Занимайся расследованием киберпреступлений как рок-звезда
(Взламываем планету | Книга 3)
Книга 3 (вы здесь!)
Описание:
"Есть два вида компаний: те, что были взломаны, и те, что пока еще не знают, что были взломаны".
Компания, которая попросила нас о помощи, обнаружила аномалию в своих самых критически важных системах.
Наша работа - провести глубокий криминалистический анализ, выполнить оценку угроз и раскрыть все вредоносные программы, оставленные хакерами.
Цифровая форензика
Мы следуем по отпечаткам атакующего через множество систем и воссоздаем хронологию заражения, чтобы разобраться с мотивами. Погружаемся глубже в анализ памяти, отрабатываем с копией диска, занимаемся поиском и обнаружением угроз, а также анализом малвари, попутно обсуждаем идеи по управлению инцидентами из реальной жизни.
Восстановление систем
И наконец, порешаем самые важные вопросы при любом реагировании на инциденты информационной безопасности: как выкинуть атакующих из систем и вернуть доверие тем машинам, что были скомпрометированы.
Для тех из вас, кто читал книги по хакингу типа "Искусство эксплойта" и "Занимайся хакингом с ловкостью порнозвезды", вы наконец ощутите, каково это - находиться по ту сторону файрвола!
План игры на третью книгу:
В первых двух книгах серии "Взламываем планету" мы смотрели на проникновение в корпоративную сеть и компрометацию мэйнфрейма глазами хакера. В третьей книге мы попадаем в противоположные условия.
Теперь мы выступаем в роли компьютерного следователя-криминалиста, который экстренно приезжает в корпорацию, подвергшуюся взлому. Мы подключаемся к хакнутому мэйнфрейму через эмулятор TN3270 и начинаем с нуля раскручивать в обратную сторону произошедшую атаку.
Стек, затронутый в книге:
Мэйнфрейм от IBM под z/OS, RACF, записи SMF, вызовы супервизора SVC, извлечение оперативной памяти скомпрометированных рабочих станций при помощи утилиты DumpIt, кастомные скрипты для сбора на скомпрометированных машинах работающих процессов, сетевых соединений, логов событий и проч., снятие копий дисков, анализ собранных данных, PowerShell, Active Directory, модуль PowerView фреймворка PowerSploit, фреймворк Volatility, детект обфусцированной малвари, гипервизоры VMware ESXi, memdump, mmls, фреймворк Sleuth Kit, Regripper, меры для восстановления и усиления защиты инфраструктуры от атак.
Отказ от ответственности
Примеры в этой книге полностью вымышлены. Описываемые инструменты и техники имеют открытый исходный код, а следовательно - доступны публично. Специалисты по безопасности и пентестеры регулярно используют их в своей работе, также как и атакующие. Если вы стали жертвой компьютерного преступления и обнаружили в этой книге демонстрацию техник или инструментов, то это никоим образом не означает, что автору этой книги и переводчику можно инкриминировать любую связь с компьютерным преступлением, содержимое этой книги не дает никаких оснований полагать, что есть какая-либо связь между автором книги/переводчиком и преступниками.
Любые действия и/или деятельность, связанные с материалом, содержащимся в этой книге, находятся целиком под вашей ответственностью. Неправильное использование информации из этой книги может стать результатом обвинений в совершении уголовного правонарушения в адрес соответствующих лиц. Автор и переводчик не несут никакой ответственности за деяния лиц, использующих информацию из этой книги в преступных целях.
Эта книга не призывает заниматься хакерством, взломом программного обеспечения и/или пиратством. Вся информация, представленная в книге, предназначена исключительно в образовательных целях. Она призвана помочь организациям защитить свои сети от атакующих, а следователям собрать цифровые улики во время расследования инцидентов.
Совершение любых попыток по хакингу/взлому систем или тестирование систем на проникновение должно сопровождаться письменным разрешением от владельцев данных систем.
Сэмпл перевода
Спойлер
Авторы: Sparc Flow
Оригинальное название: How to Investigate Like a Rockstar
Объем в оригинале: 107 стр.
Тип перевода: перевод на русский
Формат: текст, PDF
Код: