Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet214/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   210   211   212   213   214   215   216   217   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

 
255
Рис. 13.5
В дополнение к этому также убедитесь, что вы собираете сетевые трассиров-
ки, используя Wireshark, когда имеете дело с расследованием в реальном вре-
мени. При необходимости используйте утилиту procdump с сайта Sysinternals, 
чтобы создать дамп скомпрометированного процесса.
и
сслеДование
 
скомпрометированной
 
системы
 
внутри
 
организации
Для первого сценария мы будем использовать компьютер, скомпрометиро-
ванный после того, как конечный пользователь открыл фишинговое письмо, 
которое выглядит так, как показано на рис. 13.6.
Конечный пользователь находился в филиале в Бразилии, следовательно, 
письмо написано на португальском языке. Содержание этого письма вызы-
вает некоторое беспокойство, поскольку в нем говорится о продолжающемся 
судебном процессе, и пользователю любопытно посмотреть, действительно ли 
он имеет к этому какое-либо отношение. Прочитав письмо, он не заметил, что-
бы что-то произошло. Он не придал этому инциденту значения и продолжил 
работу. Пару дней спустя он получил от IT-службы автоматическое сообщение 
о том, что он зашел на подозрительный сайт и ему следует обратиться в службу 
поддержки, чтобы проконсультироваться по этому запросу.


256  Расследование инцидента 
Рис. 13.6
Он позвонил в службу поддержки и объяснил, что единственное подозри-
тельное действие, которое он помнит, – это открытие странного электронного 
письма, которое он представил в качестве доказательства. Когда его спросили 
о том, что он сделал, пользователь объяснил, что щелкнул на изображение, ко-
торое, по-видимому, шло в виде вложения, полагая, что он мог бы скачать его, 
но ничего не скачалось. Только промелькнуло открывающееся окно, которое 
быстро исчезло, и ничего более.
Первый этап расследования – подтверждение URL-адреса, который был свя-
зан с изображением в электронном письме. Самый быстрый способ провер-
ки – использование VirusTotal, который в этом случае возвращает следующее 
значение (тест выполнен 15 ноября 2017 г.) – рис. 13.7.
Это уже убедительный признак того, что этот сайт вредоносный. На тот мо-
мент возник вопрос: что такого он загрузил в систему пользователя, что его 
не обнаружила установленная локально антивирусная программа? Если нет 
никаких признаков компрометации со стороны вредоносного ПО и имеются 
признаки того, что вредоносный файл был успешно загружен в систему, сле-
дующим шагом обычно является проверка журналов событий.


Исследование скомпрометированной системы внутри организации 

Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   210   211   212   213   214   215   216   217   ...   272




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish