Твитнуть
Доброго времени суток ув. пользователи ДМ. В данной теме предлагаю начать обсуждения следов совершения того или иного преступления. Это необходимо знать для того что бы:
не оставлять их; знать что чистить после такового; при подготовки продумать контр меры и тд.
Следы буду делить по видам "деятельности":
Онлайн мошенничество
Схема всех онлайн мошенничеств такова:
● размещение (рассылка) информации;
● взаимодействие с жертвой;
● получение денежного перевода.
Все три этапа предусматривают оставление обильных следов технического характера. Хотя мошенники, очевидно, постараются предпри нять меры для своей анонимизации. Относительно получения денег мошенников кроме анонимизации спасает быстрота: перевод полученных средств между различными платежными системами осуществляется достаточно быстро, но требует много времени для отслеживания.
При размещении мошенниками подложного интернет магазина можно рассчитывать на обнаружение следующих видов следов:
● регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
● следы при настройке DNS сервера, поддерживающего домен мошенников;
● следы от взаимодействия с хостинг провайдером, у которого размещен веб сайт: заказ, оплата, настройка, залив контента;
● следы от рекламирования веб сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
● следы от отслеживания активности пользователей на сайте.
При взаимодействии с жертвами обмана мошенники оставляют такие следы:
● следы при приеме заказов – по электронной почте, по ICQ, через веб форму;
● следы от переписки с потенциальными жертвами.
При получении денег мошенники оставляют такие следы:
● следы при осуществлении ввода денег в платежную систему (реквизи ты, которые указываются жертве);
● следы при переводе денег между счетами, которые контролируются мошенниками;
● следы при выводе денег;
● следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
● следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.
DoS атаки
При подготовке и проведении DoS атаки образуются следующие следы технического характера:
● наличие инструментария атаки – программных средств (агентов), ус тановленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
● следы поиска, тестирования, приобретения инструментария;
● логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
● логи технических средств защиты – детекторов атак и аномалий тра фика, систем обнаружения вторжений, межсетевых экранов, специа лизированных антифлудовых фильтров;
● логи, образцы трафика и другие данные, специально полученные тех ническими специалистами операторов связи в ходе расследования ин цидента, выработки контрмер, отражения атаки. (Следует знать, что DoS атака требует немедленной реакции, если владелец желает спас ти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрма невры, из за чего картина атаки усложняется.);
● следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS атак, его переписки, переговоров и денежных расчетов с исполнителями;
● следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При подготовке и проведении DoS атаки образуются следующие следы технического характера:
● наличие инструментария атаки – программных средств (агентов), ус тановленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
● следы поиска, тестирования, приобретения инструментария;
● логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
● логи технических средств защиты – детекторов атак и аномалий тра фика, систем обнаружения вторжений, межсетевых экранов, специа лизированных антифлудовых фильтров;
● логи, образцы трафика и другие данные, специально полученные тех ническими специалистами операторов связи в ходе расследования ин цидента, выработки контрмер, отражения атаки. (Следует знать, что DoS атака требует немедленной реакции, если владелец желает спас ти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрма невры, из за чего картина атаки усложняется.);
● следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS атак, его переписки, переговоров и денежных расчетов с исполнителями;
● следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
Дефейс
На взломанном компьютере следов остается не много, злоумышленник старается по возможности уничтожить их. Не следует удивляться, ес ли следов там вообще найти не удастся. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров. А на собственном компьютере злоумышленника следов должно быть еще больше – там должны найтись переработанная или заново изготовленная веб страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб сайте и промежуточных узлах.
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной – измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб форуме. Все эти действия оставят дополнительные следы.
Злоумышленник также будет периодически проверять результат дефейса и отслеживать реакцию общественности на него. Эти действия он может совершать со своего компьютера, без особых мер для анонимизации.
Вредоносные программы
При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:
● исходный текст вредоносной программы, его промежуточные вариан ты, исходные тексты других вредоносных или двойного назначения программ, из которых вирмейкер заимствовал фрагменты кода;
● антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
● программные средства для управления вредоносными программами (многие из них работают по схеме «клиент сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
● средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
● следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты. При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:
● средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
● контакты с создателем или распространителем посредником вредоносной программы;
● программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
● средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.
источник - форензика Федотова ВВ
P.S.[1] Если данная тема интересная, есть еще куча подобного материала, отпишитесь пожалуйста.
P.S.[2] Ув. модераторы, поправьте название темы на "Следы, оставляемые при cybercrime. Не попадитесь" (2 ошибки допустил, нет запятой, и пропустил букву "с" в слове "попадитесь")
не оставлять их; знать что чистить после такового; при подготовки продумать контр меры и тд.
Следы буду делить по видам "деятельности":
Онлайн мошенничество
Схема всех онлайн мошенничеств такова:
● размещение (рассылка) информации;
● взаимодействие с жертвой;
● получение денежного перевода.
Все три этапа предусматривают оставление обильных следов технического характера. Хотя мошенники, очевидно, постараются предпри нять меры для своей анонимизации. Относительно получения денег мошенников кроме анонимизации спасает быстрота: перевод полученных средств между различными платежными системами осуществляется достаточно быстро, но требует много времени для отслеживания.
При размещении мошенниками подложного интернет магазина можно рассчитывать на обнаружение следующих видов следов:
● регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
● следы при настройке DNS сервера, поддерживающего домен мошенников;
● следы от взаимодействия с хостинг провайдером, у которого размещен веб сайт: заказ, оплата, настройка, залив контента;
● следы от рекламирования веб сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
● следы от отслеживания активности пользователей на сайте.
При взаимодействии с жертвами обмана мошенники оставляют такие следы:
● следы при приеме заказов – по электронной почте, по ICQ, через веб форму;
● следы от переписки с потенциальными жертвами.
При получении денег мошенники оставляют такие следы:
● следы при осуществлении ввода денег в платежную систему (реквизи ты, которые указываются жертве);
● следы при переводе денег между счетами, которые контролируются мошенниками;
● следы при выводе денег;
● следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
● следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.
DoS атаки
При подготовке и проведении DoS атаки образуются следующие следы технического характера:
● наличие инструментария атаки – программных средств (агентов), ус тановленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
● следы поиска, тестирования, приобретения инструментария;
● логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
● логи технических средств защиты – детекторов атак и аномалий тра фика, систем обнаружения вторжений, межсетевых экранов, специа лизированных антифлудовых фильтров;
● логи, образцы трафика и другие данные, специально полученные тех ническими специалистами операторов связи в ходе расследования ин цидента, выработки контрмер, отражения атаки. (Следует знать, что DoS атака требует немедленной реакции, если владелец желает спас ти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрма невры, из за чего картина атаки усложняется.);
● следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS атак, его переписки, переговоров и денежных расчетов с исполнителями;
● следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При подготовке и проведении DoS атаки образуются следующие следы технического характера:
● наличие инструментария атаки – программных средств (агентов), ус тановленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
● следы поиска, тестирования, приобретения инструментария;
● логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
● логи технических средств защиты – детекторов атак и аномалий тра фика, систем обнаружения вторжений, межсетевых экранов, специа лизированных антифлудовых фильтров;
● логи, образцы трафика и другие данные, специально полученные тех ническими специалистами операторов связи в ходе расследования ин цидента, выработки контрмер, отражения атаки. (Следует знать, что DoS атака требует немедленной реакции, если владелец желает спас ти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрма невры, из за чего картина атаки усложняется.);
● следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS атак, его переписки, переговоров и денежных расчетов с исполнителями;
● следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
Дефейс
На взломанном компьютере следов остается не много, злоумышленник старается по возможности уничтожить их. Не следует удивляться, ес ли следов там вообще найти не удастся. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров. А на собственном компьютере злоумышленника следов должно быть еще больше – там должны найтись переработанная или заново изготовленная веб страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб сайте и промежуточных узлах.
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной – измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб форуме. Все эти действия оставят дополнительные следы.
Злоумышленник также будет периодически проверять результат дефейса и отслеживать реакцию общественности на него. Эти действия он может совершать со своего компьютера, без особых мер для анонимизации.
Вредоносные программы
При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:
● исходный текст вредоносной программы, его промежуточные вариан ты, исходные тексты других вредоносных или двойного назначения программ, из которых вирмейкер заимствовал фрагменты кода;
● антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
● программные средства для управления вредоносными программами (многие из них работают по схеме «клиент сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
● средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
● следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты. При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:
● средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
● контакты с создателем или распространителем посредником вредоносной программы;
● программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
● средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.
источник - форензика Федотова ВВ
P.S.[1] Если данная тема интересная, есть еще куча подобного материала, отпишитесь пожалуйста.
P.S.[2] Ув. модераторы, поправьте название темы на "Следы, оставляемые при cybercrime. Не попадитесь" (2 ошибки допустил, нет запятой, и пропустил букву "с" в слове "попадитесь")
Комментарий