Vesta Matveeva是Group-IB的信息安全专家,
被英国《商业内幕》(Business Insider UK)
认可为网络安全行业中7个最具影响力的全球组织之一。 在长达6年的时间里,她以犯罪分子的身份进行了数十次检查-对事件的技术分析,之后移居调查部门并审理了几起案件。
Vesta应硕士课程的老师和学生的邀请来到Innopolis大学,
设计安全系统和网络是CyberCrime和Forensics课程的一部分。 来宾作了关于网络犯罪如何全球化,使用哪些策略和工具攻击金融和工业组织以及网络犯罪分子使用哪些方法来打击黑客的演讲。
工作时间
在IB组中,您的工作时间不能只有10到19。我们有一个全球目标-打击犯罪。 我们帮助企业,政府和其他网络攻击的受害者找到犯罪背后的人,并将入侵者带入码头。 我们每天都在处理此类事件,我们已经了解了攻击者的想法,使用了哪些方法,策略和黑客工具。 这种经验与知识一起确定了对信息安全事件的响应质量以及攻击后果的严重程度。 因此,我和我的同事们在工作上花费了大量时间:我们学习,阅读,学习,研究。
如果我们比较我以前工作过的计算机取证实验室和我搬家的调查部门,那么取证工作日的标准化就不那么理想了。 那里的专家处理实时发生的事件:他们迅速进入犯罪现场,恢复攻击历史,查找受到破坏的数据。 由于工作时间已经过去,因此您不能离开所有东西回家。 类似的方案在调查活动期间也有效,例如,当我们参与搜索时,从技术角度检查驱动器,映像和服务器的信息。 在这里一切都结束了:如果您需要一天工作,我们每天工作,如果几天,则意味着几天。 但是在其余时间中,当您不需要保存条件银行时,我们会像所有人一样照常工作。
在法务领域工作了6年之后,我想尝试一下调查领域。 在这里,这项工作的另一个细节-计算机犯罪并未得到迅速调查。 但是,在这里,当然,当我们有必要迅速帮助受伤的一方时,我们被拖延了。 例如,如果孩子离开家园以分析他在社交网络和论坛中的活动,父母或执法机构会与我们联系,以便了解他与谁交谈,谁能知道逃生者及其所指位置。 另一个例子是对电子商务资源的强大DDoS攻击。 对于这样的站点,一小时的停机时间可能会使公司损失数十万或数百万卢布。 因此,我们需要快速建立攻击源并加以阻止。
但是每次调查都是唯一的。 从我们试图了解所使用服务的技术时刻开始,确定用于评估攻击者技术水平的工具,最后以IP地址,电话和邮件的线索,社交网络分析,论坛以及Darknet中公共和隐藏资源的公告作为结尾。 没有揭示案件的模板。 这始终是对大量资料的研究。 例如,在涉及恶意软件的事件中,您需要了解其工作原理,运行过程,注册这些服务器的人员,感染设备的人员以及操作方式。
但是,我们工作中的基本方法不会改变,但是工具和我们正在研究的东西都会改变。 甚至操作系统中的数据也会因版本而异:结构,格式,方法。 如果以前每个人都使用ICQ(通信以清晰的形式存储在其中),并且在检查磁盘时可以访问它,那么现在许多Messenger都使用加密。 这极大地增加了所谓数字证据的接收。
罪案
黑客是一个集体形象。 说到犯罪,这个术语是为了简化词汇,但是实际上,这是所有知道如何规避计算机安全系统的专家的名字。 这方面最严重的罪犯分为几类:
- 具有经济动机的黑客。 目标是现金。 他们窃取互联网银行的访问详细信息,支付卡数据或攻击进行支付交易的组织的服务器;
- 国家黑客。 这些人在工业和金融组织中进行监视,他们常常被忽视,并窃取文件,信件,秘密,技术。 据信,这些团体受到以下国家的支持:拉撒路团体,方程式团体,黑能量,花式熊。 在某些情况下,这些团体对能源企业进行监视,试图控制设备。
2010年,方程式集团感染了伊朗的计算机,以防止生产核武器。 这是工业攻击的第一个已知案例,攻击者可以访问西门子设备,从而影响过程。 充满活力的熊和黑能集团是另外两个在工业设施袭击领域工作的组织。 后者创建了一个Industroyer工具,使您可以控制设备进行通信的协议并将命令发送给他们。 他们的成就是在乌克兰停电,在该国某些地区,停电75分钟。
作为技术专家,在我的调查中,最大的盗窃额是7亿卢布。 首先,这笔钱用于支付犯罪集团的所有部分,提供,支持服务和基础设施。 该小组的其余主要成员将精力用于组织安全和奢侈品–汽车,游艇,公寓。 该小组的负责人总是意识到自己正在做的事情的风险,知道他们随时可以找他走,因此,我认为他从来没有完全安全感。
在搜查和拘留嫌疑犯时,突击检查很重要。 黑客在技术上非常精通,如果不为所动,他们会设法激活设备上的数据保护(例如加密),这很难规避甚至破坏数据。
通常,拘留发生在一个人尚未离开家之前的较早时间:早上6-7点,或者当我们确定他刚醒来并打开计算机时,这取决于他的工作细节。 如果搜寻是在公司内进行的,那么工作队便来到了办事处。 拘留方法取决于执法机构的想象力:在商务中心工作很容易-仅表明您与警察同在,您需要去某个公司。 拘留个人是一个更为复杂的程序,因为需要鼓励犯罪嫌疑人开门,例如,将自己介绍为快递员。 在我的实践中,执法机构从屋顶上的电缆进入攻击者的公寓,打碎窗户。
调查
有些入侵者正在认真研究盗窃的技术实施。 它们考虑了将如何搜索它们,攻击机制如何工作,改变了渗透方法。 这样的复杂案例对我们的专家非常感兴趣,在我的实践中,有两个这样的案例脱颖而出。
第一起案件发生在一家银行,这家银行被盗。 乍一看,这是很平常的事情:可以访问俄罗斯银行客户的工作站。 自2013年以来,这种方案已被多个团体使用。但是,尽管对整个犯罪方案有所了解,但还是有一个区别。 在网络上的一台计算机上,黑客启动了一个蠕虫程序,该程序专门在RAM中工作-现在,调用无文件(一种无体程序)已成为一种时尚。 因此,攻击者可以访问组织所有分支机构中的每台计算机。 换句话说,他们在银行内部建立了受控的僵尸网络。 因此,当至少一台受感染的计算机打开时,它将一次又一次地感染公司的计算机。
网络流量感染时传播的蠕虫的片段
逻辑上存在一个问题:如何清理网络? 在尝试了技术方法之后,我们意识到在这种情况下,最好的解决方案是立即关闭银行同意的银行所有分支机构中的所有计算机。 因此,我们设法清理了RAM;启动时没有蠕虫。 这是规模上的独特事件。 在正常情况下,我们永远无法立即禁用所有公司服务器的性能。
第二个例子是Cobalt小组的工作,我认为这是我工作中最有趣的例子之一,这是近年来最激进和成功的黑客小组。 她于2016年开始在俄罗斯工作,攻击世界各地的银行和金融机构。 据欧洲刑警组织称,在她工作的所有时间里,她都设法从受害者的账户中提取了10亿欧元。 在他们的工作中,他们使用了完全合法的Cobalt Strike渗透测试工具。 通过访问计算机,他们甚至可以控制未连接到Internet的计算机。 这与我们遇到的其他犯罪集团的行为不同。 Cobalt小组的成员不断更改攻击地点,测试了新工具,并且在近两年的时间里,网络犯罪分子和执法机构仍然难以捉摸。 小组负责人仅在今年春天在西班牙阿利坎特被捕。 现在他正在等待审判。
注入的VNC访问有效负载代码
调查是一个漫长的过程。 最长的案件通常与大规模的犯罪集团有关,这些犯罪集团进行有针对性的攻击,通过在线银行或金融机构的移动应用程序窃取金钱。 他们非常注意如何隐藏自己的身份-他们使用多个服务器链来访问资源,使用加密,不断重写攻击程序以绕过防病毒和外围保护系统。 在一次事件中找不到这种人。 仅在少数情况下会收集可用于工作的材料,但是即使如此,搜索过程仍需要很长时间。 要了解谁是犯罪的幕后黑手,您需要六个月(有时甚至更长)的时间,通常需要一年以上的时间才能收集拘留和搜查的证据。
但是它发生了,反之亦然。 最快的调查仅持续了一天。 我们获悉,攻击者可以访问银行的服务器。 我们到达该地点并整理了几个小时,直到我们意识到一个部门下令进行渗透测试,而其他部门却不知道。 进行此类测试是为了评估公司基础架构的保护。 通常,管理层会了解他们,检查团队将如何解决情况。
有时在工作中我们碰壁,但是以我的经验,它有一扇门。 这样的情况不会放任自流:您回家,在空闲时间里正在寻找一种摆脱困境的方法,您正在思考如何解决问题。
根据我的经验,有必要进行检查,以证明攻击者确实与事件有关,因为仅在计算机上存在恶意软件不足以发起刑事诉讼。 保护犯罪嫌疑人利用了这一点,并在以下原则上建立了立场:该程序在计算机上无法运行,或者在事件发生期间犯罪嫌疑人未连接到计算机。 在这种情况下,提供远程访问的程序的日志在受害者的计算机上被加密了一段时间,然后被发送到攻击者的服务器并被删除。
我花了几天的时间弄清楚如何解决该问题:在加密(RAM碎片)之前从文件系统的可用区域恢复程序日志。 幸运的是,事件发生的那一刻也没有被重写。 这使我得以证明,在偷钱期间,攻击者与受害者并行地连接到计算机。
处分
在黑客团体中,角色显然是分散分布的,因此有超过一个人从头到尾花费了网络犯罪。 只有该集团的领导人才知道整个犯罪计划。 他雇用助理来完成某些任务:配置服务器,编写和分发程序以及保护恶意软件免受防病毒攻击。 对信息技术感兴趣的普通男孩,有时甚至都不怀疑自己正在参与犯罪集团,可能就是这样的人。
通常,匿名人员会与该人员联系并根据以下原则为某项工作提供资金:“您可以设置服务器吗? “我可以。” 组织者很可能不会告诉承包商为什么需要此服务器。
另一件事是当一个人开发一个拦截数据的程序时。 他知道可以将其用于欺诈目的。 有时,此类程序是从第三方购买的,并且不会告知作者欺诈者是如何使用它的:拦截Vkontakte帐户的密码或银行卡信息。 对于从防病毒程序“加密”程序的人来说,情况也是如此-他必须意识到,此类程序并非出于法律目的而创建。 根据俄罗斯联邦《刑法》第273条,已经吸引了分发该程序的人。
俄罗斯关于起诉犯有网络犯罪的人的立法需要进一步发展。 以前,即使黑客窃取了大量金钱,他们也经常对此类罪行判以有条件的刑期。 这并没有吓到或激励人们放弃他们正在做的事情。 自2014年以来,在长期谴责Carberp之后,情况有所好转。
职业生涯
要获得计算机取证工作,一个人必须具有技术背景。 我毕业于信息安全学院莫斯科工程物理研究所,当时还没有在俄罗斯教授犯罪学。 我们学习了编程语言,系统管理和外围保护的基础知识。 我们研究了恶意软件的工作原理以及如何克服操作系统的保护机制。
具有技术经验的人员了解操作系统如何工作,网络如何构建,数据如何传输,被盗和受保护,并具有足够的知识来从事计算机取证领域的工作。 只要他深入研究该区域的细节。 当人们没有接受技术教育时,我们公司就有一些例子-这对他们来说比较困难,因为起初他们必须掌握基础知识。
对于那些对取证感兴趣的人,我建议阅读文件系统取证分析(Brian Carrier),这是一本有关文件系统如何工作的基础书籍,这对这一领域很重要。 网络取证(Sherri Davidoff)和记忆取证的艺术(Michael Hale Ligh)是另外两本书,每个自重的法医都应该学习。 对于移动设备的研究,我推荐实用移动取证(Oleg Skulkin)。
要了解法医发生的情况,您需要阅读有关成功案例和个人经验的文章和博客。 但是,无需等待黑客被黑客在互联网上共享机密-信息不会在刑事案件中传播。 以及人们如何分析数据可以在国际和俄罗斯资源上阅读:SANS Institute博客(这里还有法医学课程,出版书籍和撰写文章),ForensicFocus和Habr。
但是,我工作中最有趣的事情是解决“难题”:发明非标准方法并跳出框框思考,以找出入侵者的窍门。