见面: Vesta Matveeva-IB集团信息安全专家。
专业化:网络犯罪调查。
众所周知:维斯塔(Vesta)不仅定期参与调查,而且还经常参与拘留,讯问和对黑客团体成员的搜查。 在过去的6年中,她以犯罪分子的身份进行了数十次检查-对事件的技术分析,之后她被移至IB集团调查部门,成功审理了几起案件,并继续朝着这一方向努力。
此材料出现的背景: Vesta是应硕士课程的老师和学生的邀请而到达Innopolis大学的,并
设计了安全系统和网络,这是CyberCrime和取证学课程 (Cybercrime和计算机取证)的一部分。 她发表了关于网络犯罪如何全球化,使用哪些策略和工具攻击金融和行业组织以及网络犯罪分子使用哪些方法搜索网络犯罪分子的演讲。 来自Innopolis公共关系部门的人们会见了Vesta,并提出了很多问题。 最有趣的是我们在本材料中包含了引文。
我的工作不仅是支持雇主的选择,而且是与我的生活价值观,生活方式相匹配的道德选择。 我们有一个全球目标-我们正在打击网络犯罪,帮助遭受网络攻击的企业和个人用户找到其背后的人,并将攻击者带到被告席上。 我们每天都在处理此类事件,我们知道攻击者的想法,他使用的方法,他选择的策略以及他用来黑客的工具。 攻击后果的规模取决于我们的工作质量。 我和我的同事们在工作上花费了大量时间:我们进行研究,学习,学习,阅读,分享经验。
持续的自我教育,改进工具和更新知识是唯一能够与犯罪分子面对面甚至调查最复杂的计算机犯罪的方法。
法医是冲刺,调查是马拉松。 IB集团计算机取证实验室的专家参与了实时信息安全事件的响应:他们通常不得不快速进入犯罪现场,还原攻击历史并搜索受到破坏的数据。 通常情况下,上班时间不规范:发生事故时,由于上班时间已经结束,因此您无法离开所有物品回家。 攻击者没有工作时间表或周末,因为空闲时间对受影响的公司而言可能是致命的。 运营搜索措施框架中的工作方案类似,例如,当我们参与搜索时,从技术角度检查驱动器,映像,服务器的信息。 一切都告一段落:如果您需要一天工作,我们每天工作,如果几天,那就意味着几天。 但是在其余时间中,当您不需要“保存”条件银行时,我们会像所有普通人一样进行数据研究,进行专家审查并像往常一样工作。 好吧,还是差不多。
在Group-IB的计算机取证实验室工作了6年之后,我想尝试一下调查领域。 这是工作的另一项特性:更多分析,更大任务。 调查的目的是确定攻击背后的犯罪集团及其基础结构。 由于可能在Internet上进行匿名处理,因此无法快速调查计算机犯罪。 碰巧当我们迫切需要帮助受害方时,我们被拖延了。 例如,一个孩子离开家,父母或执法机构要求我们分析他在社交网络,论坛中的活动,以了解他正在与谁交谈,谁可以知道逃生,现在应该去的地方。 另一个例子:与电子商务相关的资源受到强大的DDoS攻击。 这样一个站点的停机一小时可能使公司损失数十万卢布,有时甚至损失数百万卢布。 我们需要迅速建立攻击源并加以阻止。
调查是一个漫长的过程。 最长的案件通常与大规模的犯罪集团有关,这些犯罪集团进行有针对性的攻击,通过在线银行或金融机构的移动应用程序窃取金钱。 他们非常注意如何隐藏自己的身份-他们使用多个服务器链来访问资源,使用加密并不断重写程序以进行攻击。 在一次事件中找不到这种人。 仅在少数情况下会收集可用于工作的材料,但是即使如此,搜索过程仍需要很长时间。 要了解谁是犯罪的幕后黑手,通常大约需要六个月(有时更长),并且很长一段时间(通常是几年),因此有必要收集拘留和搜查的证据。
内政部和IB集团的联合工作是对黑客犯罪集团Cron成员的拘留。
最快的调查持续了一天。 我们获悉,攻击者可以访问银行的服务器。 我们去了那个地方,整理了几个小时,直到我们意识到在银行进行了渗透测试。 进行此类测试是为了评估公司基础架构的保护。 通常,管理层会了解他们,检查团队将如何解决情况。 此外,不难理解是这次审核使我们与我们联系。
每个调查都是唯一的。 从我们试图了解所使用的服务的技术时刻开始,确定用于评估攻击者技术水平的工具,最后以IP地址,电话号码,邮件,社交网络分析,论坛,论坛,Darknet中公共和隐藏的黑客资源上的广告的线索作为结尾。 没有揭示案件的模板。 它始终是对大量信息源的分析。 例如,在涉及恶意软件的事件中,您需要了解它的工作原理,运行方式,谁注册了这些服务器,谁分发了程序以及如何(感染了设备)。
我们工作的基本方法不会改变,但是工具和我们探索的内容会改变。 操作系统中的相同数据因版本而异:结构,格式,方法。 例如,如果在每个人都使用ICQ之前,其中的对应关系以明文形式存储,并且在检查磁盘期间可以访问它,那么现在许多Messenger都使用加密。 这极大地增加了所谓“数字证据”的接收。
有时在工作中我们碰壁,但是以我的经验,它有一扇门。 鉴于其技术特征,有些请求的解决方案并不明显。 这样的情况不会放任自流:您回家,在空闲时间里正在寻找一种摆脱困境的方法,您正在思考如何解决问题。
根据我的经验,有必要进行检查,以证明攻击者确实与事件有关,因为仅在计算机上存在恶意软件不足以发起刑事诉讼。 保护犯罪嫌疑人利用了这一点,并在以下原则上建立了立场:该程序在计算机上无法运行,或者在事件发生期间犯罪嫌疑人未连接到计算机。 在这种情况下,提供远程访问的程序的日志在受害者的计算机上被加密了一段时间,然后被发送到攻击者的服务器并被删除。
我花了几天的时间弄清楚如何解决该问题:在加密(RAM碎片)之前从文件系统的可用区域恢复程序日志。 幸运的是,事件发生的那一刻也没有被重写。 这使我得以证明,在偷钱期间,攻击者与受害者并行地连接到计算机。
“黑客”是集体形象。 说到犯罪,这个术语是为了简单起见,但实际上,它是所有知道如何规避计算机安全系统的专家的名字。 这方面最严重的罪犯分为几类:
具有经济动机的黑客。 他们的目标是金钱。 他们窃取互联网银行的访问详细信息,支付卡数据或攻击进行支付交易的组织的服务器;
国家黑客。 这些人在工业和金融组织中进行监视,他们常常被忽视,并窃取文件,信件,秘密,技术。 据信,这些团体受到以下国家的支持:拉撒路团体,方程式团体,黑能量,花式熊。 在某些情况下,这些团体对能源企业进行监视,试图获得设备管理的权限。
2010年,方程式集团感染了伊朗的计算机,以防止生产核武器。 这是工业攻击的第一个已知案例,攻击者可以访问西门子设备,从而影响过程。 充满活力的熊和黑能集团是另外两个在工业设施袭击领域工作的组织。 后者创建了一个Industroyer工具,使您可以控制设备进行通信的协议并将命令发送给他们。 他们备受瞩目的“成就”在乌克兰是停电,当时在该国某些地区,他们关闭了75分钟的电源。
我作为一名技术专家参加了俄罗斯银行的盗窃案,金额最大,达7亿卢布。 首先,这笔钱用于支付犯罪集团的所有部分,提供,支持服务和基础设施。 该小组的主要成员将其余的精力用于确保自己的安全,有时还用于确保奢侈品–汽车,游艇,公寓。 该小组的负责人总是意识到自己正在做的事情的风险,知道他们随时可以找他走,因此,我认为他没有完全安全感。
困难很有趣。 有些入侵者会认真研究盗窃的技术实施。 它们考虑了将如何搜索它们,攻击机制如何工作,改变了渗透方法。 这些问题对专家来说非常有趣。
一个银行发生了一起偷钱的案件。 乍一看,通常是这样:获得对CBD(俄罗斯银行客户的自动化工作站)的AWS的访问权限。 自2013年以来,该方案已被多个小组使用。此案例的独特之处在于,攻击者可以访问组织内部(包括分支机构)中的每台计算机。 为此,他们在网络上的一台计算机上启动了一种计算机蠕虫,该蠕虫仅在计算机的RAM中起作用。 现在称为无文件(无形程序)的流行方式。 换句话说,他们在银行内部建立了受控的僵尸网络。 只要打开至少一台受感染的计算机,它就会一次又一次地感染公司的计算机。
逻辑上存在一个问题:如何清理网络? 在尝试了技术方法之后,我们意识到在这种情况下,最好的解决方案是立即关闭银行同意的银行所有分支机构中的所有计算机。 因此,我们设法清理了RAM;启动时没有蠕虫。 这是规模上的独特事件。 在正常情况下,我们永远无法立即断开公司所有服务器的连接。
网络流量感染时传播的蠕虫的片段所有黑客都是错误的。 您只需要等待这一刻。 Cobalt小组(这是近年来最激进和成功的黑客小组)的案例,我认为他们是他们工作期间最有趣的团队之一。 她于2016年开始在俄罗斯开展业务,袭击了世界各地的银行和金融机构,并窃取了大量资金。 据欧洲刑警组织称,在她工作的所有时间里,她设法从受害者的账户中提取了约10亿欧元。 钴是针对性攻击的一个例子。 在他们的工作中,他们使用了完全合法的Cobalt Strike渗透测试工具。 网络犯罪分子在访问组织中的计算机时安装的有效负载的一个有趣功能是能够管理网络中的计算机,甚至包括那些未连接到Internet的计算机。 这与我们遇到的其他犯罪集团的行为不同。 Cobalt不断更改攻击地点,测试了新工具,近两年来,他们对网络犯罪分子和执法机构难以捉摸。 钴的领导者今年春天在西班牙阿利坎特市被捕。 现在他正在等待审判。
注入的VNC访问有效负载代码在搜查和拘留嫌疑犯时,突击检查很重要。 黑客通常在技术上很精明,如果不为所动,他们会设法激活设备上的数据保护(例如加密),这可能很难绕开,或者相反,会破坏数据。 通常,拘留发生在一个人尚未离开家之前就早了:早上6点到7点,反之亦然,当他刚醒来并打开计算机时-取决于他的工作细节。 如果搜寻是在公司内进行的,那么工作队便来到了办事处。 拘留方法取决于执法机构:在商务中心,执法人员有时只需要出示正式身份证件即可进入特定公司。 拘留个人是一个更为复杂的程序,因为必须迫使嫌疑人开门,例如,将自己介绍为快递员。 在某些情况下,为了避免数据破坏,它们会从根本上渗透到公寓中:从电缆的屋顶上打碎窗户。
只有黑客组织的负责人知道即将发生的犯罪的整个方案。 在黑客团体中,角色显然是分散分布的,因此有超过一个人从头到尾花费了网络犯罪。 该小组的负责人聘请执行某些任务的执行者:配置服务器,编写和分发程序以及保护恶意软件免受防病毒攻击。 普通男孩对信息技术感兴趣,有时甚至不怀疑他们正在参与犯罪集团,结果可能就是这种人。
通常,匿名人员会与该人员联系并根据以下原则为某项工作提供资金:“您可以设置服务器吗? “我可以。” 组织者很可能不会告诉承包商该服务器的用途。
另一件事是,一个人开发了一个截取数据的程序,同时又知道该程序可用于欺诈目的。 有时,此类程序是从第三方购买的,并且不会告知作者欺诈者如何使用它:截获VKontakte帐户或银行卡信息的密码。 对于从防病毒程序“加密”程序的人来说,情况也是如此-他必须意识到,此类程序并非出于法律目的而创建。 根据俄罗斯联邦《刑法》第273条,已经可以吸引传播恶意程序的人。
在俄罗斯,关于对实施网络犯罪的人进行刑事起诉的立法需要进一步发展。 以前,即使黑客窃取了大量金钱,他们也经常对此类罪行判以有条件的刑期。 这并没有吓到或激励人们放弃他们正在做的事情。 自2014年以来,在对Carberp小组成员进行长期定罪后,情况有所好转。
网络犯罪或计算机犯罪调查的职业是自学成才的职业。 为了获得计算机取证工作,一个人必须具有技术背景。 我毕业于信息安全学院莫斯科工程物理研究所,当时还没有在俄罗斯教授犯罪学。 我们了解了系统管理,外围保护,安全工具及其操作原理的基础。 我们还研究了编程语言,恶意软件如何工作,如何克服操作系统的保护机制。
具有技术经验的人员了解操作系统如何工作,网络如何构建,数据如何传输,被盗和受保护,并具有足够的知识来从事计算机取证领域的工作。只要他深入研究该区域的细节。当人们没有接受过技术教育时,我们公司就提供了一些示例-这对他们来说比较困难,因为起初他们必须掌握基本知识。对于那些对取证感兴趣的人,我建议阅读文件系统取证分析(Brian Carrier),这是一本有关文件系统如何工作的基础书籍,这对这一领域很重要。Network Forensics(Sherri Davidoff)和Memory Forensics的艺术(Michael Hale Ligh)是另外两本书,每位自重的法医都需要研究这些书才能参与调查当代网络犯罪。对于移动设备的研究,我可以建议实用移动取证(Oleg Skulkin)。要了解法医的情况,您需要阅读有关成功案例和个人经验的主题文章和博客。但是,无需等待黑客在互联网上共享机密,这些案件就被归类为刑事案件。可以从国际和俄罗斯资源中阅读人们如何分析数据:SANS Institute博客(也提供法医学课程,出版书籍和撰写文章),ForensicFocus和Habr。— «»: , .