Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление - «Новости»

Содержание статьи

• Гипотезы
• Подготовка лаборатории
• Общий чек-лист проверки
• Создаем дамп RAM исследуемого ноутбука
• Шпаргалка исследователя: интересные места реестра
• Анализируем корзину (Recycle Bin)
• Заключение

Другие статьи по форензике:

• Искусство форензики. Теория, книги, курсы, полезные материалы


• Искусство форензики. Находим источники данных, ищем и анализируем артефакты

Предыстория инцидента

Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру).

У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал финансовому казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО).

Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF).

Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться.

Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

Гипотезы

Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО).

Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления.

Уязвимые места и поиск сценария взлома

Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома: