Справочные материалы

1.Microsoft Lean on the Machine Report. http://download.microsoft.com/down­ load/3/4/0/3409C40C-2E1C-4A55-BD5B-51F5E1164E20/Microsoft_Lean_on_the_ Machine_EN_US.pdf.

2.Wanna Decryptor (WNCRY) Ransomware Explained. https://blog.rapid7.com/ 2017/05/12/wanna-decryptor-wncry-ransomware-explained/.

3.A Technical Analysis of WannaCry Ransomware. https://logrhythm.com/blog/a- technical-analysis-of-wannacry-ransomware/.

4.New ransomware, old techniques: Petya adds worm capabilities. https://www. microsoft.com/security/blog/2017/06/27/new-ransomware-old-techniques-petya- adds-worm-capabilities/?source=mmpc.

5.DUQU Uses STUXNET-Like Techniques to Conduct Information Theft. https:// www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/90/duqu-uses- stuxnetlike-techniques-to-conduct-information-theft.

6.Open Source Threat Intelligence. https://www.sans.org/summit-archives/file/ summit-archive-1493741141.pdf.

Резюме

В этой главе вы узнали о важности киберразведки,отом,как ее можно исполь- зоватьдля получения дополнительной информации о действующих субъектах угроз и их методах и как при определенных обстоятельствах прогнозировать их следующий шаг. Вы узнали, как использовать возможности киберразвед- ки с помощью сообщества свободного программного обеспечения на основе ряда бесплатных, а также коммерческих инструментов. Затем вы узнали, как компания Microsoft интегрирует киберразведку в свои продукты и сервисы и как использовать Центр безопасности не только для применения данных киберразведки, но и для визуализации потенциально скомпрометированных функцийвашейсредынабазеприобретенногоTI-решения,посравнениюсва- шими собственными данными. Наконец, вы узнали о функции расследования вЦентребезопасностииотом,какэтафункцияможетиспользоватьсягруппой реагирования на компьютерные инциденты, чтобы найти основную причину проблемы.

В следующей главе мы продолжим говоритьо стратегиях защиты,но на этот раз сосредоточимся на ответных действиях, которые являются продолжением того, что мы начали в этой главе. Вы подробнее познакомитесь с процессом расследования: как в рамках организации,так и в облаке.

Расследование инцидента

Впредыдущейглавевыузналиоважностииспользованиякиберразведки,что- бы помочь Синей команде усовершенствовать защиту организации, а также лучше узнать своих противников. В этой главе вы узнаете, как соединить все эти инструменты воедино для проведения расследования. Помимо этого, вы также узнаете,как подойти к инциденту,задать правильные вопросы и сузить сферу.Чтобыпроиллюстрироватьэто,предложимдвасценария:один–дляло- кальной организации, а другой –для гибридной среды.

У каждого сценария будут свои уникальные характеристики и проблемы. В этой главе мы рассмотрим следующие темы:

масштаб проблемы;взлом системы внутри организации;

взлом системы в облаке;выводы.

Масштаб проблемы

Посмотрим правде в глаза, не всякий инцидент связан с областью безопасно- сти, и по этой причине жизненно важно определить масштабы проблемы до начала расследования.Иногда симптомы могутзаставитьвас подумать,чтовы имеете дело с проблемой, связанной с безопасностью, но, по мере того как вы будете задавать больше вопросов и собирать больше данных, можете прийти к выводу, что проблема на самом деле не связана с безопасностью.

По этой причине первоначальная сортировка играет важную роль втом,на- сколькоуспешнымбудетрасследование.Еслиуваснетреальныхдоказательств того, что вы имеете дело с проблемой в области безопасности (кроме того что конечный пользователь,сообщающий об инциденте,говорит,что его компью­ тер работает медленно, и он считает, что его скомпрометировали), то вам следует начать с устранения основных проблем, связанных с производитель­ ностью, а не отправлять специалиста из команды реагирования, чтобы начать расследование. По этой причине действия IT-отдела, операционного отдела и отдела безопасности должны быть полностью согласованы, чтобы избежать ложноположительных результатов,что приводитк использованию ресурса от- дела безопасности для выполнения задачи поддержки.

Рис.13.2

Эти два артефакта важны для определения местоположения (часового пояса) компьютера и сетей, которые он посетил. Это еще более важно для устройств,используемых сотрудникамидля работы вне офиса,таких как ноут- буки и планшеты. В зависимости от проблемы, которую вы исследуете, также важно проверить применение USB-устройств на этом компьютере. Для этого экспортируйте ключи реестра HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR и HKLM\ SYSTEM\CurrentControlSet\Enum\USB.Примертого,каквыглядитэтотключ,показан на рис. 13.3.

Рис.13.3

Чтобы определить, существует ли какое-либо вредоносное программное обеспечение, настроенное для запуска одновременно с Windows, просмотри-

те раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run. Обычно, когда там появляется вредоносная программа, она также созда- ет службу; поэтому также важно просмотреть раздел HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services. Ищите службы со случайными именами и записи, которые не являются частью шаблона профиля компьютера. Еще один способ получить эти службы – запустить утилиту msinfo32 (рис. 13.4).

Вдополнение к этому убедитесь, что у вас есть все события безопасности,

ипри их анализе сосредоточьтесь вот на чем.

Важно отметить, что некоторые из этих событий будут появляться только в том случае, если политика безопасности на локальном компьютере настрое- на правильно.Например,событие 4663 не появится в системе,как показано на рис. 13.5, потому что для Object Access не включен аудит.