digital Forensics - Bar ardayda barnaamijka Xarunta Caddaynta Belkasoft, bar inay isticmaalaan barnaamijkan si ay u ururiyaan caddaynta ilo kala duwan (Kaydinta Cloud, kaydinta Random Access memory (RAM), aaladaha mobilada, warbaahinta kaydinta (hard drives, flash drives, iwm.), master Farsamooyinka iyo farsamooyinka aasaasiga ah ee baadhista, hababka baaritaanka forensic-ka ee farshaxanada Windows, aaladaha mobilada, daadinta RAM. Waxaad sidoo kale baran doontaa inaad aqoonsato oo aad dukumiinti ka dhigto agabka daalacashada iyo barnaamijyada fariimaha deg dega ah, abuurto nuqullo baaritaan oo xog ah oo laga helay ilo kala duwan, soo saar xogta geolocation iyo raadinta ee taxanaha qoraalka (raadinta ereyada muhiimka ah), isticmaal xashiishyada marka aad samaynayso cilmi baaris, falanqeyso diiwaanka Windows, aad u barto xirfadaha sahaminta xogaha SQLite ee aan la aqoon, aasaaska baarista garaafyada iyo galalka fiidiyowga, iyo farsamooyinka falanqaynta ee la isticmaalo inta lagu jiro baaritaannada.

Koorasku wuxuu faa'iido u yeelan doonaa khabiirada takhasuska leh ee ku takhasusay cilmiga farsamada kombuyuutarka (forensics-ka kumbuyuutarka); khabiiro farsamo oo go'aamiya sababaha faragelinta lagu guuleysto, waxay falanqeeyaan silsiladda dhacdooyinka iyo cawaaqibka weerarrada internetka; khabiiro farsamo oo aqoonsanaya oo diiwaangelinaya xatooyada xogta (daadin) ee gudaha (xadgudub gudaha ah); Takhasuslayaasha e-Discovery; SOC iyo shaqaalaha CERT/CSIRT; shaqaalaha amniga macluumaadka; hindise-yaqaannada kombuyuutarka.

Qorshaha koorsada:

• Xarunta Caddaynta Belkasoft (BEC): talaabooyinka ugu horeeya
• Abuuritaanka iyo habaynta kiisaska BEC
• U soo ururi caddaynta dhijitaalka ah ee baadhitaannada dambi-baarista ee BEC

• Isticmaalka filtarrada
• Abuurista warbixinnada
• Cilmi-baadhis ku saabsan barnaamijyada fariimaha degdegga ah

• Cilmi-baarista Mareegaha Shabakadda

• Cilmi-baarista Aaladda Mobaylka
• Soo saarida xogta juqraafiyeed

• Raadinta taxanaha qoraalka xaaladaha
• Soo saarista iyo falanqaynta xogta kaydinta daruuraha
• Isticmaalka bookmarks si loo muujiyo caddaynta muhiimka ah ee la helay intii lagu jiray cilmi-baarista
• Baaritaanka faylalka nidaamka Windows

• Falanqaynta Diiwaanka Daaqadaha
• Falanqaynta xogta SQLite

• Hababka Soo kabashada Xogta
• Farsamooyinka lagu baadho qashinka RAM
• Isticmaalka xisaabiyaha xashiishka iyo falanqaynta xashiishka ee cilmi-baadhista dambi-baarista
• Falanqaynta faylasha qarsoon
• Hababka lagu barto garaafyada iyo galalka muuqaalka
• Isticmaalka farsamooyinka falanqaynta ee cilmi-baarista dambi-baarista
• Si otomaatig ah u samee ficilada caadiga ah adigoo isticmaalaya luqadda barnaamijka Belkascripts ee ku dhex dhisan

• Casharo wax ku ool ah

Koorso: Imtixaanka Jawaabta Dhacdada Belkasoft

Ujeedada koorsadu waa in la barto aasaaska baaritaanka forensic-ka ee weerarrada internetka iyo suurtagalnimada isticmaalka Xarunta Caddaynta Belkasoft ee baaritaanka. Waxaad baran doontaa wax ku saabsan vectors-yada ugu waaweyn ee weerarrada casriga ah ee shabakadaha kombuyuutarka, baro sida loo kala saaro weerarrada kombuyuutarka ee ku salaysan MITER ATT&CK matrix, codso algorithms cilmi-baarista nidaamka hawlgalka si aad u dejiso xaqiiqda tanaasulka iyo dib-u-dhiska ficilada weeraryahannada, baro halka ay ku yaalliin agabyada artifacts Tilmaan faylasha la furay markii u dambaysay, halkaas oo nidaamka qalliinku ku kaydiyo macluumaadka ku saabsan sida faylasha la fulin karo loo soo dejiyey iyo sida loo fuliyay, sida weeraryahannada u guureen shabakadda, oo baro sida loo baaro agabkan iyadoo la adeegsanayo BEC. Waxa kale oo aad baran doontaa dhacdooyinka ku jira diiwaannada nidaamka ay xiiseeyaan marka laga eego aragtida baadhista shilka iyo ogaanshaha fogaanta, oo waxaad baran doontaa sida loo baadho iyaga oo isticmaalaya BEC.

Koorsadu waxay faa'iido u yeelan doontaa khabiiro farsamo oo go'aaminaya sababaha faragelinta guusha leh, falanqaynta silsiladaha dhacdooyinka iyo cawaaqibka weerarrada internetka; maamulayaasha nidaamka; SOC iyo shaqaalaha CERT/CSIRT; shaqaalaha amniga macluumaadka.

Dulmarka koorsada

Cyber ​​​​Kill Chain wuxuu qeexayaa marxaladaha ugu muhiimsan ee weerar kasta oo farsamo oo lagu qaado kombayuutarrada dhibbanaha (ama shabakadda kumbuyuutarka) sida soo socota:

Ficilada shaqaalaha SOC (CERT, amniga macluumaadka, iwm.) ayaa looga golleeyahay in laga hortago kuwa ku soo xad-gudbay helitaanka macluumaadka la ilaaliyo.

Haddii weerarayaashu galaan kaabayaasha la ilaaliyo, markaa dadka kor ku xusan waa inay isku dayaan inay yareeyaan waxyeelada ka imanaysa dhaqdhaqaaqyada weeraryahannada, go'aamiyaan sida weerarku u dhacay, dib-u-dhiska dhacdooyinka iyo isku xigxiga falalka weeraryahannada ee qaab-dhismeedka macluumaadka la dhimay, oo ay qaataan tallaabooyinka looga hortagayo weerarka noocaan ah mustaqbalka.

Noocyada soo socda ee raadraaca ayaa laga heli karaa kaabayaasha macluumaadka la jabiyay, taasoo muujinaysa in shabakadda (computer) la jabiyay:

Dhammaan raadadka noocaas ah waxaa laga heli karaa iyada oo la isticmaalayo barnaamijka Xarunta Caddaynta ee Belkasoft.

BEC waxay leedahay moduleka "Baaritaanka Dhacdada", halkaasoo, marka la falanqeynayo warbaahinta kaydinta, macluumaadka ku saabsan artifacts la dhigo kuwaas oo caawin kara cilmi-baaraha marka la baarayo shilalka.

BEC waxay taageertaa baadhista noocyada ugu waaweyn ee farshaxanada Windows ee tilmaamaya fulinta faylalka la fulin karo ee nidaamka baadhitaanka, oo ay ku jiraan Amcache, Userassist, Prefetch, faylasha BAM/DAM, Windows 10 Timeline, falanqaynta dhacdooyinka nidaamka.

Macluumaadka ku saabsan raadadka ay ku jiraan macluumaadka ku saabsan ficillada isticmaale ee nidaamka la jabiyay waxaa lagu soo bandhigi karaa foomkan:

Macluumaadkan, iyo waxyaabo kale, waxaa ku jira macluumaadka ku saabsan socodsiinta faylasha la fulin karo:

Macluumaadka ku saabsan socodsiinta faylka 'RDPWinst.exe'.

Macluumaadka ku saabsan joogitaanka weeraryahannada ee nidaamyada la jabsaday waxaa laga heli karaa furayaasha bilowga diiwaanka Windows, adeegyada, hawlaha la qorsheeyay, qoraallada Logon, WMI, iwm. Tusaalooyinka ogaanshaha macluumaadka ku saabsan weeraryahannada lagu xiray nidaamka waxaa lagu arki karaa shaashadaha soo socda:

Joojinta weeraryahannada isticmaalaya jadwalaha hawsha iyada oo la abuurayo hawl socodsiisa qoraalka PowerShell.

Isku-dubarid weeraryahannada iyadoo la adeegsanayo Qalabka Maareynta Windows (WMI).

Isku-dubarid weeraryahannada iyadoo la adeegsanayo qoraalka Logon.

Dhaqdhaqaaqa weeraryahannada guud ahaan shabakada kombuyuutarrada la dhibay waxaa lagu ogaan karaa, tusaale ahaan, iyadoo la falanqeynayo diiwaannada nidaamka Windows (haddii weeraryahanadu isticmaalaan adeegga RDP).

Macluumaadka ku saabsan xidhiidhada RDP ee la ogaaday.

Macluumaadka ku saabsan dhaqdhaqaaqa weeraryahannada ee shabakadaha oo dhan.

Sidaa darteed, Xarunta Caddaynta Belkasoft waxay ka caawin kartaa cilmi-baarayaasha inay aqoonsadaan kombuyuutarrada la isku halleyn karo ee ku jira shabakad kombuyuutar la weeraray, inay helaan raadadka bilawga malware, raadadka hagaajinta nidaamka iyo dhaqdhaqaaqa shabakada, iyo raadadka kale ee dhaqdhaqaaqa weerarka ee kombiyuutarada la dhibay.

Sida loo sameeyo cilmi-baaristan oo kale oo lagu ogaado farshaxanada kor lagu sifeeyay ayaa lagu sifeeyay koorsada tababarka Imtixaanka Jawaabta Dhacdada Belkasoft.

Qorshaha koorsada:

• Isbeddellada weerarka internetka. Tignoolajiyada, aaladaha, yoolalka weeraryahannada
• Isticmaalka moodooyinka khatarta ah si aad u fahamto xeeladaha weerarka, farsamooyinka, iyo hababka
• Silsilad dil ah oo internetka ah
• Algorithm ka jawaabida dhacdada: aqoonsiga, meelaynta, jiilka tilmaamayaasha, raadinta qanjidhada cusub ee cudurka qaba
• Falanqaynta nidaamyada Windows iyadoo la adeegsanayo BEC
• Ogaanshaha hababka caabuqa aasaasiga ah, faafinta shabakada, xoojinta, iyo dhaqdhaqaaqa shabakada ee malware iyadoo la isticmaalayo BEC
• Aqoonso nidaamyada cudurka qaba oo soo celi taariikhda caabuqa adoo isticmaalaya BEC
• Casharo wax ku ool ah

FAQHalkee lagu qabtaa koorsooyinka?
Koorasyada waxaa lagu qabtaa xarunta kooxda-IB ama goob dibadda ah (xarunta tababarka). Waa suurtogal in tabobaruhu uu u safro goobaha macaamiisha shirkadda.

Yaa qabta casharrada?
Tababarayaasha kooxda-IB waa xirfadleyaal leh khibrad sannado badan samaynta cilmi baadhisyo horudhac ah, baadhitaano shirkadeed iyo ka jawaabista shilalka amniga macluumaadka.

Aqoonta tababarayaasha waxaa lagu xaqiijiyay shahaadooyin caalami ah oo badan: GCFA, MCFE, ACE, EnCE, iwm.

Tababarayaashayadu waxay si fudud u helaan luqad ay wadaagaan dhagaystayaasha, iyagoo si cad u sharaxaya xitaa mawduucyada ugu adag. Ardaydu waxay baran doonaan macluumaad badan oo laxidhiidha oo xiiso leh oo ku saabsan baadhista shilalka kombayutarka, hababka lagu garto loogana hortago weerarada kombayutarka, oo waxay heli doonaan aqoon dhab ah oo la taaban karo oo ay codsan karaan isla markaaba qalin-jabinta.

Koorasyadu ma bixin doonaan xirfado faa'iido leh oo aan la xiriirin alaabada Belkasoft, mise xirfadahan ma noqon doonaan kuwo aan la dabaqi karin software-ka la'aanteed?
Xirfadaha la helay inta lagu jiro tababarka ayaa noqon doona mid waxtar leh iyada oo aan la isticmaalin alaabta Belkasoft.

Maxaa ku jira imtixaanka hore?

Imtixaanka aasaasiga ah waa imtixaan aqoonta aasaasiga ah ee cilmi-baarista kombuyuutarka. Ma jiraan wax qorshe ah oo lagu tijaabinayo aqoonta Belkasoft iyo Group-IB.

Halkeen ka heli karaa macluumaadka ku saabsan koorsooyinka waxbarasho ee shirkadda?

Iyada oo qayb ka ah koorsooyinka waxbarashada, Kooxda-IB waxay tababartaa khabiiro ku takhasusay jawaabta shilka, cilmi baarista malware, khabiirada sirta internetka (Sirdoonka Khatarta ah), khabiirada ka shaqeeya Xarunta Hawlgalka Amniga (SOC), khabiiro ku takhasusay ugaarsiga khatarta ah ee khatarta ah (Threat Hunter), iwm. . Liis dhameystiran oo ah koorsooyinka lahaanshaha ee Kooxda-IB ayaa diyaar ah halkan.

Waa maxay gunnooyinka ay helaan ardayda dhammaysata koorsooyinka wadajirka ah ee u dhexeeya Group-IB iyo Belkasoft?
Kuwa dhammaystay tababarka koorsooyinka wadajirka ah ee u dhexeeya Group-IB iyo Belkasoft waxay heli doonaan:

1. shahaadada dhamaystirka koorsada;
2. ku-qoritaanka bilaashka ah ee bil kasta Xarunta Caddaynta Belkasoft;
3. 10% qiimo dhimis ah iibsashada Xarunta Caddaynta Belkasoft.

Waxaan ku xasuusineynaa in koorsada ugu horeysa ay bilaabato Isniinta, 9 todobaadkii, - ha lumin fursadda aad ku heli karto aqoon gaar ah oo ku saabsan amniga macluumaadka, baaritaanka kombuyuutarka iyo jawaabta dhacdada! Diiwaangelinta koorsada halkan.

IlahaDiyaarinta maqaalka, waxaan isticmaalnay soo bandhigida Oleg Skulkin "Isticmaalka cilmi-baarista ku saleysan martida loo yahay si aan u helno tilmaameyaal tanaasul u ah jawaab celinta sirdoon ee guuleysatey."

Source: www.habr.com