Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!
INFO
Другие статьи по форензике:
Искусство форензики. Теория, книги, курсы, полезные материалы
Искусство форензики. Находим источники данных, ищем и анализируем артефакты
Предыстория инцидента
Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру).
У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал финансовому казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО).
Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF).
Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться.
WARNING
Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.
Гипотезы
Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО).
Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления.
Уязвимые места и поиск сценария взлома
Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома:
Содержание статьи Гипотезы Подготовка лаборатории Общий чек-лист проверки Создаем дамп RAM исследуемого ноутбука Шпаргалка исследователя: интересные места реестра Анализируем корзину (Recycle Bin) Заключение Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины! INFO Другие статьи по форензике: Искусство форензики. Теория, книги, курсы, полезные материалы Искусство форензики. Находим источники данных, ищем и анализируем артефакты Предыстория инцидента Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру). У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал финансовому казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО). Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF). Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться. WARNING Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи. Гипотезы Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО). Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления. Уязвимые места и поиск сценария взлома Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома: Источник новости - google.com
