āļāļąāļĨāļāļāļĢāļīāļāļķāļĄāđāļĨāļ°āļĒāļļāļāļāļ§āļīāļāļĩāđāļāļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āđāļāļ§āđāļāđāļĄāļāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđāđāļāļāļąāļāļāļļāļāļąāļ āđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļĢāļąāđāļ§āđāļŦāļĨāļāļāļāļāđāļāļĄāļđāļĨāđāļāļāļĢāļīāļĐāļąāļ āļāļēāļĢāļāđāļāļāļ§āđāļēāđāļāļĢāļēāļ§āđāđāļāļāļĢāđāđāļĨāļ°āļāļļāļāļāļĢāļāđāļĄāļ·āļāļāļ·āļ āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļāļĨāđāļāļĩāđāđāļāđāļēāļĢāļŦāļąāļŠ āļāļēāļĢāļāļķāļāļāđāļāļĄāļđāļĨāļāļģāđāļŦāļāđāļāļāļēāļāļ āļđāļĄāļīāļĻāļēāļŠāļāļĢāđ āđāļĨāļ°āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāđāļāļĄāļđāļĨāļāļĢāļīāļĄāļēāļāļĄāļēāļ - āļŦāļąāļ§āļāđāļāļāļąāđāļāļŦāļĄāļāļāļĩāđāđāļĨāļ°āļŦāļąāļ§āļāđāļāļāļ·āđāļ āđ āļŠāļēāļĄāļēāļĢāļāļĻāļķāļāļĐāļēāđāļāđāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļĢāđāļ§āļĄāđāļŦāļĄāđāļāļāļ Group-IB āđāļĨāļ° Belkasoft āđāļāđāļāļ·āļāļāļŠāļīāļāļŦāļēāļāļĄāđāļĢāļē
āļŠāļāļāļāļąāđāļāļŦāļĄāļāđāļāļŦāļāļķāđāļāđāļāļĩāļĒāļ§
āđāļāļ§āļāļīāļāđāļāļāļēāļĢāļāļąāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļēāļĢāļāļķāļāļāļāļĢāļĄāļĢāđāļ§āļĄāļāļĢāļēāļāļāļāļķāđāļāļŦāļĨāļąāļāļāļēāļāļāļđāđāđāļāđāļēāļĢāđāļ§āļĄāļŦāļĨāļąāļāļŠāļđāļāļĢ Group-IB āđāļĢāļīāđāļĄāļāļēāļĄāđāļāļĩāđāļĒāļ§āļāļąāļāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļĩāđāļāļ°āļāđāļ§āļĒāļāļ§āļāđāļāļēāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļĢāļ°āļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāđāļĨāļ°āđāļāļĢāļ·āļāļāđāļēāļĒāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļ āđāļĨāļ°āļĢāļ§āļĄāļāļąāļāļāđāļāļąāļāļāļēāļĢāļāļģāļāļēāļāļāļāļāļĒāļđāļāļīāļĨāļīāļāļĩāđāļāļĢāļĩāļāđāļēāļāđ āļāļĩāđāđāļĢāļēāđāļāļ°āļāļģāđāļŦāđāđāļāđāđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđ .
āđāļāļāļ§āļēāļĄāđāļŦāđāļāļāļāļāđāļĢāļē āđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļąāļāļāļĨāđāļēāļ§āļāļēāļāđāļāđāļ Belkasoft Evidence Center (āđāļĢāļēāđāļāđāļāļđāļāļāļļāļĒāļāļąāļāđāļĨāđāļ§āđāļāļāļąāđāļ)
āļŠāļģāļāļąāļ: āļŦāļĨāļąāļāļŠāļđāļāļĢāļĄāļĩāļāļ§āļēāļĄāļāđāļāđāļāļ·āđāļāļāđāļĨāļ°āđāļāļ·āđāļāļĄāđāļĒāļāļāļķāļāļāļąāļ! Belkasoft Digital Forensics āļāļļāđāļĄāđāļāđāļŦāđāļāļąāļāđāļāļĢāđāļāļĢāļĄ Belkasoft Evidence Center āđāļĨāļ° Belkasoft Incident Response Examination āļāļļāđāļĄāđāļāđāļŦāđāļāļąāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļāļĒāđāļāđāļāļĨāļīāļāļ āļąāļāļāđāļāļāļ Belkasoft āļāļąāđāļāļāļ·āļ āļāđāļāļāļāļĩāđāļāļ°āļĻāļķāļāļĐāļēāļŦāļĨāļąāļāļŠāļđāļāļĢ Belkasoft Incident Response Examination āđāļĢāļēāļāļāđāļāļ°āļāļģāļāļĒāđāļēāļāļĒāļīāđāļāđāļŦāđāļŠāļģāđāļĢāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢ Belkasoft Digital Forensics āļŦāļēāļāļāļļāļāđāļĢāļīāđāļĄāļāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļŠāļ·āļāļŠāļ§āļāđāļŦāļāļļāļāļēāļĢāļāđāļāļąāļāļāļĩ āļāļąāļāđāļĢāļĩāļĒāļāļāļēāļāļĄāļĩāļāđāļāļāļ§āđāļēāļāļāļ§āļēāļĄāļĢāļđāđāļāļĩāđāļāđāļēāļĢāļģāļāļēāļāđāļāļāļēāļĢāđāļāđ Belkasoft Evidence Center āļāļēāļĢāļāđāļāļŦāļēāđāļĨāļ°āļāļĢāļ§āļāļŠāļāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđ āļŠāļīāđāļāļāļĩāđāļāļēāļāļāļģāđāļāļŠāļđāđāļāļ§āļēāļĄāļāļĢāļīāļāļāļĩāđāļ§āđāļēāđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļĢāļāļķāļāļāļāļĢāļĄāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļēāļĢāļŠāļāļāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļāļ Belkasoft āļāļąāļāđāļĢāļĩāļĒāļāļāļ°āđāļĄāđāļĄāļĩāđāļ§āļĨāļēāđāļāļĩāđāļĒāļ§āļāļēāļāđāļāļ·āđāļāļŦāļēāļŦāļĢāļ·āļāļāļ°āļāļģāđāļŦāđāļāļĨāļļāđāļĄāļāļĩāđāđāļŦāļĨāļ·āļāļāđāļēāļĨāļāđāļāļāļēāļĢāļĢāļąāļāļāļ§āļēāļĄāļĢāļđāđāđāļŦāļĄāđ āđāļāļ·āđāļāļāļāļēāļāļāļ°āđāļāđāđāļ§āļĨāļēāđāļāļāļēāļĢāļāļķāļāļāļāļĢāļĄ āđāļāļĒāļ§āļīāļāļĒāļēāļāļĢāļāļĢāļĢāļĒāļēāļĒāđāļāļ·āđāļāļŦāļēāļāļēāļāļŦāļĨāļąāļāļŠāļđāļāļĢ Belkasoft Digital Forensics
āļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļąāļ Belkasoft Evidence Center
āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢ āļāļīāļāļīāļāļīāļāļīāļāļāļĨ Belkasoft â āđāļāļ°āļāļģāļāļąāļāđāļĢāļĩāļĒāļāđāļŦāđāļĢāļđāđāļāļąāļāļāļąāļāđāļāļĢāđāļāļĢāļĄ Belkasoft Evidence Center āļŠāļāļāđāļŦāđāđāļāđāđāļāļĢāđāļāļĢāļĄāļāļĩāđāđāļāļ·āđāļāļĢāļ§āļāļĢāļ§āļĄāļŦāļĨāļąāļāļāļēāļāļāļēāļāđāļŦāļĨāđāļāļāđāļēāļāđ (āļāļĩāđāđāļāđāļāļāđāļāļĄāļđāļĨāļāļāļāļĨāļēāļ§āļāđ, āļŦāļāđāļ§āļĒāļāļ§āļēāļĄāļāļģāđāļāđāļēāļāļķāļāđāļāļĒāļŠāļļāđāļĄ (RAM), āļāļļāļāļāļĢāļāđāļĄāļ·āļāļāļ·āļ, āļŠāļ·āđāļāđāļāđāļāļāđāļāļĄāļđāļĨ (āļŪāļēāļĢāđāļāđāļāļĢāļāđ, āđāļāļĨāļāđāļāļĢāļāđ āļŊāļĨāļŊ ), āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļ āđāļāļāļāļīāļāđāļĨāļ°āđāļāļāļāļīāļāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđāļāļ·āđāļāļāļēāļ āļ§āļīāļāļĩāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļāļāļīāļāļīāđāļ§āļāļāļāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđ Windows āļāļļāļāļāļĢāļāđāļĄāļ·āļāļāļ·āļ āļāļēāļĢāļāļīāđāļ RAM āļāļāļāļāļēāļāļāļĩāđāļāļļāļāļĒāļąāļāļāļ°āđāļāđāđāļĢāļĩāļĒāļāļĢāļđāđāđāļāļāļēāļĢāļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļāļķāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāļāļāļāđāļāļĢāļēāļ§āđāđāļāļāļĢāđāđāļĨāļ°āđāļāļĢāđāļāļĢāļĄāļŠāđāļāļāđāļāļāļ§āļēāļĄāđāļāđāļāļāļāđāļāļāļāļąāļāļāļĩ āļŠāļĢāđāļēāļāļŠāļģāđāļāļēāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđāļāļāļāļāđāļāļĄāļđāļĨāļāļēāļāđāļŦāļĨāđāļāļāđāļēāļ āđ āļāļķāļāļāđāļāļĄāļđāļĨāļāļģāđāļŦāļāđāļāļāļēāļāļ āļđāļĄāļīāļĻāļēāļŠāļāļĢāđāđāļĨāļ°āļāļēāļĢāļāđāļāļŦāļē āļŠāļģāļŦāļĢāļąāļāļĨāļģāļāļąāļāļāđāļāļāļ§āļēāļĄ (āļāđāļāļŦāļēāļāđāļ§āļĒāļāļģāļŦāļĨāļąāļ) āđāļāđāđāļŪāļāđāļĄāļ·āđāļāļāļģāđāļāļīāļāļāļēāļĢāļ§āļīāļāļąāļĒ āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļĢāļĩāļāļīāļŠāļāļĢāļĩāļāļāļ Windows āļāļķāļāļāļāļāļąāļāļĐāļ°āđāļāļāļēāļĢāļŠāļģāļĢāļ§āļāļāļēāļāļāđāļāļĄāļđāļĨ SQLite āļāļĩāđāđāļĄāđāļĢāļđāđāļāļąāļ āļāļ·āđāļāļāļēāļāļāļāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļāļĨāđāļāļĢāļēāļāļīāļāđāļĨāļ°āļ§āļīāļāļĩāđāļ āđāļĨāļ°āđāļāļāļāļīāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ
āļŦāļĨāļąāļāļŠāļđāļāļĢāļāļĩāđāļāļ°āđāļāđāļāļāļĢāļ°āđāļĒāļāļāđāļŠāļģāļŦāļĢāļąāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļēāļāđāļāļāļāļīāļ (āļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ) āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāđāļāļāļāļīāļāļāļĩāđāļāļģāļŦāļāļāļŠāļēāđāļŦāļāļļāļāļāļāļāļēāļĢāļāļļāļāļĢāļļāļāļāļĩāđāļāļĢāļ°āļŠāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļ āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŦāđāļ§āļāđāļāđāļāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļĨāļ°āļāļĨāļāļĩāđāļāļēāļĄāļĄāļēāļāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāđāļāļāļāļīāļāļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļāļķāļāļāļēāļĢāđāļāļĢāļāļĢāļĢāļĄāļāđāļāļĄāļđāļĨ (āļāļēāļĢāļĢāļąāđāļ§āđāļŦāļĨ) āđāļāļĒāļāļļāļāļāļĨāļ āļēāļĒāđāļ (āļāļđāđāļāđāļēāļāļ·āļāļ āļēāļĒāđāļ) āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļ e-Discovery; āđāļāđāļēāļŦāļāđāļēāļāļĩāđ SOC āđāļĨāļ° CERT/CSIRT āļāļāļąāļāļāļēāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨ āļāļđāđāļāļ·āđāļāļāļāļāļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ
āđāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢ:
- Belkasoft Evidence Center (BEC): āļāđāļēāļ§āđāļĢāļ
- āļāļēāļĢāļŠāļĢāđāļēāļāđāļĨāļ°āļāļģāđāļāļīāļāļāļēāļĢāļāļāļĩāđāļāļāļĩāļāļĩāļāļĩ
- āļĢāļ§āļāļĢāļ§āļĄāļŦāļĨāļąāļāļāļēāļāļāļīāļāļīāļāļąāļĨāđāļāļ·āđāļāļāļēāļĢāļŠāļāļāļŠāļ§āļāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđāļāļąāļāļāļĩāļāļĩāļāļĩ
- āļāļēāļĢāđāļāđāļāļąāļ§āļāļĢāļāļ
- āļāļēāļĢāļĢāļēāļĒāļāļēāļ
- āļāļēāļĢāļ§āļīāļāļąāļĒāđāļāļĩāđāļĒāļ§āļāļąāļāđāļāļĢāđāļāļĢāļĄāļŠāđāļāļāđāļāļāļ§āļēāļĄāđāļāđāļāļāļāđāļāļāļāļąāļāļāļĩ
- āļāļēāļĢāļ§āļīāļāļąāļĒāđāļ§āđāļāđāļāļĢāļēāļ§āđāđāļāļāļĢāđ
- āļāļēāļĢāļ§āļīāļāļąāļĒāļāļļāļāļāļĢāļāđāđāļāļĨāļ·āđāļāļāļāļĩāđ
- āļāļēāļĢāđāļĒāļāļāđāļāļĄāļđāļĨāļāļģāđāļŦāļāđāļāļāļēāļāļ āļđāļĄāļīāļĻāļēāļŠāļāļĢāđ
- āļāđāļāļŦāļēāļĨāļģāļāļąāļāļāđāļāļāļ§āļēāļĄāđāļāļāļĢāļāļĩ
- āļāļēāļĢāđāļĒāļāđāļĨāļ°āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāđāļāļĄāļđāļĨāļāļēāļāļāļĩāđāđāļāđāļāļāđāļāļĄāļđāļĨāļāļāļāļĨāļēāļ§āļāđ
- āļāļēāļĢāđāļāđāļāļļāđāļāļĄāļēāļĢāđāļāđāļāļ·āđāļāđāļāđāļāļŦāļĨāļąāļāļāļēāļāļŠāļģāļāļąāļāļāļĩāđāļāļāđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļĢāļ§āļīāļāļąāļĒ
- āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļāļĨāđāļĢāļ°āļāļ Windows
- āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļĢāļĩāļāļīāļŠāļāļĢāļĩāļāļāļ Windows
- āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļāļāđāļāļĄāļđāļĨ SQLite
- āļ§āļīāļāļĩāļāļēāļĢāļāļđāđāļāļ·āļāļāđāļāļĄāļđāļĨ
- āđāļāļāļāļīāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ RAM dumps
- āļāļēāļĢāđāļāđāđāļāļĢāļ·āđāļāļāļāļģāļāļ§āļāđāļŪāļāđāļĨāļ°āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļŪāļāđāļāļāļēāļĢāļ§āļīāļāļąāļĒāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđ
- āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļāļĨāđāļāļĩāđāđāļāđāļēāļĢāļŦāļąāļŠ
- āļ§āļīāļāļĩāļāļēāļĢāļĻāļķāļāļĐāļēāđāļāļĨāđāļāļĢāļēāļāļīāļāđāļĨāļ°āļ§āļĩāļāļīāļāļąāļĻāļāđ
- āļāļēāļĢāđāļāđāđāļāļāļāļīāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļāļāļēāļĢāļ§āļīāļāļąāļĒāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđ
- āļāļģāđāļāļīāļāļāļēāļĢāļāļēāļĄāļāļāļāļīāđāļāļĒāļāļąāļāđāļāļĄāļąāļāļīāđāļāļĒāđāļāđāļ āļēāļĐāļēāļāļēāļĢāđāļāļĩāļĒāļāđāļāļĢāđāļāļĢāļĄ Belkascripts āđāļāļāļąāļ§
- āļāļēāļĢāļāļķāļāļāļāļīāļāļąāļāļī
āļŦāļĨāļąāļāļŠāļđāļāļĢ: āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļāļāļŠāļāļāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļāļ Belkasoft
āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļ·āļāđāļāļ·āđāļāđāļĢāļĩāļĒāļāļĢāļđāđāļāļ·āđāļāļāļēāļāļāļāļāļāļēāļĢāļŠāļ·āļāļŠāļ§āļāļāļēāļāļāļīāļāļīāļ§āļīāļāļĒāļēāļĻāļēāļŠāļāļĢāđāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āđāļĨāļ°āļāļ§āļēāļĄāđāļāđāļāđāļāđāļāđāļāļāļāļāļēāļĢāđāļāđ Belkasoft Evidence Center āđāļāļāļēāļĢāļŠāļ·āļāļŠāļ§āļ āļāļļāļāļāļ°āđāļāđāđāļĢāļĩāļĒāļāļĢāļđāđāđāļāļĩāđāļĒāļ§āļāļąāļāđāļ§āļāđāļāļāļĢāđāļŦāļĨāļąāļāļāļāļāļāļēāļĢāđāļāļĄāļāļĩāļŠāļĄāļąāļĒāđāļŦāļĄāđāļāļāđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĢāļĩāļĒāļāļĢāļđāđāļāļĩāđāļāļ°āļāļģāđāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļēāļĄāđāļĄāļāļĢāļīāļāļāđ MITER ATT&CK āđāļāđāļāļąāļĨāļāļāļĢāļīāļāļķāļĄāļāļēāļĢāļ§āļīāļāļąāļĒāļĢāļ°āļāļāļāļāļīāļāļąāļāļīāļāļēāļĢāđāļāļ·āđāļāļŠāļĢāđāļēāļāļāđāļāđāļāđāļāļāļĢāļīāļāļāļāļāļāļēāļĢāļāļĢāļ°āļāļĩāļāļĢāļ°āļāļāļĄ āđāļĨāļ°āļŠāļĢāđāļēāļāļāļēāļĢāļāļĢāļ°āļāļģāļāļāļāļāļđāđāđāļāļĄāļāļĩāļāļķāđāļāđāļŦāļĄāđ āđāļĢāļĩāļĒāļāļĢāļđāđāļ§āđāļēāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāļāļĒāļđāđāļāļĩāđāđāļ āļĢāļ°āļāļļāļ§āđāļēāđāļāļĨāđāđāļāļāļđāļāđāļāļīāļāļĨāđāļēāļŠāļļāļ āđāļāļĒāļāļĩāđāļĢāļ°āļāļāļāļāļīāļāļąāļāļīāļāļēāļĢāļāļąāļāđāļāđāļāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļ§āļīāļāļĩāļāļēāļĢāļāļēāļ§āļāđāđāļŦāļĨāļāđāļĨāļ°āđāļĢāļĩāļĒāļāđāļāđāđāļāļĨāđāļāļāļīāļāļąāļāļīāļāļēāļĢ āļāļđāđāđāļāļĄāļāļĩāđāļāļĨāļ·āđāļāļāļĒāđāļēāļĒāļāđāļēāļĄāđāļāļĢāļ·āļāļāđāļēāļĒāļāļĒāđāļēāļāđāļĢ āđāļĨāļ°āđāļĢāļĩāļĒāļāļĢāļđāđāļ§āļīāļāļĩāļāļĢāļ§āļāļŠāļāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāđāļŦāļĨāđāļēāļāļĩāđāđāļāļĒāđāļāđ BEC āļāļāļāļāļēāļāļāļĩāđāļāļļāļāļĒāļąāļāļāļ°āđāļāđāđāļĢāļĩāļĒāļāļĢāļđāđāļ§āđāļēāđāļŦāļāļļāļāļēāļĢāļāđāđāļāđāļāļāļąāļāļāļķāļāļāļāļāļĢāļ°āļāļāļāļĩāđāļāđāļēāļŠāļāđāļāļāļēāļāļĄāļļāļĄāļĄāļāļāļāļāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļĨāļ°āļāļēāļĢāļāļĢāļ§āļāļāļąāļāļāļēāļĢāđāļāđāļēāļāļķāļāļĢāļ°āļĒāļ°āđāļāļĨ āđāļĨāļ°āđāļĢāļĩāļĒāļāļĢāļđāđāļ§āļīāļāļĩāļāļĢāļ§āļāļŠāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļŦāļĨāđāļēāļāļąāđāļāđāļāļĒāđāļāđ BEC
āļŦāļĨāļąāļāļŠāļđāļāļĢāļāļĩāđāļāļ°āđāļāđāļāļāļĢāļ°āđāļĒāļāļāđāļŠāļģāļŦāļĢāļąāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāđāļāļāļāļīāļāļāļĩāđāļāļģāļŦāļāļāļŠāļēāđāļŦāļāļļāļāļāļāļāļēāļĢāļāļļāļāļĢāļļāļāļāļĩāđāļāļĢāļ°āļŠāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļ āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŦāđāļ§āļāđāļāđāļāļāļāđāļŦāļāļļāļāļēāļĢāļāđ āđāļĨāļ°āļāļĨāļāļĩāđāļāļēāļĄāļĄāļēāļāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āļāļđāđāļāļđāđāļĨāļĢāļ°āļāļ āđāļāđāļēāļŦāļāđāļēāļāļĩāđ SOC āđāļĨāļ° CERT/CSIRT āđāļāđāļēāļŦāļāđāļēāļāļĩāđāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨ
āļ āļēāļāļĢāļ§āļĄāļāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢ
Cyber ââââKill Chain āļāļāļīāļāļēāļĒāļāļąāđāļāļāļāļāļŦāļĨāļąāļāļāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāļāļāļīāļāļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļāļāđāļŦāļĒāļ·āđāļ (āļŦāļĢāļ·āļāđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ) āļāļąāļāļāļĩāđ:
āļāļēāļĢāļāļĢāļ°āļāļģāļāļāļāļāļāļąāļāļāļēāļ SOC (CERT, āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļŊāļĨāļŊ) āļĄāļĩāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāđāļāļ·āđāļāļāđāļāļāļāļąāļāđāļĄāđāđāļŦāđāļāļđāđāļāļļāļāļĢāļļāļāđāļāđāļēāļāļķāļāļāļĢāļąāļāļĒāļēāļāļĢāļāđāļāļĄāļđāļĨāļāļĩāđāđāļāđāļĢāļąāļāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļ
āļŦāļēāļāļāļđāđāđāļāļĄāļāļĩāđāļāļēāļ°āđāļāđāļēāđāļāđāļāđāļāļĢāļāļŠāļĢāđāļēāļāļāļ·āđāļāļāļēāļāļāļĩāđāđāļāđāļĢāļąāļāļāļēāļĢāļāđāļāļāļāļąāļ āļāļļāļāļāļĨāļāđāļēāļāļāđāļāļāļ§āļĢāļāļĒāļēāļĒāļēāļĄāļĨāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļēāļāļāļīāļāļāļĢāļĢāļĄāļāļāļāļāļđāđāđāļāļĄāļāļĩāđāļŦāđāđāļŦāļĨāļ·āļāļāđāļāļĒāļāļĩāđāļŠāļļāļ āļāļģāļŦāļāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļĄāļāļĩ āļŠāļĢāđāļēāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļŦāļĄāđāđāļĨāļ°āļĨāļģāļāļąāļāļāļēāļĢāļāļĢāļ°āļāļģāļāļāļāļāļđāđāđāļāļĄāļāļĩāđāļāđāļāļĢāļāļŠāļĢāđāļēāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļ āđāļĨāļ°āļāļģāđāļāļīāļāļāļēāļĢ āļĄāļēāļāļĢāļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāđāļāļĄāļāļĩāļāļĢāļ°āđāļ āļāļāļĩāđāđāļāļāļāļēāļāļ
āļāļēāļĢāļāļīāļāļāļēāļĄāļāļĢāļ°āđāļ āļāļāđāļāđāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāļāđāļāđāđāļāđāļāļĢāļāļŠāļĢāđāļēāļāļāļ·āđāļāļāļēāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļ āļāļķāđāļāļāđāļāļāļĩāđāļ§āđāļēāđāļāļĢāļ·āļāļāđāļēāļĒ (āļāļāļĄāļāļīāļ§āđāļāļāļĢāđ) āļāļđāļāļāļļāļāļĢāļļāļ:
āļĢāđāļāļāļĢāļāļĒāļāļąāļāļāļĨāđāļēāļ§āļāļąāđāļāļŦāļĄāļāļŠāļēāļĄāļēāļĢāļāļāļāđāļāđāđāļāļĒāđāļāđāđāļāļĢāđāļāļĢāļĄ Belkasoft Evidence Center
BEC āļĄāļĩāđāļĄāļāļđāļĨ "āļāļēāļĢāļŠāļ·āļāļŠāļ§āļāđāļŦāļāļļāļāļēāļĢāļāđ" āļāļķāđāļāđāļĄāļ·āđāļāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŠāļ·āđāļāļāļąāļāđāļāđāļāļāđāļāļĄāļđāļĨ āļāļ°āļĄāļĩāļāļēāļĢāļ§āļēāļāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāļāļđāđāļ§āļīāļāļąāļĒāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļāđ
BEC āļĢāļāļāļĢāļąāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļĢāļ°āđāļ āļāļŦāļĨāļąāļāļāļāļ Windows Artifact āļāļĩāđāļĢāļ°āļāļļāļāļķāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļĢāļāļāļāđāļāļĨāđāļāļāļīāļāļąāļāļīāļāļēāļĢāļāļāļĢāļ°āļāļāļ āļēāļĒāđāļāđāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ āļĢāļ§āļĄāļāļķāļāđāļāļĨāđ Amcache, Userassist, Prefetch, BAM/DAM
āļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļīāļāļāļēāļĄāļāļĩāđāļĄāļĩāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļĢāļ°āļāļģāļāļāļāļāļđāđāđāļāđāđāļāļĢāļ°āļāļāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļāļŠāļēāļĄāļēāļĢāļāļāļģāđāļŠāļāļāđāļāļĢāļđāļāđāļāļāļāđāļāđāļāļāļĩāđ:
āļāđāļāļĄāļđāļĨāļāļĩāđāļĢāļ§āļĄāļāļķāļāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļĢāļĩāļĒāļāđāļāđāđāļāļĨāđāļāļāļīāļāļąāļāļīāļāļēāļĢ:
āļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļĢāļĩāļĒāļāđāļāđāđāļāļĨāđ 'RDPWInst.exe'
āļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļĢāļēāļāļāļāļąāļ§āļāļāļāļāļđāđāđāļāļĄāļāļĩāđāļāļĢāļ°āļāļāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļāļŠāļēāļĄāļēāļĢāļāļāļāđāļāđāđāļāļāļĩāļĒāđāļāļēāļĢāđāļĢāļīāđāļĄāļāđāļāļĢāļĩāļāļīāļŠāļāļĢāļĩāļāļāļ Windows, āļāļĢāļīāļāļēāļĢ, āļāļēāļāļāļĩāđāļāļģāļŦāļāļāđāļ§āļĨāļēāđāļ§āđ, āļŠāļāļĢāļīāļāļāđāļāļēāļĢāđāļāđāļēāļŠāļđāđāļĢāļ°āļāļ, WMI āļŊāļĨāļŊ āļāļąāļ§āļāļĒāđāļēāļāļāļēāļĢāļāļĢāļ§āļāļāļąāļāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļđāđāđāļāļĄāļāļĩāļāļĩāđāļāļīāļāļāļĒāļđāđāļāļąāļāļĢāļ°āļāļāļŠāļēāļĄāļēāļĢāļāļāļđāđāļāđāđāļāļ āļēāļāļŦāļāđāļēāļāļāļāđāļāđāļāļāļĩāđ:
āļāļēāļĢāļāļģāļāļąāļāļāļđāđāđāļāļĄāļāļĩāđāļāļĒāđāļāđāļāļąāļ§āļāļģāļŦāļāļāđāļ§āļĨāļēāļāļēāļāđāļāļĒāļāļēāļĢāļŠāļĢāđāļēāļāļāļēāļāļāļĩāđāđāļĢāļĩāļĒāļāđāļāđāļŠāļāļĢāļīāļāļāđ PowerShell
āļĢāļ§āļāļĢāļ§āļĄāļāļđāđāđāļāļĄāļāļĩāđāļāļĒāđāļāđ Windows Management Instrumentation (WMI)
āļĢāļ§āļāļĢāļ§āļĄāļāļđāđāđāļāļĄāļāļĩāđāļāļĒāđāļāđāļŠāļāļĢāļīāļāļāđāļāļēāļĢāđāļāđāļēāļŠāļđāđāļĢāļ°āļāļ
āļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļāļąāļāļāļ§āļēāļĄāđāļāļĨāļ·āđāļāļāđāļŦāļ§āļāļāļāļāļđāđāđāļāļĄāļāļĩāļāđāļēāļāđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļāđāļāđ āđāļāđāļ āđāļāļĒāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļąāļāļāļķāļāļĢāļ°āļāļ Windows (āļŦāļēāļāļāļđāđāđāļāļĄāļāļĩāđāļāđāļāļĢāļīāļāļēāļĢ RDP)
āļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļāļ·āđāļāļĄāļāđāļ RDP āļāļĩāđāļāļĢāļ§āļāļāļ
āļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļāļĨāļ·āđāļāļāđāļŦāļ§āļāļāļāļāļđāđāđāļāļĄāļāļĩāļāļąāđāļ§āļāļąāđāļāđāļāļĢāļ·āļāļāđāļēāļĒ
āļāļąāļāļāļąāđāļ Belkasoft Evidence Center āļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāļāļąāļāļ§āļīāļāļąāļĒāļĢāļ°āļāļļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļāđāļāđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļĩāđāļāļđāļāđāļāļĄāļāļĩ āļāđāļāļŦāļēāļĢāđāļāļāļĢāļāļĒāļāļāļāļāļēāļĢāđāļāļīāļāļāļąāļ§āļĄāļąāļĨāđāļ§āļĢāđ āļĢāđāļāļāļĢāļāļĒāļāļēāļĢāđāļāđāđāļāđāļāļĢāļ°āļāļāđāļĨāļ°āļāļēāļĢāđāļāļĨāļ·āđāļāļāđāļŦāļ§āļāļąāđāļ§āļāļąāđāļāđāļāļĢāļ·āļāļāđāļēāļĒ āđāļĨāļ°āļĢāđāļāļāļĢāļāļĒāļāļīāļāļāļĢāļĢāļĄāļāļ·āđāļāđ āļāļāļāļāļđāđāđāļāļĄāļāļĩāļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļĩāđāļāļđāļāļāļļāļāļĢāļļāļ
āļ§āļīāļāļĩāļāļģāđāļāļīāļāļāļēāļĢāļ§āļīāļāļąāļĒāđāļĨāļ°āļāļĢāļ§āļāļāļąāļāļŠāļīāđāļāļāļĢāļ°āļāļīāļĐāļāđāļāļĩāđāļāļāļīāļāļēāļĒāđāļ§āđāļāđāļēāļāļāđāļāļĄāļĩāļāļāļīāļāļēāļĒāđāļ§āđāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļēāļĢāļāļķāļāļāļāļĢāļĄāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļāļāļŠāļāļāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļāļ Belkasoft
āđāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢ:
- āđāļāļ§āđāļāđāļĄāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āđāļāļāđāļāđāļĨāļĒāļĩ āđāļāļĢāļ·āđāļāļāļĄāļ·āļ āđāļāđāļēāļŦāļĄāļēāļĒāļāļāļāļāļđāđāđāļāļĄāļāļĩ
- āļāļēāļĢāđāļāđāđāļĄāđāļāļĨāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāļ·āđāļāļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļāļāļĨāļĒāļļāļāļāđ āđāļāļāļāļīāļ āđāļĨāļ°āļāļąāđāļāļāļāļāļāļāļāļāļđāđāđāļāļĄāļāļĩ
- āļŦāđāļ§āļāđāļāđāļāļēāļĢāļāđāļēāđāļāđāļāļāļĢāđ
- āļāļąāļĨāļāļāļĢāļīāļāļķāļĄāļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđ: āļāļēāļĢāļĢāļ°āļāļļāļāļąāļ§āļāļ āļāļēāļĢāđāļāļĨ āļāļēāļĢāļŠāļĢāđāļēāļāļāļąāļ§āļāđāļāļāļĩāđ āļāđāļāļŦāļēāđāļŦāļāļāđāļŦāļĄāđāļāļĩāđāļāļīāļāđāļ§āļĢāļąāļŠ
- āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļĢāļ°āļāļ Windows āđāļāļĒāđāļāđ BEC
- āļāļēāļĢāļāļĢāļ§āļāļāļąāļāļ§āļīāļāļĩāļāļēāļĢāļāļīāļāđāļ§āļĢāļąāļŠāļŦāļĨāļąāļ āļāļēāļĢāđāļāļĢāđāļāļĢāļ°āļāļēāļĒāđāļāļĢāļ·āļāļāđāļēāļĒ āļāļēāļĢāļĢāļ§āļĄ āđāļĨāļ°āļāļīāļāļāļĢāļĢāļĄāđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļāļĄāļąāļĨāđāļ§āļĢāđāđāļāļĒāđāļāđ BEC
- āļĢāļ°āļāļļāļĢāļ°āļāļāļāļĩāđāļāļīāļāđāļ§āļĢāļąāļŠāđāļĨāļ°āļāļđāđāļāļ·āļāļāļĢāļ°āļ§āļąāļāļīāļāļēāļĢāļāļīāļāđāļ§āļĢāļąāļŠāđāļāļĒāđāļāđ BEC
- āļāļēāļĢāļāļķāļāļāļāļīāļāļąāļāļī
āļāļģāļāļēāļĄāļāļĩāđāļāļāļāđāļāļĒāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļąāļāļāļķāđāļāļāļĩāđāđāļŦāļ?
āļŦāļĨāļąāļāļŠāļđāļāļĢāļāļ°āļāļąāļāļāļķāđāļāļāļĩāđāļŠāļģāļāļąāļāļāļēāļāđāļŦāļāđ Group-IB āļŦāļĢāļ·āļāļāļĩāđāļŠāļāļēāļāļāļĩāđāļ āļēāļĒāļāļāļ (āļĻāļđāļāļĒāđāļāļķāļāļāļāļĢāļĄ) āļāļđāđāļāļķāļāļŠāļāļāļŠāļēāļĄāļēāļĢāļāđāļāļīāļāļāļēāļāđāļāļĒāļąāļāđāļāļāđāļāļēāļāļāļąāļāļĨāļđāļāļāđāļēāļāļāļāđāļāļĢāđāļāđ
āđāļāļĢāđāļāđāļāļāļđāđāļāļģāđāļāļīāļāļāļēāļĢāļāļąāđāļāđāļĢāļĩāļĒāļ?
āļāļđāđāļāļķāļāļŠāļāļāļāļĩāđ Group-IB āđāļāđāļāļāļđāđāļāļāļīāļāļąāļāļīāļāļēāļāļāļĩāđāļĄāļĩāļāļĢāļ°āļŠāļāļāļēāļĢāļāđāļŦāļĨāļēāļĒāļāļĩāđāļāļāļēāļĢāļāļģāļ§āļīāļāļąāļĒāļāļēāļāļāļīāļāļīāđāļ§āļ āļāļēāļĢāļŠāļ·āļāļŠāļ§āļāļāļāļāđāļāļĢ āđāļĨāļ°āļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ
āļāļļāļāļŠāļĄāļāļąāļāļīāļāļāļāļāļđāđāļāļķāļāļŠāļāļāđāļāđāļĢāļąāļāļāļēāļĢāļĒāļ·āļāļĒāļąāļāļāļēāļāđāļāļĢāļąāļāļĢāļāļāļĢāļ°āļŦāļ§āđāļēāļāļāļĢāļ°āđāļāļĻāļĄāļēāļāļĄāļēāļĒ: GCFA, MCFE, ACE, EnCE āđāļāđāļāļāđāļ
āļāļđāđāļāļķāļāļŠāļāļāļāļāļāđāļĢāļēāļāđāļāļŦāļēāļ āļēāļĐāļēāļāļĨāļēāļāļāļąāļāļāļđāđāļāļĄāđāļāđāļāļĒāđāļēāļāļāđāļēāļĒāļāļēāļĒ āļāļāļīāļāļēāļĒāđāļāđāļāļĒāđāļēāļāļāļąāļāđāļāļāđāļĄāđāļāļĢāļ°āļāļąāđāļāļŦāļąāļ§āļāđāļāļāļĩāđāļāļąāļāļāđāļāļāļāļĩāđāļŠāļļāļ āļāļąāļāļĻāļķāļāļĐāļēāļāļ°āđāļāđāđāļĢāļĩāļĒāļāļĢāļđāđāļāđāļāļĄāļđāļĨāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļĨāļ°āļāđāļēāļŠāļāđāļāļĄāļēāļāļĄāļēāļĒāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļŠāļ·āļāļŠāļ§āļāđāļŦāļāļļāļāļēāļĢāļāđāļāļēāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āļ§āļīāļāļĩāļāļēāļĢāļĢāļ°āļāļļāđāļĨāļ°āļāļāļāđāļāđāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĨāļ°āđāļāđāļĢāļąāļāļāļ§āļēāļĄāļĢāļđāđāđāļāļīāļāļāļāļīāļāļąāļāļīāļāļĢāļīāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāđāļāđāđāļāđāļāļąāļāļāļĩāļŦāļĨāļąāļāļāļēāļāļŠāļģāđāļĢāđāļāļāļēāļĢāļĻāļķāļāļĐāļē
āļŦāļĨāļąāļāļŠāļđāļāļĢāļāļĩāđāļāļ°āļĄāļāļāļāļąāļāļĐāļ°āļāļĩāđāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāļāļķāđāļāđāļĄāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļĨāļīāļāļ āļąāļāļāđ Belkasoft āļŦāļĢāļ·āļāļāļąāļāļĐāļ°āđāļŦāļĨāđāļēāļāļĩāđāļāļ°āļāļģāđāļāđāļāđāđāļĄāđāđāļāđāļŦāļēāļāđāļĄāđāļĄāļĩāļāļāļāļāđāđāļ§āļĢāđāļāļĩāđ
āļāļąāļāļĐāļ°āļāļĩāđāđāļāđāļĢāļąāļāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļĢāļāļķāļāļāļāļĢāļĄāļāļ°āļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāđāļāļĒāđāļĄāđāļāđāļāļāđāļāđāļāļĨāļīāļāļ āļąāļāļāđ Belkasoft
āļĄāļĩāļāļ°āđāļĢāļĢāļ§āļĄāļāļĒāļđāđāđāļāļāļēāļĢāļāļāļŠāļāļāđāļāļ·āđāļāļāļāđāļāļāđāļēāļ?
āļāļēāļĢāļāļāļŠāļāļāđāļāļ·āđāļāļāļāđāļāļāļ·āļāļāļēāļĢāļāļāļŠāļāļāļāļ§āļēāļĄāļĢāļđāđāļāļ·āđāļāļāļēāļāļāļāļāļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĄāđāļĄāļĩāđāļāļāļāļĩāđāļāļ°āļāļāļŠāļāļāļāļ§āļēāļĄāļĢāļđāđāđāļāļĩāđāļĒāļ§āļāļąāļāļāļĨāļīāļāļ āļąāļāļāđ Belkasoft āđāļĨāļ° Group-IB
āļāļąāļāļāļ°āļŦāļēāļāđāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļēāļĢāļĻāļķāļāļĐāļēāļāļāļāļāļĢāļīāļĐāļąāļāđāļāđāļāļēāļāļāļĩāđāđāļŦāļ?
āđāļāļāļēāļāļ°āļŠāđāļ§āļāļŦāļāļķāđāļāļāļāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļēāļĢāļĻāļķāļāļĐāļē Group-IB āļāļ°āļāļķāļāļāļāļĢāļĄāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāđāļāļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđ āļāļēāļĢāļ§āļīāļāļąāļĒāļĄāļąāļĨāđāļ§āļĢāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāđāļēāļ§āļāļĢāļāļāđāļāđāļāļāļĢāđ (Threat Intelligence) āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāđāļŦāđāļāļģāļāļēāļāđāļāļĻāļđāļāļĒāđāļāļāļīāļāļąāļāļīāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ (SOC) āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāđāļāļāļēāļĢāļāļēāļĄāļĨāđāļēāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāļīāļāļĢāļļāļ (Threat Hunter) āļŊāļĨāļŊ . āļĄāļĩāļĢāļēāļĒāļāļ·āđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļāļĩāđāđāļāđāļāļāļĢāļĢāļĄāļŠāļīāļāļāļīāđāļāļąāđāļāļŦāļĄāļāļāļēāļ Group-IB
āļāļąāļāđāļĢāļĩāļĒāļāļāļĩāđāļŠāļģāđāļĢāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢāļĢāđāļ§āļĄāļĢāļ°āļŦāļ§āđāļēāļ Group-IB āđāļĨāļ° Belkasoft āļāļ°āđāļāđāļĢāļąāļāđāļāļāļąāļŠāļāļ°āđāļĢāļāđāļēāļ
āļāļđāđāļāļĩāđāļŠāļģāđāļĢāđāļāļāļēāļĢāļĻāļķāļāļĐāļēāļŦāļĨāļąāļāļŠāļđāļāļĢāļĢāđāļ§āļĄāļĢāļ°āļŦāļ§āđāļēāļ Group-IB āđāļĨāļ° Belkasoft āļāļ°āđāļāđāļĢāļąāļ:
- āđāļāļĢāļąāļāļĢāļāļāļāļēāļĢāļŠāļģāđāļĢāđāļāļŦāļĨāļąāļāļŠāļđāļāļĢ
- āļŠāļĄāļąāļāļĢāļŠāļĄāļēāļāļīāļ Belkasoft Evidence Center āļāļĢāļĩāļāļļāļāđāļāļ·āļāļ
- āļŠāđāļ§āļāļĨāļ 10% āđāļāļāļēāļĢāļāļ·āđāļ Belkasoft Evidence Center
āđāļĢāļēāļāļāđāļāļ·āļāļāļāļļāļāļ§āđāļēāļŦāļĨāļąāļāļŠāļđāļāļĢāđāļĢāļāđāļĢāļīāđāļĄāđāļāļ§āļąāļāļāļąāļāļāļĢāđ 9 āļāļąāļāļĒāļēāļĒāļ, - āļāļĒāđāļēāļāļĨāļēāļāđāļāļāļēāļŠāļāļĩāđāļāļ°āđāļāđāļĢāļąāļāļāļ§āļēāļĄāļĢāļđāđāđāļāļāļēāļ°āđāļāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļāļīāļāļīāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĨāļ°āļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđ! āļāļēāļĢāļĨāļāļāļ°āđāļāļĩāļĒāļāđāļĢāļĩāļĒāļāļŦāļĨāļąāļāļŠāļđāļāļĢ
āđāļŦāļĨāđāļāļāļĩāđāļĄāļēāđāļāļāļēāļĢāđāļāļĢāļĩāļĒāļĄāļāļāļāļ§āļēāļĄ āđāļĢāļēāđāļāđāļāļēāļĢāļāļģāđāļŠāļāļāļāļāļ Oleg Skulkin "āļāļēāļĢāđāļāđāļāļīāļāļīāđāļ§āļāļāļēāļĄāđāļŪāļŠāļāđāđāļāļ·āđāļāļĢāļąāļāļāļąāļ§āļāđāļāļāļĩāđāļāļāļāļāļēāļĢāļāļĢāļ°āļāļĩāļāļĢāļ°āļāļāļĄāđāļāļ·āđāļāļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāļāļąāļāđāļāļĨāļ·āđāļāļāļāđāļ§āļĒāļāđāļēāļ§āļāļĢāļāļāļāļĩāđāļāļĢāļ°āļŠāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļ"
āļāļĩāđāļĄāļē: will.com