Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	214/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 210 211 212 213 214 215 216 217 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

255
Рис. 13.5
В дополнение к этому также убедитесь, что вы собираете сетевые трассиров-
ки, используя Wireshark, когда имеете дело с расследованием в реальном вре-
мени. При необходимости используйте утилиту procdump с сайта Sysinternals,
чтобы создать дамп скомпрометированного процесса.
и
сслеДование

скомпрометированной

системы

внутри

организации
Для первого сценария мы будем использовать компьютер, скомпрометиро-
ванный после того, как конечный пользователь открыл фишинговое письмо,
которое выглядит так, как показано на рис. 13.6.
Конечный пользователь находился в филиале в Бразилии, следовательно,
письмо написано на португальском языке. Содержание этого письма вызы-
вает некоторое беспокойство, поскольку в нем говорится о продолжающемся
судебном процессе, и пользователю любопытно посмотреть, действительно ли
он имеет к этому какое-либо отношение. Прочитав письмо, он не заметил, что-
бы что-то произошло. Он не придал этому инциденту значения и продолжил
работу. Пару дней спустя он получил от IT-службы автоматическое сообщение
о том, что он зашел на подозрительный сайт и ему следует обратиться в службу
поддержки, чтобы проконсультироваться по этому запросу.

256  Расследование инцидента
Рис. 13.6
Он позвонил в службу поддержки и объяснил, что единственное подозри-
тельное действие, которое он помнит, – это открытие странного электронного
письма, которое он представил в качестве доказательства. Когда его спросили
о том, что он сделал, пользователь объяснил, что щелкнул на изображение, ко-
торое, по-видимому, шло в виде вложения, полагая, что он мог бы скачать его,
но ничего не скачалось. Только промелькнуло открывающееся окно, которое
быстро исчезло, и ничего более.
Первый этап расследования – подтверждение URL-адреса, который был свя-
зан с изображением в электронном письме. Самый быстрый способ провер-
ки – использование VirusTotal, который в этом случае возвращает следующее
значение (тест выполнен 15 ноября 2017 г.) – рис. 13.7.
Это уже убедительный признак того, что этот сайт вредоносный. На тот мо-
мент возник вопрос: что такого он загрузил в систему пользователя, что его
не обнаружила установленная локально антивирусная программа? Если нет
никаких признаков компрометации со стороны вредоносного ПО и имеются
признаки того, что вредоносный файл был успешно загружен в систему, сле-
дующим шагом обычно является проверка журналов событий.

Исследование скомпрометированной системы внутри организации 

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 210 211 212 213 214 215 216 217 ... 272