суббота, 31 октября 2015 г.

Как я за Stuxnet и Zeus в лаборатории Информзащиты гонялся

Я прошу прощения за дерганный стиль изложения, реже пишешь - хуже получается.

В прошлом году узнал об открытии совместного курса Информзащиты и Group-IB: "БТ16. Компьютерная криминалистика". В анонсе было сказано, что в курсе рассматриваются основные приемы и методы компьютерной криминалистики, слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам, анализа собранных материалов с целью выявления источника атаки и восстановления работоспособности системы, а также документирования противоправных действий злоумышленников.
( http://itsecurity.ru/catalog/komputernaja-kriminalistika/ ).

Порадовало, что курс имеет, в основном, практическую направленность. Деятельность Group-IB мне всегда нравилась, поэтому я загорелся желанием посетить этот тренинг. За последние год-два была пара кейсов, когда важно было довести до ума инцидент - определить источник угрозы. Я этого не сделал, о чем сейчас жалею.

Итак, прошел год, звезды сошлись, работодатель согласился оплатить обучение, на мили Аэрофлота был купил билет до Москвы и забронирована гостиница.

Перед тренингом я ничего специально не изучал: у меня был только личный опыт расследования инцидентов. За неделю до начала обучения я узнал, что тренинг ведется двумя преподавателями - 3 дня от Информзащиты, 2 для от Group-IB. Чуть смутился, ну да ладно.

С момента последнего посещения Информзащиты мало что изменилось: строгая пропускная система на Образцова, сытные обеды, вкусный чай и печеньки. В столовой был замечен Алексей Лукацкий, которого еще на прошлой неделе и интересом слушали в Казани. Нас встретил Заведующий лабораторией Информзащиты, преподаватель опытный и умелый. Изучали юридические основы проведения экспертиз,
тонкости судопроизводства, работу с понятыми и следователями. По итогам трехдневной сессии мы:
- поработали с Tableau Disk Duplicator для создания образа диска;
- поработали с Paraben Commander;
- создали своё собственное заключение по проведенной экспертизе и разобрали ошибки;
- остальное - по мелочи (whois, arp, tracert, брут паролей, брут паролей с использованием видеокарты).

Для себя я открыл тот факт, что, формально, экспертом в подобных делах может быть любой специалист с профильным образованием. Второй факт: при желании, организация сама может серьезно помочь правоохранительным органам в расследовании инцидента, если ограничит распространение информации, обеспечит сохранность доказательств, проявит оперативность.

В четверг утром в аудитории уже сидел преподаватель из Group-IB. Он начал со своей довольно стандартной презентации (Carberp, ДБО и т.д.). По этому материалу у меня давно накопилось несколько вопросов, преподаватель их без проблем пояснил.

Дальше началось веселье - практика. Надо сказать, что многое из изученного вполне доступно в Интернет - утилиты, методология, образы зараженных систем, и может быть изучено самостоятельно. Однако, здесь, в аудитории, было элемент соперничества с другими студентами, отличный комментарий от преподавателя, и образы систем, которых не найдёшь в паблике.

Интереснее всего было поработать с образом, который был заражен Stuxnet. С помощью открытых и бесплатных утилит (подборку можно выпросить у преподавателя) мы изучили дамп памяти, если я правильно помню заметили подозрительный процесс lsass.exe, извлекли связанные с ним библиотеки и скормили антивирусу. Оказался тот самый, высокотехнологичный, американо-израильский вирус. Приятно:)

После тренинга всё равно остались тёмные пятна: работа с провайдерами и работа с Dark Web'ом. Ну, видимо, это на самостоятельное изучение.

В Казани конференции по ИБ не самые весёлые, поэтому, видимо, тренинг очень понравился. Много практики, набор полезных утилит на флешке, контакты в LinkedIn и позитивные эмоции. 

Комментариев нет:

Отправить комментарий