книги хакеры / журнал хакер / 145_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
|
|
NOW! |
r |
|
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
BUY |
|
SYN/ACK |
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
w Click |
|
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
p |
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Консоль управления ботнетом |
Команды для бота |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
• попытки авторизации в ДБО с других IP-адресов или в нерабочее |
пишите заявление о произошедшем в милицию. По возможности до- |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
время. |
полните заявление результатами самостоятельного расследования |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
В случае обнаружения факта мошенничества необходимо макси- |
инцидента. Эта информация поможет быстрее принять решение о |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
мально быстро сообщить о происшествии в банк с целью остановки |
возбуждении уголовного дела. Даже если мошенничество не было |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
платежа и блокирования доступа к системе ДБО со скомпрометиро- |
завершено, и вы успели остановить его, инцидент остается уголов- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ванными ключами и паролем. Также следует немедленно обесто- |
ным преступлением, которое попадает под ряд статей, начиная от |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
чить ПК, с которого предположительно были похищены ключи и |
создания и распространения вредоносного программного обеспе- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
данные для авторизации в системе ДБО, и обеспечить неизменность |
чения и заканчивая попыткой хищения в особо крупном размере. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
его состояния до приезда правоохранительных органов. Если в ком- |
Дежурный в отделении милиции обязан принять и зарегистриро- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
пании имеется межсетевой экран или прокси-сервер, на котором |
вать ваше заявление. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ведутся логи, то необходимо произвести их сохранение на непере- |
Заключение |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
записываемый носитель информации. В случае самостоятельного |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
расследования или привлечения для этих целей консультантов не |
Осознаниереальностиугрозыявляетсясерьезнымпобуждениемк |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
допускается работа с оригиналами носителей информации, так |
действию.Применениепростых,ноэффективныхмерпоснижению |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
как это может повредить целостности доказательств, хранящихся |
рисковмошенничествапоможетобезопаситьличныесбереженияиде- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
на них. Оригиналы носителей необходимо опечатать и поместить |
нежныесредстванасчетуработодателя.Ужеодинденьработыспеци- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
в сейф, а также оформить данные действия протоколом изъятия и |
алистапоинформационнойбезопасностипозволитсоздатьзащищен- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
скрепить его подписями свидетелей и исполнителя. Обязательно на- |
нуюсредудляработыссистемойДБО.Учитывая,чтосреднийущербот |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
мошенничествасоставляетпорядка2млнрублей,тоэтиминимальные |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Алгоритмдействийприна- |
затратыявляютсяотличнымиинвестициями.z |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ступленииинцидентавДБО |
Функционалвредоносного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1. Ограничитьдоступкобъектам, задействованнымвинциденте. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. Написатьслужебнуюзапискуотименисотрудникапострадав- |
программногообеспечения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
шейкомпаниинаимягенеральногодиректораофактевозникно- |
Win32/Spy.Shiz.NAL |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
венияинцидента. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. Привлечькомпетентныхспециалистовдляконсультации. |
• Детектируетиобходитвсеобщеизвестныеантивирусыимежсе- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. Обеспечитьсохранностьдоказательств: |
тевыеэкраны; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• отключениеотсетипитания; |
• включаетинастраиваетTerminal Services (RDP); |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• снятиеэнергозависимойинформациисработающейсистемы; |
• загружаетиустанавливаетвскрытомрежимеOpenSSL; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• сборинформацииопротекающемвреальномвремениинци- |
• создаетучетныезаписиWindows длясвоихпользователей; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
денте; |
• получаетдоступкустановленнымбраузерам; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. Вприсутствиитретьейнезависимойстороныпроизвести |
• крадетпользовательскиеданные; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
изъятиеиопечатываниеносителейинформациисдоказательной |
• работаетсCrypto API. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
базой |
Целевыеприложения: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• ЗадокументироватьизъятиеАктом. |
ДБО«BS-Client»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Составитьдетальнуюописьобъектовсинформациейиихисточ- |
ДБО«iBank»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ников. |
СКЗИ«Бикрипт-КСБ-С»/ДБО«Faktura»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Задокументироватьпроцесснавидеокамеру. |
ДБО«Инист»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Хранитьопечатанныеобъектывместесактомвнадежномместе |
ЭПСWebMoney; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
допередачиносителейнаисследованиеилиправоохранитель- |
ДБОHandyBank; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ныморганам. |
ДБО«РФК»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6. Припроведенииисследованияобеспечитьнеизменностьдока- |
СКЗИ«Агава»/ДБО«InterBank»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зательств. Работатьскопией. |
ДБО«Inter-PRO»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7. Приобращениивправоохранительныеорганыпредставитьим |
ДБОРайффайзенБанк; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подробноеописаниеинцидента, описаниесобранныхдоказа- |
ДБОАльфабанк; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тельствирезультатыиханализа. |
покерныеклиенты. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
122 |
XÀÊÅÐ 02 (145) 2011 |
|
|
|
|
|
|
|
|
|