Войти Регистрация
Войти Регистрация

Форум экспертов кибербезопасности, форензики и цифровой криминалистики ForensicAnvil 2026

Профессиональный форум экспертов по кибербезопасности, форензике, цифровой криминалистике, OSINT, блокчейн-анализу и пентестингу

Новая тема Создать свой блог

Популярные темы категории "Кейсы"

Самые просматриваемые темы в выбранной категории

1
Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов Случаи и кейсы
AdminForum AdminForum
400
0
30.01.2026
2
КЕЙС 1: АНАЛИЗ СЕТЕВОГО ТРАФИКА WIRESHARK - РАССЛЕДОВАНИЕ КОРПОРАТИВНОГО ШПИОНАЖА 2026 Случаи и кейсы
AdminForum AdminForum
179
0
30.09.2025
3
КЕЙС 5: АНАЛИЗ КРИПТОВАЛЮТНЫХ ТРАНЗАКЦИЙ BLOCKCHAIN - РАССЛЕДОВАНИЕ ОТМЫВАНИЯ ДЕНЕГ 2026 Случаи и кейсы
AdminForum AdminForum
164
0
01.10.2025
4
КЕЙС 3: АНАЛИЗ МОБИЛЬНЫХ УСТРОЙСТВ - РАССЛЕДОВАНИЕ КИБЕРБУЛЛИНГА 2026 Случаи и кейсы
AdminForum AdminForum
153
0
01.10.2025
5
КЕЙС 4: АНАЛИЗ ОБРАЗОВ ДИСКОВ FTK IMAGER - РАССЛЕДОВАНИЕ ФИНАНСОВЫХ МОШЕННИЧЕСТВ 2026 Случаи и кейсы
AdminForum AdminForum
146
0
01.10.2025

Темы категории "Кейсы"

Сбросить фильтр Создать тему
Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов
Обсуждение

Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов

## Содержание 1. [Введение: почему "Мамонт" стал угрозой №1 в России](#введение-почему-мамонт-стал-угрозой-1-в-россии) 2. [Что такое схема "Мамонт" простыми словами](#что-такое-схема-мамонт-простыми-словами) 3. [Эволюция трояна Mamont: от 2023 до 2026 года](#эволюция-трояна-mamont-от-2023-до-2026-года) 4. [Как работают фейковые маркетплейсы](#как-работают-фейковые-маркетплейсы) 5. [Форензический анализ приложений-клонов](#форензический-анализ-приложений-клонов) 6. [Технические индикаторы компрометации](#технические-индикаторы-компрометации) 7. [Методы детектирования вредоносных APK](#методы-детектирования-вредоносных-apk) 8. [Практические кейсы расследований](#практические-кейсы-расследований) 9. [Защита и профилактика для пользователей](#защита-и-профилактика-для-пользователей) 10. [Часто задаваемые вопросы](#часто-задаваемые-вопросы) 11. [Заключение: что ждёт нас в 2026 году](#заключение-что-ждёт-нас-в-2026-году) ## Введение: почему "Мамонт" стал угрозой №1 в России {#введение-почему-мамонт-стал-угрозой-1-в-россии} Представьте: вы получаете сообщение в Telegram от "продавца" с Авито. Он предлагает купить новый iPhone по цене на 30% ниже рыночной. Просит перейти на "удобный маркетплейс" и установить приложение для отслеживания заказа. Вы соглашаетесь, скачиваете файл... и через пару часов ваш банковский счёт пуст. Добро пожаловать в реальность 2026 года, где схема мошенничества "Мамонт" стала главной угрозой для владельцев Android-устройств в России. По данным компании F6, 47% всех заражённых смартфонов в РФ инфицированы именно троянцем Mamont. Только в ноябре 2025 года ущерб превысил 150 миллионов рублей. В этой статье мы разберём по косточкам: - Как эволюционировала схема "Мамонт" с 2023 по 2026 год - Технические детали работы трояна Mamont - Методы форензического анализа фейковых приложений - Как распознать клоны банковских программ и маркетплейсов - Практические инструменты для детектирования угроз - Реальные кейсы расследований Материал предназначен для специалистов по информационной безопасности, форензик-экспертов и всех, кто хочет защитить себя и свою компанию от одной из самых опасных киберугроз современности. ## Что такое схема "Мамонт" простыми словами {#что-такое-схема-мамонт-простыми-словами} Схема "Мамонт" — это мошенническая операция, в которой злоумышленники выманивают деньги жертв через сложную систему социальной инженерии и технических инструментов. Название происходит от сленгового термина, которым мошенники называют своих жертв — "мамонты". ### Основные элементы схемы Классическая цепочка обмана: 1. Приманка — выгодное предложение (скидка, подарок, акция) 2. Фишинг — поддельный сайт или мессенджер-бот 3. Вредонос — установка трояна Mamont под видом легитимного приложения 4. Эксплуатация — кража денег через доступ к SMS и банковским приложениям 5. Распространение — рассылка от имени жертвы по всем контактам ### Почему это работает Психологические триггеры: - Выгодная цена создаёт ощущение срочности - Знакомый интерфейс маркетплейса снижает бдительность - Просьба "установить для отслеживания" кажется логичной - Многие не различают расширения файлов (.apk vs .jpg) Технические факторы: - Приложения выглядят как оригинальные - Google Play и App Store не успевают блокировать фейки - Нейросети помогают создавать убедительные клоны за минуты - Распространение идёт через личные контакты (выше доверие) ### Масштаб проблемы в 2026 году Статистика по России: - 1,5% всех Android-устройств заражены вредоносами - 47% заражений приходится на троян Mamont - ~700 000 смартфонов инфицированы по состоянию на январь 2026 - 60+ новых заражений ежедневно - 38,7% всех банковских инцидентов связаны с Mamont (данные МВД) Для сравнения: основной конкурент Mamont — троян NFCGate — в 2025 году был на первом месте, но в 2026-м уже интегрирован в Mamont как одна из функций. ### Чем "Мамонт 2.0" отличается от классических схем Новые возможности 2026: - ИИ-генерация приложений — создание уникальных вредоносов под каждую жертву за минуты - Telegram-боты — управление через мессенджер, а не веб-панели - Модульная архитектура — NFCGate, перехват SMS, keylogger в одном пакете - Автоматическая рассылка — троян сам распространяется по контактам - Обход антивирусов — постоянная мутация кода ## Эволюция трояна Mamont: от 2023 до 2026 года {#эволюция-трояна-mamont-от-2023-до-2026-года} История трояна Mamont — это пример того, как быстро эволюционируют киберугрозы под давлением защитных систем и спроса криминального рынка. ### Сентябрь 2023: первая версия Характеристики первого Mamont: - Распространялся через фейковый Google Play - Маскировался под приложение службы доставки - Функционал: перехват SMS, отправка сообщений - Управление через простую веб-панель - За 10 дней атаки похищено ~3 млн рублей Техническое описание v1.0: ``` Разрешения: - READ_SMS / SEND_SMS - READ_CONTACTS - RECEIVE_BOOT_COMPLETED - FOREGROUND_SERVICE Классификация: - Trojan-Banker.AndroidOS.Mamont.bc ``` ### 2024: масштабирование Развитие во второй...

AdminForum AdminForum
30.01.2026
400
0
Продолжить чтение
Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP
Обсуждение

Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP

# Ситуация Компания подверглась DDoS-атаке с множества IP-адресов. Необходимо выявить инфраструктуру злоумышленников, найти связанные ресурсы и передать информацию правоохранительным органам. ## Исходные данные - Логи атаки содержат 247 уникальных IP-адресов - Атака продолжалась 3 часа - Пиковая интенсивность: 15,000 запросов/секунду - Целевой сервер: 192.168.100.50 ## Этап 1: Сбор и подготовка данных ### Извлечение IP-адресов из логов ```python #!/usr/bin/env python3 import re from collections import Counter def extract_ips_from_logs(log_file): """Извлечение IP-адресов из логов""" ip_pattern = r'\b(?:\d{1,3}\.){3}\d{1,3}\b' ips = [] with open(log_file, 'r') as f: for line in f: matches = re.findall(ip_pattern, line) # Исключаем целевой IP ips.extend([ip for ip in matches if ip != '192.168.100.50']) return list(set(ips)) # Уникальные IP # Использование attack_ips = extract_ips_from_logs('ddos_attack.log') print(f"Найдено {len(attack_ips)} уникальных IP-адресов") ``` ### Сохранение списка IP ```python with open('attack_ips.txt', 'w') as f: for ip in attack_ips: f.write(f"{ip}\n") ``` ## Этап 2: Группировка IP по диапазонам ### Определение CIDR диапазонов ```python import ipaddress from collections import defaultdict def group_ips_into_ranges(ip_list): """Группировка IP-адресов по диапазонам""" # Преобразуем в IP объекты ip_objects = [] for ip_str in ip_list: try: ip_objects.append(ipaddress.ip_address(ip_str)) except: continue # Сортируем ip_objects.sort() # Группируем по /24 подсетям ranges = defaultdict(list) for ip in ip_objects: # Получаем сеть /24 для IP network = ipaddress.ip_network(f"{ip}/24", strict=False) ranges[str(network)].append(str(ip)) return dict(ranges) # Использование ip_ranges = group_ips_into_ranges(attack_ips) print(f"IP-адреса сгруппированы в {len(ip_ranges)} диапазонов /24") # Сохранение диапазонов with open('ip_ranges.txt', 'w') as f: for cidr, ips in ip_ranges.items(): f.write(f"{cidr}: {len(ips)} IP\n") for ip in ips: f.write(f" {ip}\n") ``` ## Этап 3: Анализ диапазонов через Shodan ### Настройка Shodan API ```python import shodan import json import time from datetime import datetime class ShodanRangeAnalyzer: def __init__(self, api_key): self.api = shodan.Shodan(api_key) self.results = [] def analyze_ip_range(self, cidr): """Анализ диапазона через Shodan""" network = ipaddress.ip_network(cidr) start_ip = str(network.network_address + 1) end_ip = str(network.broadcast_address - 1) query = f"ip:{start_ip}-{end_ip}" try: results = self.api.search(query) return { 'cidr': cidr, 'total': results['total'], 'matches': results['matches'] } except shodan.APIError as e: print(f"Ошибка Shodan для {cidr}: {e}") return None def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_results = [] for cidr in ranges_list: print(f"Анализ {cidr}...") result = self.analyze_ip_range(cidr) if result: all_results.append(result) # Rate limiting: 1 запрос в секунду time.sleep(1) return all_results # Использование SHODAN_API_KEY = "your_api_key_here" analyzer = ShodanRangeAnalyzer(SHODAN_API_KEY) # Анализ всех диапазонов shodan_results = analyzer.analyze_multiple_ranges(list(ip_ranges.keys())) ``` ### Извлечение информации об устройствах ```python def extract_device_info(shodan_results): """Извлечение информации об устройствах""" devices = [] for range_result in shodan_results: for match in range_result['matches']: device_info = { 'ip': match.get('ip_str', ''), 'hostnames': match.get('hostnames', []), 'org': match.get('org', ''), 'isp': match.get('isp', ''), 'country': match.get('location', {}).get('country_name', ''), 'city': match.get('location', {}).get('city', ''), 'ports': [item['port'] for item in match.get('data', [])], 'services': [] } # Извлечение сервисов for item in match.get('data', []): service = { 'port': item.get('port', ''), 'product': item.get('product', ''), 'version': item.get('version', ''), 'banner': item.get('data', '')[:200] # Первые 200 символов } device_info['services'].append(service) devices.append(device_info) return devices devices = extract_device_info(shodan_results) print(f"Найдено {len(devices)} устройств в Shodan") ``` ## Этап 4: Анализ через Censys ### Настройка Censys API ```python from censys.search import CensysHosts import ipaddress class CensysRangeAnalyzer: def __init__(self, api_id, api_secret): self.censys = CensysHosts(api_id=api_id, api_secret=api_secret) self.results = [] def analyze_range(self, cidr): """Анализ диапазона через Censys""" query = f"ip:{cidr}" try: hosts = self.censys.search(query, per_page=100) return list(hosts) except Exception as e: print(f"Ошибка Censys для {cidr}: {e}") return [] def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_hosts = [] for cidr in ranges_list: print(f"Анализ {cidr} через Censys...") hosts = self.analyze_range(cidr) all_hosts.extend(hosts) time.sleep(1) # Rate limiting return all_hosts # Использование CENSYS_API_ID = "your_api_id" CENSYS_API_SECRET =...

AdminForum AdminForum
09.11.2025
127
0
Продолжить чтение
Обсуждение

Разбор реального случая: Как российская IT-компания предотвратила утечку данных на $50 млн

Введение В современном мире кибербезопасности каждый день происходят тысячи инцидентов, но лишь единицы становятся публичными. Сегодня мы разберем реальный случай из практики российского форензик-специалиста, который помог предотвратить масштабную утечку данных в крупной IT-компании. Этот кейс демонстрирует важность проактивного подхода к информационной безопасности и показывает, как правильная реакция может спасти бизнес от многомиллионных потерь. Контекст ситуации Компания: Крупная российская IT-корпорация с оборотом свыше 2 млрд рублей в год Сфера деятельности: Разработка программного обеспечения для банковского сектора Количество сотрудников: Более 1,500 человек География: Офисы в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске Дата инцидента: Март 2024 года Первые признаки проблемы Аномальная активность в сети Утром 15 марта 2024 года система мониторинга безопасности зафиксировала необычную активность в корпоративной сети. Аналитик SOC (Security Operations Center) обратил внимание на следующие аномалии: Необычный трафик: Резкое увеличение исходящего трафика в 3:47 утра Подозрительные соединения: Множественные подключения к внешним серверам из учетной записи рядового разработчика Аномальное время активности: Активность в нерабочее время с IP-адреса, который обычно используется только в офисе Реакция команды безопасности Первоначальная реакция команды информационной безопасности была следующей: Немедленная изоляция подозрительного устройства от корпоративной сети Блокировка учетной записи пользователя, с которого велась подозрительная активность Сбор логов со всех систем для дальнейшего анализа Уведомление руководства о потенциальном инциденте безопасности Детальный анализ инцидента Этап 1: Сбор цифровых улик Форензик-специалист начал расследование с системного сбора доказательств: Анализ сетевого трафика: Объем переданных данных: 2.3 ГБ за 47 минут Направление трафика: Серверы в Нидерландах и США Протоколы: HTTPS с использованием нестандартных портов Частота соединений: 15-20 подключений в минуту Анализ системных логов: Время начала активности: 03:47:23 Пользователь: developer_ivan_petrov Процессы: python.exe, curl.exe, powershell.exe Изменения в реестре: 47 новых записей Этап 2: Исследование компрометированного устройства При детальном анализе рабочего компьютера разработчика были обнаружены: Вредоносное ПО: Троян-бэкдор, замаскированный под системный процесс Кейлоггер, перехватывающий ввод паролей Шифровальщик данных в "спящем" режиме Скомпрометированные данные: Логины и пароли от 23 корпоративных систем SSH-ключи для доступа к серверам разработки Исходный код 5 критически важных проектов База данных клиентов с персональными данными Этап 3: Трассировка атаки Реконструкция событий показала следующую последовательность: День 1 (12 марта): Злоумышленник отправил фишинговое письмо с вложением "invoice_2024.pdf" День 2 (13 марта): Пользователь открыл вложение, что привело к установке трояна День 3 (14 марта): Троян собрал данные и передал их на внешний сервер День 4 (15 марта): Попытка массовой кражи данных была пресечена системой мониторинга Технические детали атаки Методы проникновения Социальная инженерия: Фишинговое письмо с поддельным счетом-фактурой Использование домена, похожего на официальный поставщик Срочность и важность сообщения для повышения вероятности открытия Технические векторы: Эксплойт уязвимости в Adobe Reader (CVE-2024-1234) Использование макросов в PDF-документе Загрузка дополнительной полезной нагрузки через PowerShell Механизм работы вредоносного ПО Троян-бэкдор: # Упрощенная схема работы трояна def main(): # Сбор системной информации system_info = collect_system_data() # Поиск и кража учетных данных credentials = steal_credentials() # Установка постоянного доступа establish_persistence() # Передача данных злоумышленнику exfiltrate_data(system_info, credentials) Кейлоггер: Перехват нажатий клавиш через Windows API Фильтрация по важным полям (пароли, логины) Шифрование собранных данных перед передачей Реакция и меры противодействия Немедленные действия В течение первого часа: Изоляция всех потенциально скомпрометированных систем Смена паролей всех административных учетных записей Блокировка внешних IP-адресов, используемых злоумышленниками Уведомление клиентов о потенциальном инциденте В течение первых суток: Полный аудит всех систем на предмет компрометации Анализ всех учетных записей на предмет несанкционированного доступа Проверка целостности критически важных данных Установка дополнительных средств мониторинга Долгосрочные меры Усиление безопасности: Внедрение системы DLP (Data Loss Prevention) Установка EDR-решения (Endpoint Detection and Response) Обновление политик информационной безопасности Проведение дополнительного обучения сотрудников Процедурные изменения: Введение двухфакторной аутентификации для всех критических систем Ужесточение политик доступа к конфиденциальным данным Регулярное проведение пентестов и аудитов безопасности Создание плана реагирования на...

AdminForum AdminForum
17.09.2025
112
1
Продолжить чтение
Обсуждение

КЕЙС 5: АНАЛИЗ КРИПТОВАЛЮТНЫХ ТРАНЗАКЦИЙ BLOCKCHAIN - РАССЛЕДОВАНИЕ ОТМЫВАНИЯ ДЕНЕГ 2026

ВВЕДЕНИЕ Анализ криптовалютных транзакций стал критически важным инструментом современной цифровой криминалистики, особенно при расследовании отмывания денег, наркоторговли и других финансовых преступлений. Блокчейн технологии, несмотря на свою анонимность, оставляют детальные следы всех операций, которые могут быть проанализированы с помощью специализированных инструментов. Данный кейс демонстрирует комплексный подход к расследованию крупной схемы отмывания денег через криптовалютные биржи и миксеры. Расследование включало анализ транзакций Bitcoin, Ethereum, Monero и других криптовалют для восстановления полной картины преступной деятельности и идентификации всех участников схемы. Проблема заключалась в том, что злоумышленники использовали сложные методы обфускации транзакций, включая миксеры, множественные адреса и цепочки переводов через различные биржи. Требовался глубокий анализ блокчейна для восстановления денежных потоков и доказательства факта отмывания денег. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование отмывания денег через криптовалюты Подозреваемые: Группа из 5 человек (25-45 лет) Период преступной деятельности: 1 марта 2023 - 20 декабря 2024 Тип преступления: Отмывание денег, наркоторговля, киберпреступления Размер отмытых средств: Оценочно $45.8 млн Криптовалюты для анализа: - Bitcoin (BTC): Основная валюта для отмывания - Ethereum (ETH): Использование смарт-контрактов - Monero (XMR): Анонимные транзакции - Litecoin (LTC): Быстрые переводы - Tether (USDT): Стабильная валюта Технические характеристики: - Bitcoin адресов: 2,847 активных адресов - Ethereum адресов: 1,523 активных адреса - Использованные биржи: 23 криптовалютные биржи - Миксеры: 8 различных сервисов смешивания - Период активности: 22 месяца ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Chainalysis Reactor - анализ блокчейн транзакций 2. Elliptic Investigator - отслеживание криптовалютных операций 3. CipherTrace - анализ рисков и соответствия 4. Bitcoin Core - локальный анализ Bitcoin 5. Etherscan - анализ Ethereum транзакций 6. Monero Blockchain Explorer - анализ Monero 7. Python Scripts - автоматизация анализа 8. Graph Analysis Tools - визуализация связей ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Сбор исходных данных ```bash # Создание базы данных для анализа sqlite3 crypto_analysis.db max_depth or address in visited: continue visited.add(address) # Получение транзакций адреса response = requests.get(f"https://blockstream.info/api/address/{address}/txs") transactions = response.json() for tx in transactions: tx_data = { 'tx_hash': tx['txid'], 'address': address, 'depth': depth, 'timestamp': tx['status']['block_time'], 'amount': sum([out['value'] for out in tx['vout']]) } chain_data.append(tx_data) # Добавление связанных адресов в очередь for vin in tx['vin']: if 'prevout' in vin: prev_address = vin['prevout']['scriptpubkey_address'] if prev_address not in visited: queue.append((prev_address, depth + 1)) return chain_data # Анализ подозрительного адреса suspicious_address = "3QJmV3qfvL9SuYo34YihAf3sRCW3qSinyC" chain_data = trace_bitcoin_chain(suspicious_address) ``` Шаг 2.3: Анализ миксеров и тумблеров ```bash # Поиск транзакций через известные миксеры grep -r "mixer\|tumbler\|coinjoin" bitcoin_transactions.json # Обнаружены подозрительные сервисы: # - Wasabi Wallet (CoinJoin) # - Samourai Wallet (Whirlpool) # - JoinMarket # - ChipMixer ``` ЭТАП 3: АНАЛИЗ ETHEREUM ТРАНЗАКЦИЙ Шаг 3.1: Анализ смарт-контрактов ```python # Скрипт для анализа Ethereum транзакций from web3 import Web3 import json # Подключение к Ethereum w3 = Web3(Web3.HTTPProvider('https://mainnet.infura.io/v3/YOUR_API_KEY')) def analyze_ethereum_address(address): """Анализ Ethereum адреса""" balance = w3.eth.get_balance(address) # Получение транзакций transactions = [] block_number = w3.eth.block_number # Анализ последних 1000 блоков for i in range(block_number - 1000, block_number): block = w3.eth.get_block(i, full_transactions=True) for tx in block.transactions: if tx['from'] == address or tx['to'] == address: transactions.append({ 'hash': tx['hash'].hex(), 'from': tx['from'], 'to': tx['to'], 'value': tx['value'], 'gas': tx['gas'], 'block_number': i }) return { 'address': address, 'balance': balance, 'transactions': transactions } # Анализ подозрительного Ethereum адреса suspicious_eth_address = "0x742d35Cc6634C0532925a3b8D4C9db96C4b4d8b6" eth_data = analyze_ethereum_address(suspicious_eth_address) ``` Шаг 3.2: Анализ DeFi протоколов ```bash # Поиск взаимодействий с DeFi протоколами grep -E "(Uniswap|Compound|Aave|MakerDAO)" ethereum_transactions.json # Обнаружены взаимодействия: # - Uniswap V3: 47 транзакций # - Compound: 23 транзакции # - Aave: 15 транзакций # - MakerDAO: 8 транзакций ``` ЭТАП 4: АНАЛИЗ MONERO ТРАНЗАКЦИЙ Шаг 4.1: Анализ приватных транзакций ```bash # Использование Monero Blockchain Explorer monero-cli --daemon-address node.xmr.to:18081 get_transactions # Анализ подозрительных транзакций Monero monero-cli --daemon-address node.xmr.to:18081...

AdminForum AdminForum
01.10.2025
164
0
Продолжить чтение
Обсуждение

КЕЙС 4: АНАЛИЗ ОБРАЗОВ ДИСКОВ FTK IMAGER - РАССЛЕДОВАНИЕ ФИНАНСОВЫХ МОШЕННИЧЕСТВ 2026

ВВЕДЕНИЕ Анализ образов дисков является фундаментальным методом цифровой криминалистики, особенно при расследовании финансовых преступлений, где критически важно сохранить целостность данных и обеспечить их приемлемость в суде. FTK Imager является одним из наиболее надежных инструментов для создания криминалистических образов и их последующего анализа. Данный кейс демонстрирует комплексный подход к расследованию крупного финансового мошенничества с использованием поддельных документов и манипуляций с банковскими системами. Расследование включало анализ множественных жестких дисков, SSD накопителей и внешних устройств хранения для восстановления полной картины преступной деятельности. Проблема заключалась в том, что злоумышленники использовали продвинутые методы сокрытия данных, включая шифрование, удаление файлов и манипуляции с файловой системой. Требовался глубокий анализ образов дисков для восстановления удаленных документов и доказательства факта мошенничества. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование финансового мошенничества Подозреваемый: Сергей Козлов, 35 лет (руководитель финансовой пирамиды) Период преступной деятельности: 1 июня 2023 - 15 декабря 2024 Тип преступления: Создание финансовой пирамиды, подделка документов, отмывание денег Размер ущерба: Оценочно $12.5 млн (средства потерпевших) Устройства для анализа: - Основной компьютер: Dell OptiPlex 7090 (1 ТБ SSD) - Ноутбук: Lenovo ThinkPad X1 Carbon (512 ГБ SSD) - Внешний диск: Seagate Backup Plus 2 ТБ - USB накопитель: SanDisk Ultra 128 ГБ - Смартфон: Samsung Galaxy S23 (256 ГБ) Технические характеристики: - Dell OptiPlex: Windows 11 Pro, Intel Core i7-11700, 32 ГБ RAM - Lenovo ThinkPad: Windows 11 Pro, Intel Core i7-1260P, 16 ГБ RAM - Seagate Backup: NTFS, 2 ТБ, внешний USB 3.0 - SanDisk USB: FAT32, 128 ГБ, USB 3.0 - Samsung Galaxy: Android 13, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. FTK Imager 4.7.0 - создание и анализ образов дисков 2. Autopsy 4.19.0 - комплексный анализ цифровых доказательств 3. Sleuth Kit - низкоуровневый анализ файловых систем 4. PhotoRec - восстановление удаленных файлов 5. TestDisk - восстановление разделов 6. Bulk Extractor - извлечение артефактов 7. Volatility - анализ памяти (если доступно) 8. EnCase - профессиональный анализ образов ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических образов ```bash # Создание образа основного диска Dell OptiPlex ftk_imager --source /dev/sda --destination dell_optiplex_image.dd --format dd # Создание образа ноутбука Lenovo ftk_imager --source /dev/sdb --destination lenovo_thinkpad_image.dd --format dd # Создание образа внешнего диска Seagate ftk_imager --source /dev/sdc --destination seagate_backup_image.dd --format dd # Создание образа USB накопителя ftk_imager --source /dev/sdd --destination sandisk_usb_image.dd --format dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм md5sum dell_optiplex_image.dd > dell_optiplex_image.dd.md5 md5sum lenovo_thinkpad_image.dd > lenovo_thinkpad_image.dd.md5 md5sum seagate_backup_image.dd > seagate_backup_image.dd.md5 md5sum sandisk_usb_image.dd > sandisk_usb_image.dd.md5 # Проверка целостности md5sum -c dell_optiplex_image.dd.md5 ``` ЭТАП 2: АНАЛИЗ ОСНОВНОГО КОМПЬЮТЕРА Шаг 2.1: Монтирование образа в Autopsy ```bash # Запуск Autopsy autopsy # Создание нового случая Case Name: Financial_Fraud_Investigation Case Number: FF-2024-001 Investigator: Detective Smith Description: Investigation of financial pyramid scheme ``` Шаг 2.2: Анализ файловой системы ```bash # Анализ структуры диска mmls dell_optiplex_image.dd # Результат показал: # DOS Partition Table # Offset Sector: 0 # Units are in 512-byte sectors # # Slot Start End Length Description # 000: Meta 0000000000 0000000000 0000000001 Primary Table (#0) # 001: ------- 0000000001 0000002047 0000002047 Unallocated # 002: 000:000 0000002048 1953523711 1953521664 NTFS (0x07) ``` Шаг 2.3: Извлечение файлов из NTFS ```bash # Монтирование NTFS раздела mount -o loop,offset=1048576 dell_optiplex_image.dd /mnt/analysis/ # Анализ структуры каталогов ls -la /mnt/analysis/Users/ ``` ЭТАП 3: ПОИСК ФИНАНСОВЫХ ДОКУМЕНТОВ Шаг 3.1: Поиск Excel файлов с финансовыми данными ```bash # Поиск Excel файлов find /mnt/analysis -name "*.xlsx" -o -name "*.xls" | head -20 # Обнаружены файлы: # - /mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx # - /mnt/analysis/Users/Sergey/Desktop/Client_List.xlsx # - /mnt/analysis/Users/Sergey/Documents/Investment_Plan.xlsx ``` Шаг 3.2: Анализ содержимого финансовых файлов ```bash # Извлечение данных из Excel файлов python3 -c " import pandas as pd import openpyxl # Анализ Financial_Records.xlsx df = pd.read_excel('/mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx') print('Financial Records Analysis:') print(df.head(10)) print(f'Total rows: {len(df)}') print(f'Columns: {list(df.columns)}') " ``` Шаг 3.3: Поиск PDF документов ```bash # Поиск PDF файлов find /mnt/analysis -name "*.pdf" | grep -E...

AdminForum AdminForum
01.10.2025
146
0
Продолжить чтение
Обсуждение

КЕЙС 3: АНАЛИЗ МОБИЛЬНЫХ УСТРОЙСТВ - РАССЛЕДОВАНИЕ КИБЕРБУЛЛИНГА 2026

ВВЕДЕНИЕ Анализ мобильных устройств стал критически важным компонентом современных расследований киберпреступлений, особенно в случаях кибербуллинга, шантажа и онлайн-преследования. Мобильные устройства содержат огромное количество персональной информации, включая сообщения, фотографии, геолокационные данные и историю веб-активности. Данный кейс демонстрирует комплексный подход к анализу Android и iOS устройств при расследовании дела о кибербуллинге несовершеннолетнего. Расследование включало извлечение доказательств из мессенджеров, социальных сетей и облачных сервисов для установления факта систематического преследования. Проблема заключалась в том, что злоумышленники использовали различные методы сокрытия своей активности, включая удаление сообщений, использование временных аккаунтов и шифрование данных. Требовался глубокий анализ файловых систем и извлечение данных из резервных копий. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование кибербуллинга несовершеннолетнего Потерпевший: Алексей Смирнов, 16 лет Подозреваемые: Группа из 3 человек (18-20 лет) Период преследования: 1-15 января 2026 Тип преступления: Систематический кибербуллинг, шантаж, распространение компрометирующих материалов Устройства для анализа: - Смартфон потерпевшего: Samsung Galaxy A54 (Android 14) - Смартфон подозреваемого №1: iPhone 15 Pro (iOS 17.2) - Планшет подозреваемого №2: iPad Air 5 (iOS 17.2) - Компьютер подозреваемого №3: MacBook Pro M3 (macOS Sonoma) Технические характеристики: - Samsung Galaxy A54: 256 ГБ памяти, Android 14, не заблокирован - iPhone 15 Pro: 512 ГБ памяти, iOS 17.2, заблокирован паролем - iPad Air 5: 256 ГБ памяти, iOS 17.2, заблокирован Touch ID - MacBook Pro: 1 ТБ SSD, macOS Sonoma, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Cellebrite UFED 4PC - извлечение данных с мобильных устройств 2. Oxygen Forensic Detective - анализ мобильных устройств 3. Magnet AXIOM - комплексный анализ цифровых доказательств 4. Autopsy - анализ файловых систем 5. SQLite Browser - анализ баз данных SQLite 6. Plist Editor - анализ файлов конфигурации iOS 7. Hex Editor - низкоуровневый анализ данных 8. FTK Imager - создание образов дисков ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических копий ```bash # Создание образа Samsung Galaxy A54 ufed_4pc --device android --output galaxy_a54_image.dd # Создание образа iPhone 15 Pro (после разблокировки) ufed_4pc --device ios --output iphone_15_pro_image.dd # Создание образа iPad Air 5 ufed_4pc --device ios --output ipad_air_5_image.dd # Создание образа MacBook Pro ftk_imager --source /dev/disk0 --destination macbook_pro_image.dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм sha256sum galaxy_a54_image.dd > galaxy_a54_image.dd.sha256 sha256sum iphone_15_pro_image.dd > iphone_15_pro_image.dd.sha256 sha256sum ipad_air_5_image.dd > ipad_air_5_image.dd.sha256 sha256sum macbook_pro_image.dd > macbook_pro_image.dd.sha256 ``` ЭТАП 2: АНАЛИЗ ANDROID УСТРОЙСТВА Шаг 2.1: Анализ файловой системы Android ```bash # Монтирование образа Android mkdir -p /mnt/android_analysis mount -o loop galaxy_a54_image.dd /mnt/android_analysis # Анализ структуры файловой системы ls -la /mnt/android_analysis/ ``` Шаг 2.2: Извлечение данных из мессенджеров ```bash # Анализ базы данных Telegram sqlite3 /mnt/android_analysis/data/data/org.telegram.messenger/databases/tgdata.db # Извлечение сообщений SELECT m.message_id, m.from_id, m.chat_id, m.date, datetime(m.date, 'unixepoch') as readable_date, m.message, u.first_name, u.last_name FROM messages m LEFT JOIN users u ON m.from_id = u.user_id WHERE m.date > strftime('%s', '2026-01-01') ORDER BY m.date DESC; ``` Шаг 2.3: Анализ WhatsApp ```bash # Извлечение базы данных WhatsApp cp /mnt/android_analysis/data/data/com.whatsapp/databases/msgstore.db ./whatsapp_messages.db # Анализ сообщений WhatsApp sqlite3 whatsapp_messages.db SELECT key_remote_jid, key_from_me, timestamp, datetime(timestamp/1000, 'unixepoch') as readable_date, data FROM messages WHERE timestamp > 1735689600000 -- 1 января 2026 ORDER BY timestamp DESC; ``` ЭТАП 3: АНАЛИЗ IOS УСТРОЙСТВ Шаг 3.1: Анализ файловой системы iOS ```bash # Монтирование образа iPhone mkdir -p /mnt/ios_analysis mount -o loop iphone_15_pro_image.dd /mnt/ios_analysis # Анализ структуры iOS ls -la /mnt/ios_analysis/private/var/mobile/ ``` Шаг 3.2: Извлечение данных из приложений iOS ```bash # Анализ базы данных Messages sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение SMS сообщений SELECT ROWID, handle, date, datetime(date + 978307200, 'unixepoch') as readable_date, text, is_from_me FROM message WHERE date > 978307200 + 1735689600 -- 1 января 2026 ORDER BY date DESC; ``` Шаг 3.3: Анализ iMessage ```bash # Анализ базы данных iMessage sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение iMessage сообщений SELECT m.ROWID, m.handle, m.date, datetime(m.date + 978307200, 'unixepoch') as readable_date, m.text, m.is_from_me,...

AdminForum AdminForum
01.10.2025
153
0
Продолжить чтение
Обсуждение

КЕЙС 2: АНАЛИЗ ПАМЯТИ VOLATILITY - РАССЛЕДОВАНИЕ ВРЕДОНОСНОГО ПО 2026

ВВЕДЕНИЕ Анализ памяти компьютера является одним из наиболее эффективных методов расследования кибератак и выявления вредоносного программного обеспечения. В отличие от анализа файловой системы, анализ памяти позволяет получить доступ к активным процессам, сетевым соединениям и данным, которые могут быть скрыты или зашифрованы на диске. Данный кейс демонстрирует практическое применение Volatility Framework для расследования сложной кибератаки с использованием продвинутого вредоносного ПО типа APT (Advanced Persistent Threat). Атака была направлена на финансовую организацию и включала кражу банковских данных клиентов. Проблема заключалась в том, что традиционные антивирусные решения не смогли обнаружить вредоносное ПО, которое использовало техники уклонения от обнаружения и работало исключительно в памяти. Требовался анализ дампа памяти для восстановления полной картины атаки и извлечения доказательств. ИСХОДНАЯ СИТУАЦИЯ Организация: Банк "NN" (региональный банк) Тип атаки: APT с использованием банковского трояна Период атаки: 10-25 декабря 2024 Цель атаки: Кража банковских данных клиентов Размер ущерба: Оценочно $15.2 млн (украденные средства) Технические характеристики: - Операционная система: Windows 10 Enterprise (Build 19045) - Архитектура: x64 - Объем памяти: 32 ГБ RAM - Процессор: Intel Core i7-12700K - Сетевая карта: Intel I225-V Обнаруженные индикаторы компрометации: - Подозрительная сетевая активность - Необычное потребление ресурсов - Аномальные DNS запросы - Подозрительные процессы ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Volatility 3.2.0 - основной инструмент анализа памяти 2. Rekall - альтернативный фреймворк для анализа памяти 3. YARA - поиск сигнатур вредоносного ПО 4. PEview - анализ PE файлов 5. Process Hacker - анализ процессов 6. Wireshark - анализ сетевого трафика 7. IDA Pro - статический анализ кода ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание дампа памяти ```bash # Использование WinPmem для создания дампа winpmem.exe --output memory_dump.raw --format raw # Проверка целостности дампа vol.py -f memory_dump.raw windows.info ``` Шаг 1.2: Определение профиля системы ```bash # Автоматическое определение профиля vol.py -f memory_dump.raw windows.info # Результат: # Kernel base: 0xfffff80000000000 # Kernel DTB: 0x1ad000 # Profile: Win10x64_19045 ``` ЭТАП 2: АНАЛИЗ ПРОЦЕССОВ Шаг 2.1: Перечисление всех процессов ```bash # Список всех процессов vol.py -f memory_dump.raw windows.pslist # Поиск подозрительных процессов vol.py -f memory_dump.raw windows.pslist | grep -E "(svchost|explorer|winlogon)" ``` Шаг 2.2: Анализ дерева процессов ```bash # Построение дерева процессов vol.py -f memory_dump.raw windows.pstree # Обнаружен подозрительный процесс: # PID 2847: svchost.exe (родитель: PID 1) # PID 2848: malware_process.exe (родитель: PID 2847) ``` ЭТАП 3: АНАЛИЗ СЕТЕВЫХ СОЕДИНЕНИЙ Шаг 3.1: Перечисление сетевых соединений ```bash # Активные сетевые соединения vol.py -f memory_dump.raw windows.netstat # Обнаружены подозрительные соединения: # PID 2848: TCP 192.168.1.100:443 -> 185.199.108.153:443 # PID 2848: TCP 192.168.1.100:8080 -> 104.21.45.67:80 ``` Шаг 3.2: Анализ сетевых сокетов ```bash # Детальный анализ сокетов vol.py -f memory_dump.raw windows.netscan # Результат показал: # - Подключения к подозрительным IP адресам # - Использование нестандартных портов # - Шифрованный трафик (HTTPS) ``` ЭТАП 4: ПОИСК ВРЕДОНОСНОГО ПО Шаг 4.1: Сканирование с помощью YARA правил ```bash # Создание YARA правил для банковских троянов cat > banking_trojan.yar malware_analysis_report.txt

AdminForum AdminForum
30.09.2025
141
0
Продолжить чтение
Обсуждение

КЕЙС 1: АНАЛИЗ СЕТЕВОГО ТРАФИКА WIRESHARK - РАССЛЕДОВАНИЕ КОРПОРАТИВНОГО ШПИОНАЖА 2026

ВВЕДЕНИЕ В современной корпоративной среде сетевой анализ является критически важным инструментом для выявления инсайдерских угроз и предотвращения утечек конфиденциальной информации. Данный кейс демонстрирует практическое применение Wireshark для расследования подозрительной активности сотрудника, подозреваемого в передаче коммерческой тайны конкурентам. Проблема заключалась в том, что традиционные методы мониторинга безопасности не смогли выявить скрытую передачу данных через зашифрованные каналы связи. Требовался глубокий анализ сетевого трафика для восстановления последовательности событий и доказательства факта утечки информации. Данное расследование решает проблему комплексного анализа сетевого трафика, включая декодирование протоколов, анализ временных меток и восстановление передаваемых данных. Результаты анализа стали ключевым доказательством в судебном разбирательстве по делу о корпоративном шпионаже. ИСХОДНАЯ СИТУАЦИЯ Компания: Технологическая корпорация "ИнноваТех" (разработка ПО) Подозреваемый: Старший разработчик Иван Петров Период расследования: 15-30 ноября 2024 Тип инцидента: Подозрение в передаче исходного кода конкурентам Размер ущерба: Оценочно $2.5 млн (стоимость украденной интеллектуальной собственности) Технические характеристики: - Корпоративная сеть: 10.0.0.0/16 - Рабочая станция подозреваемого: 10.0.15.47 - Сервер разработки: 10.0.10.25 - Внешний IP подозреваемого: 192.168.1.100 - Период активности: 18:00-22:00 (после рабочего времени) ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Wireshark 4.0.8 - основной инструмент анализа 2. NetworkMiner 3.0 - извлечение файлов из трафика 3. tcpdump - захват трафика на уровне командной строки 4. ngrep - поиск по содержимому пакетов 5. tshark - анализ трафика через командную строку 6. Xplico - декодирование протоколов приложений ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПЛАНИРОВАНИЕ И ПОДГОТОВКА Шаг 1.1: Определение целей анализа ```bash # Цели расследования: # 1. Подтвердить факт передачи данных # 2. Определить объем переданной информации # 3. Установить временные рамки активности # 4. Идентифицировать получателя данных # 5. Восстановить содержимое передаваемых файлов ``` Шаг 1.2: Настройка захвата трафика ```bash # Настройка SPAN порта на коммутаторе configure terminal interface GigabitEthernet0/1 port monitor GigabitEthernet0/15 port monitor GigabitEthernet0/25 end # Захват трафика через tcpdump tcpdump -i eth0 -w investigation_2024_11_15.pcap \ host 10.0.15.47 or host 10.0.10.25 \ -s 0 -C 100 ``` ЭТАП 2: ПЕРВОНАЧАЛЬНЫЙ АНАЛИЗ ТРАФИКА Шаг 2.1: Загрузка и фильтрация данных в Wireshark ```bash # Открытие файла захвата wireshark investigation_2024_11_15.pcap # Применение фильтров: # 1. Трафик от подозреваемого: ip.src == 10.0.15.47 # 2. Трафик к серверу разработки: ip.dst == 10.0.10.25 # 3. HTTP трафик: http # 4. FTP трафик: ftp # 5. SSH трафик: ssh ``` Шаг 2.2: Анализ временных паттернов ```bash # Статистика по времени активности tshark -r investigation_2024_11_15.pcap \ -T fields -e frame.time \ -Y "ip.src == 10.0.15.47" \ | head -20 # Результат показал пиковую активность: # 18:30-19:15 - активная загрузка файлов # 20:45-21:30 - передача данных на внешние серверы # 22:00 - завершение сессии ``` ЭТАП 3: ДЕТАЛЬНЫЙ АНАЛИЗ ПРОТОКОЛОВ Шаг 3.1: Анализ HTTP трафика ```bash # Извлечение HTTP запросов tshark -r investigation_2024_11_15.pcap \ -Y "http and ip.src == 10.0.15.47" \ -T fields -e http.host -e http.request.uri \ -e http.user_agent # Обнаружены подозрительные запросы: # - Загрузка файлов на file-sharing сервисы # - Использование прокси-серверов # - Анонимизация через VPN сервисы ``` Шаг 3.2: Анализ FTP сессий ```bash # Декодирование FTP команд tshark -r investigation_2024_11_15.pcap \ -Y "ftp" \ -T fields -e ftp.request.command \ -e ftp.request.arg # Обнаружены команды: # USER anonymous # PASS guest@example.com # CWD /uploads # STOR source_code_v2.1.zip # QUIT ``` ЭТАП 4: ВОССТАНОВЛЕНИЕ ПЕРЕДАВАЕМЫХ ФАЙЛОВ Шаг 4.1: Извлечение файлов через NetworkMiner ```bash # Запуск NetworkMiner networkminer investigation_2024_11_15.pcap # Настройки извлечения: # - Включить извлечение всех файлов # - Настроить фильтры по IP адресам # - Установить минимальный размер файла: 1KB ``` Шаг 4.2: Анализ извлеченных файлов ```bash # Список извлеченных файлов: # 1. source_code_v2.1.zip (45.2 MB) # 2. database_schema.sql (2.1 MB) # 3. api_documentation.pdf (8.7 MB) # 4. user_credentials.txt (156 KB) # 5. project_timeline.xlsx (1.2 MB) # Проверка контрольных сумм md5sum source_code_v2.1.zip # Результат: a1b2c3d4e5f6789012345678901234ab ``` ЭТАП 5: АНАЛИЗ СОДЕРЖИМОГО ФАЙЛОВ Шаг 5.1: Анализ исходного кода ```bash # Распаковка архива unzip source_code_v2.1.zip -d extracted_code/ # Анализ структуры проекта find extracted_code/ -name "*.java" -o -name "*.py" -o -name "*.js" | wc -l # Результат: 1,247 файлов исходного кода # Поиск комментариев с именем разработчика grep -r "Ivan Petrov" extracted_code/ # Найдено 23 упоминания в комментариях ``` Шаг 5.2: Анализ базы данных ```bash # Анализ SQL файла head -50...

AdminForum AdminForum
30.09.2025
179
0
Продолжить чтение
Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов

Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов

## Содержание 1. [Введение: почему "Мамонт" стал угрозой №1 в России](#введение-почему-мамонт-стал-угрозой-1-в-россии) 2. [Что такое схема "Мамонт" простыми словами](#что-такое-схема-мамонт-простыми-словами) 3. [Эволюция трояна Mamont: от 2023 до 2026 года](#эволюция-трояна-mamont-от-2023-до-2026-года) 4. [Как работают фейковые маркетплейсы](#как-работают-фейковые-маркетплейсы) 5. [Форензический анализ приложений-клонов](#форензический-анализ-приложений-клонов) 6. [Технические индикаторы компрометации](#технические-индикаторы-компрометации) 7. [Методы детектирования вредоносных APK](#методы-детектирования-вредоносных-apk) 8. [Практические кейсы расследований](#практические-кейсы-расследований) 9. [Защита и профилактика для пользователей](#защита-и-профилактика-для-пользователей) 10. [Часто задаваемые вопросы](#часто-задаваемые-вопросы) 11. [Заключение: что ждёт нас в 2026 году](#заключение-что-ждёт-нас-в-2026-году) ## Введение: почему "Мамонт" стал угрозой №1 в России {#введение-почему-мамонт-стал-угрозой-1-в-россии} Представьте: вы получаете сообщение в Telegram от "продавца" с Авито. Он предлагает купить новый iPhone по цене на 30% ниже рыночной. Просит перейти на "удобный маркетплейс" и установить приложение для отслеживания заказа. Вы соглашаетесь, скачиваете файл... и через пару часов ваш банковский счёт пуст. Добро пожаловать в реальность 2026 года, где схема мошенничества "Мамонт" стала главной угрозой для владельцев Android-устройств в России. По данным компании F6, 47% всех заражённых смартфонов в РФ инфицированы именно троянцем Mamont. Только в ноябре 2025 года ущерб превысил 150 миллионов рублей. В этой статье мы разберём по косточкам: - Как эволюционировала схема "Мамонт" с 2023 по 2026 год - Технические детали работы трояна Mamont - Методы форензического анализа фейковых приложений - Как распознать клоны банковских программ и маркетплейсов - Практические инструменты для детектирования угроз - Реальные кейсы расследований Материал предназначен для специалистов по информационной безопасности, форензик-экспертов и всех, кто хочет защитить себя и свою компанию от одной из самых опасных киберугроз современности. ## Что такое схема "Мамонт" простыми словами {#что-такое-схема-мамонт-простыми-словами} Схема "Мамонт" — это мошенническая операция, в которой злоумышленники выманивают деньги жертв через сложную систему социальной инженерии и технических инструментов. Название происходит от сленгового термина, которым мошенники называют своих жертв — "мамонты". ### Основные элементы схемы Классическая цепочка обмана: 1. Приманка — выгодное предложение (скидка, подарок, акция) 2. Фишинг — поддельный сайт или мессенджер-бот 3. Вредонос — установка трояна Mamont под видом легитимного приложения 4. Эксплуатация — кража денег через доступ к SMS и банковским приложениям 5. Распространение — рассылка от имени жертвы по всем контактам ### Почему это работает Психологические триггеры: - Выгодная цена создаёт ощущение срочности - Знакомый интерфейс маркетплейса снижает бдительность - Просьба "установить для отслеживания" кажется логичной - Многие не различают расширения файлов (.apk vs .jpg) Технические факторы: - Приложения выглядят как оригинальные - Google Play и App Store не успевают блокировать фейки - Нейросети помогают создавать убедительные клоны за минуты - Распространение идёт через личные контакты (выше доверие) ### Масштаб проблемы в 2026 году Статистика по России: - 1,5% всех Android-устройств заражены вредоносами - 47% заражений приходится на троян Mamont - ~700 000 смартфонов инфицированы по состоянию на январь 2026 - 60+ новых заражений ежедневно - 38,7% всех банковских инцидентов связаны с Mamont (данные МВД) Для сравнения: основной конкурент Mamont — троян NFCGate — в 2025 году был на первом месте, но в 2026-м уже интегрирован в Mamont как одна из функций. ### Чем "Мамонт 2.0" отличается от классических схем Новые возможности 2026: - ИИ-генерация приложений — создание уникальных вредоносов под каждую жертву за минуты - Telegram-боты — управление через мессенджер, а не веб-панели - Модульная архитектура — NFCGate, перехват SMS, keylogger в одном пакете - Автоматическая рассылка — троян сам распространяется по контактам - Обход антивирусов — постоянная мутация кода ## Эволюция трояна Mamont: от 2023 до 2026 года {#эволюция-трояна-mamont-от-2023-до-2026-года} История трояна Mamont — это пример того, как быстро эволюционируют киберугрозы под давлением защитных систем и спроса криминального рынка. ### Сентябрь 2023: первая версия Характеристики первого Mamont: - Распространялся через фейковый Google Play - Маскировался под приложение службы доставки - Функционал: перехват SMS, отправка сообщений - Управление через простую веб-панель - За 10 дней атаки похищено ~3 млн рублей Техническое описание v1.0: ``` Разрешения: - READ_SMS / SEND_SMS - READ_CONTACTS - RECEIVE_BOOT_COMPLETED - FOREGROUND_SERVICE Классификация: - Trojan-Banker.AndroidOS.Mamont.bc ``` ### 2024: масштабирование Развитие во второй...

AdminForum AdminForum
Случаи и кейсы
30.01.2026
android форензика 2026 детектирование вредоносных apk защита от банковского трояна
400
0
Продолжить чтение
Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP

Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP

# Ситуация Компания подверглась DDoS-атаке с множества IP-адресов. Необходимо выявить инфраструктуру злоумышленников, найти связанные ресурсы и передать информацию правоохранительным органам. ## Исходные данные - Логи атаки содержат 247 уникальных IP-адресов - Атака продолжалась 3 часа - Пиковая интенсивность: 15,000 запросов/секунду - Целевой сервер: 192.168.100.50 ## Этап 1: Сбор и подготовка данных ### Извлечение IP-адресов из логов ```python #!/usr/bin/env python3 import re from collections import Counter def extract_ips_from_logs(log_file): """Извлечение IP-адресов из логов""" ip_pattern = r'\b(?:\d{1,3}\.){3}\d{1,3}\b' ips = [] with open(log_file, 'r') as f: for line in f: matches = re.findall(ip_pattern, line) # Исключаем целевой IP ips.extend([ip for ip in matches if ip != '192.168.100.50']) return list(set(ips)) # Уникальные IP # Использование attack_ips = extract_ips_from_logs('ddos_attack.log') print(f"Найдено {len(attack_ips)} уникальных IP-адресов") ``` ### Сохранение списка IP ```python with open('attack_ips.txt', 'w') as f: for ip in attack_ips: f.write(f"{ip}\n") ``` ## Этап 2: Группировка IP по диапазонам ### Определение CIDR диапазонов ```python import ipaddress from collections import defaultdict def group_ips_into_ranges(ip_list): """Группировка IP-адресов по диапазонам""" # Преобразуем в IP объекты ip_objects = [] for ip_str in ip_list: try: ip_objects.append(ipaddress.ip_address(ip_str)) except: continue # Сортируем ip_objects.sort() # Группируем по /24 подсетям ranges = defaultdict(list) for ip in ip_objects: # Получаем сеть /24 для IP network = ipaddress.ip_network(f"{ip}/24", strict=False) ranges[str(network)].append(str(ip)) return dict(ranges) # Использование ip_ranges = group_ips_into_ranges(attack_ips) print(f"IP-адреса сгруппированы в {len(ip_ranges)} диапазонов /24") # Сохранение диапазонов with open('ip_ranges.txt', 'w') as f: for cidr, ips in ip_ranges.items(): f.write(f"{cidr}: {len(ips)} IP\n") for ip in ips: f.write(f" {ip}\n") ``` ## Этап 3: Анализ диапазонов через Shodan ### Настройка Shodan API ```python import shodan import json import time from datetime import datetime class ShodanRangeAnalyzer: def __init__(self, api_key): self.api = shodan.Shodan(api_key) self.results = [] def analyze_ip_range(self, cidr): """Анализ диапазона через Shodan""" network = ipaddress.ip_network(cidr) start_ip = str(network.network_address + 1) end_ip = str(network.broadcast_address - 1) query = f"ip:{start_ip}-{end_ip}" try: results = self.api.search(query) return { 'cidr': cidr, 'total': results['total'], 'matches': results['matches'] } except shodan.APIError as e: print(f"Ошибка Shodan для {cidr}: {e}") return None def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_results = [] for cidr in ranges_list: print(f"Анализ {cidr}...") result = self.analyze_ip_range(cidr) if result: all_results.append(result) # Rate limiting: 1 запрос в секунду time.sleep(1) return all_results # Использование SHODAN_API_KEY = "your_api_key_here" analyzer = ShodanRangeAnalyzer(SHODAN_API_KEY) # Анализ всех диапазонов shodan_results = analyzer.analyze_multiple_ranges(list(ip_ranges.keys())) ``` ### Извлечение информации об устройствах ```python def extract_device_info(shodan_results): """Извлечение информации об устройствах""" devices = [] for range_result in shodan_results: for match in range_result['matches']: device_info = { 'ip': match.get('ip_str', ''), 'hostnames': match.get('hostnames', []), 'org': match.get('org', ''), 'isp': match.get('isp', ''), 'country': match.get('location', {}).get('country_name', ''), 'city': match.get('location', {}).get('city', ''), 'ports': [item['port'] for item in match.get('data', [])], 'services': [] } # Извлечение сервисов for item in match.get('data', []): service = { 'port': item.get('port', ''), 'product': item.get('product', ''), 'version': item.get('version', ''), 'banner': item.get('data', '')[:200] # Первые 200 символов } device_info['services'].append(service) devices.append(device_info) return devices devices = extract_device_info(shodan_results) print(f"Найдено {len(devices)} устройств в Shodan") ``` ## Этап 4: Анализ через Censys ### Настройка Censys API ```python from censys.search import CensysHosts import ipaddress class CensysRangeAnalyzer: def __init__(self, api_id, api_secret): self.censys = CensysHosts(api_id=api_id, api_secret=api_secret) self.results = [] def analyze_range(self, cidr): """Анализ диапазона через Censys""" query = f"ip:{cidr}" try: hosts = self.censys.search(query, per_page=100) return list(hosts) except Exception as e: print(f"Ошибка Censys для {cidr}: {e}") return [] def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_hosts = [] for cidr in ranges_list: print(f"Анализ {cidr} через Censys...") hosts = self.analyze_range(cidr) all_hosts.extend(hosts) time.sleep(1) # Rate limiting return all_hosts # Использование CENSYS_API_ID = "your_api_id" CENSYS_API_SECRET =...

AdminForum AdminForum
Случаи и кейсы
09.11.2025
Censys анализ ddos атака Shodan анализ
127
0
Продолжить чтение

Разбор реального случая: Как российская IT-компания предотвратила утечку данных на $50 млн

Введение В современном мире кибербезопасности каждый день происходят тысячи инцидентов, но лишь единицы становятся публичными. Сегодня мы разберем реальный случай из практики российского форензик-специалиста, который помог предотвратить масштабную утечку данных в крупной IT-компании. Этот кейс демонстрирует важность проактивного подхода к информационной безопасности и показывает, как правильная реакция может спасти бизнес от многомиллионных потерь. Контекст ситуации Компания: Крупная российская IT-корпорация с оборотом свыше 2 млрд рублей в год Сфера деятельности: Разработка программного обеспечения для банковского сектора Количество сотрудников: Более 1,500 человек География: Офисы в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске Дата инцидента: Март 2024 года Первые признаки проблемы Аномальная активность в сети Утром 15 марта 2024 года система мониторинга безопасности зафиксировала необычную активность в корпоративной сети. Аналитик SOC (Security Operations Center) обратил внимание на следующие аномалии: Необычный трафик: Резкое увеличение исходящего трафика в 3:47 утра Подозрительные соединения: Множественные подключения к внешним серверам из учетной записи рядового разработчика Аномальное время активности: Активность в нерабочее время с IP-адреса, который обычно используется только в офисе Реакция команды безопасности Первоначальная реакция команды информационной безопасности была следующей: Немедленная изоляция подозрительного устройства от корпоративной сети Блокировка учетной записи пользователя, с которого велась подозрительная активность Сбор логов со всех систем для дальнейшего анализа Уведомление руководства о потенциальном инциденте безопасности Детальный анализ инцидента Этап 1: Сбор цифровых улик Форензик-специалист начал расследование с системного сбора доказательств: Анализ сетевого трафика: Объем переданных данных: 2.3 ГБ за 47 минут Направление трафика: Серверы в Нидерландах и США Протоколы: HTTPS с использованием нестандартных портов Частота соединений: 15-20 подключений в минуту Анализ системных логов: Время начала активности: 03:47:23 Пользователь: developer_ivan_petrov Процессы: python.exe, curl.exe, powershell.exe Изменения в реестре: 47 новых записей Этап 2: Исследование компрометированного устройства При детальном анализе рабочего компьютера разработчика были обнаружены: Вредоносное ПО: Троян-бэкдор, замаскированный под системный процесс Кейлоггер, перехватывающий ввод паролей Шифровальщик данных в "спящем" режиме Скомпрометированные данные: Логины и пароли от 23 корпоративных систем SSH-ключи для доступа к серверам разработки Исходный код 5 критически важных проектов База данных клиентов с персональными данными Этап 3: Трассировка атаки Реконструкция событий показала следующую последовательность: День 1 (12 марта): Злоумышленник отправил фишинговое письмо с вложением "invoice_2024.pdf" День 2 (13 марта): Пользователь открыл вложение, что привело к установке трояна День 3 (14 марта): Троян собрал данные и передал их на внешний сервер День 4 (15 марта): Попытка массовой кражи данных была пресечена системой мониторинга Технические детали атаки Методы проникновения Социальная инженерия: Фишинговое письмо с поддельным счетом-фактурой Использование домена, похожего на официальный поставщик Срочность и важность сообщения для повышения вероятности открытия Технические векторы: Эксплойт уязвимости в Adobe Reader (CVE-2024-1234) Использование макросов в PDF-документе Загрузка дополнительной полезной нагрузки через PowerShell Механизм работы вредоносного ПО Троян-бэкдор: # Упрощенная схема работы трояна def main(): # Сбор системной информации system_info = collect_system_data() # Поиск и кража учетных данных credentials = steal_credentials() # Установка постоянного доступа establish_persistence() # Передача данных злоумышленнику exfiltrate_data(system_info, credentials) Кейлоггер: Перехват нажатий клавиш через Windows API Фильтрация по важным полям (пароли, логины) Шифрование собранных данных перед передачей Реакция и меры противодействия Немедленные действия В течение первого часа: Изоляция всех потенциально скомпрометированных систем Смена паролей всех административных учетных записей Блокировка внешних IP-адресов, используемых злоумышленниками Уведомление клиентов о потенциальном инциденте В течение первых суток: Полный аудит всех систем на предмет компрометации Анализ всех учетных записей на предмет несанкционированного доступа Проверка целостности критически важных данных Установка дополнительных средств мониторинга Долгосрочные меры Усиление безопасности: Внедрение системы DLP (Data Loss Prevention) Установка EDR-решения (Endpoint Detection and Response) Обновление политик информационной безопасности Проведение дополнительного обучения сотрудников Процедурные изменения: Введение двухфакторной аутентификации для всех критических систем Ужесточение политик доступа к конфиденциальным данным Регулярное проведение пентестов и аудитов безопасности Создание плана реагирования на...

AdminForum AdminForum
Случаи и кейсы
17.09.2025
CSIRT DLP EDR
112
1
Продолжить чтение

КЕЙС 5: АНАЛИЗ КРИПТОВАЛЮТНЫХ ТРАНЗАКЦИЙ BLOCKCHAIN - РАССЛЕДОВАНИЕ ОТМЫВАНИЯ ДЕНЕГ 2026

ВВЕДЕНИЕ Анализ криптовалютных транзакций стал критически важным инструментом современной цифровой криминалистики, особенно при расследовании отмывания денег, наркоторговли и других финансовых преступлений. Блокчейн технологии, несмотря на свою анонимность, оставляют детальные следы всех операций, которые могут быть проанализированы с помощью специализированных инструментов. Данный кейс демонстрирует комплексный подход к расследованию крупной схемы отмывания денег через криптовалютные биржи и миксеры. Расследование включало анализ транзакций Bitcoin, Ethereum, Monero и других криптовалют для восстановления полной картины преступной деятельности и идентификации всех участников схемы. Проблема заключалась в том, что злоумышленники использовали сложные методы обфускации транзакций, включая миксеры, множественные адреса и цепочки переводов через различные биржи. Требовался глубокий анализ блокчейна для восстановления денежных потоков и доказательства факта отмывания денег. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование отмывания денег через криптовалюты Подозреваемые: Группа из 5 человек (25-45 лет) Период преступной деятельности: 1 марта 2023 - 20 декабря 2024 Тип преступления: Отмывание денег, наркоторговля, киберпреступления Размер отмытых средств: Оценочно $45.8 млн Криптовалюты для анализа: - Bitcoin (BTC): Основная валюта для отмывания - Ethereum (ETH): Использование смарт-контрактов - Monero (XMR): Анонимные транзакции - Litecoin (LTC): Быстрые переводы - Tether (USDT): Стабильная валюта Технические характеристики: - Bitcoin адресов: 2,847 активных адресов - Ethereum адресов: 1,523 активных адреса - Использованные биржи: 23 криптовалютные биржи - Миксеры: 8 различных сервисов смешивания - Период активности: 22 месяца ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Chainalysis Reactor - анализ блокчейн транзакций 2. Elliptic Investigator - отслеживание криптовалютных операций 3. CipherTrace - анализ рисков и соответствия 4. Bitcoin Core - локальный анализ Bitcoin 5. Etherscan - анализ Ethereum транзакций 6. Monero Blockchain Explorer - анализ Monero 7. Python Scripts - автоматизация анализа 8. Graph Analysis Tools - визуализация связей ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Сбор исходных данных ```bash # Создание базы данных для анализа sqlite3 crypto_analysis.db max_depth or address in visited: continue visited.add(address) # Получение транзакций адреса response = requests.get(f"https://blockstream.info/api/address/{address}/txs") transactions = response.json() for tx in transactions: tx_data = { 'tx_hash': tx['txid'], 'address': address, 'depth': depth, 'timestamp': tx['status']['block_time'], 'amount': sum([out['value'] for out in tx['vout']]) } chain_data.append(tx_data) # Добавление связанных адресов в очередь for vin in tx['vin']: if 'prevout' in vin: prev_address = vin['prevout']['scriptpubkey_address'] if prev_address not in visited: queue.append((prev_address, depth + 1)) return chain_data # Анализ подозрительного адреса suspicious_address = "3QJmV3qfvL9SuYo34YihAf3sRCW3qSinyC" chain_data = trace_bitcoin_chain(suspicious_address) ``` Шаг 2.3: Анализ миксеров и тумблеров ```bash # Поиск транзакций через известные миксеры grep -r "mixer\|tumbler\|coinjoin" bitcoin_transactions.json # Обнаружены подозрительные сервисы: # - Wasabi Wallet (CoinJoin) # - Samourai Wallet (Whirlpool) # - JoinMarket # - ChipMixer ``` ЭТАП 3: АНАЛИЗ ETHEREUM ТРАНЗАКЦИЙ Шаг 3.1: Анализ смарт-контрактов ```python # Скрипт для анализа Ethereum транзакций from web3 import Web3 import json # Подключение к Ethereum w3 = Web3(Web3.HTTPProvider('https://mainnet.infura.io/v3/YOUR_API_KEY')) def analyze_ethereum_address(address): """Анализ Ethereum адреса""" balance = w3.eth.get_balance(address) # Получение транзакций transactions = [] block_number = w3.eth.block_number # Анализ последних 1000 блоков for i in range(block_number - 1000, block_number): block = w3.eth.get_block(i, full_transactions=True) for tx in block.transactions: if tx['from'] == address or tx['to'] == address: transactions.append({ 'hash': tx['hash'].hex(), 'from': tx['from'], 'to': tx['to'], 'value': tx['value'], 'gas': tx['gas'], 'block_number': i }) return { 'address': address, 'balance': balance, 'transactions': transactions } # Анализ подозрительного Ethereum адреса suspicious_eth_address = "0x742d35Cc6634C0532925a3b8D4C9db96C4b4d8b6" eth_data = analyze_ethereum_address(suspicious_eth_address) ``` Шаг 3.2: Анализ DeFi протоколов ```bash # Поиск взаимодействий с DeFi протоколами grep -E "(Uniswap|Compound|Aave|MakerDAO)" ethereum_transactions.json # Обнаружены взаимодействия: # - Uniswap V3: 47 транзакций # - Compound: 23 транзакции # - Aave: 15 транзакций # - MakerDAO: 8 транзакций ``` ЭТАП 4: АНАЛИЗ MONERO ТРАНЗАКЦИЙ Шаг 4.1: Анализ приватных транзакций ```bash # Использование Monero Blockchain Explorer monero-cli --daemon-address node.xmr.to:18081 get_transactions # Анализ подозрительных транзакций Monero monero-cli --daemon-address node.xmr.to:18081...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
AML анализ Bitcoin анализ Blockchain анализ
164
0
Продолжить чтение

КЕЙС 4: АНАЛИЗ ОБРАЗОВ ДИСКОВ FTK IMAGER - РАССЛЕДОВАНИЕ ФИНАНСОВЫХ МОШЕННИЧЕСТВ 2026

ВВЕДЕНИЕ Анализ образов дисков является фундаментальным методом цифровой криминалистики, особенно при расследовании финансовых преступлений, где критически важно сохранить целостность данных и обеспечить их приемлемость в суде. FTK Imager является одним из наиболее надежных инструментов для создания криминалистических образов и их последующего анализа. Данный кейс демонстрирует комплексный подход к расследованию крупного финансового мошенничества с использованием поддельных документов и манипуляций с банковскими системами. Расследование включало анализ множественных жестких дисков, SSD накопителей и внешних устройств хранения для восстановления полной картины преступной деятельности. Проблема заключалась в том, что злоумышленники использовали продвинутые методы сокрытия данных, включая шифрование, удаление файлов и манипуляции с файловой системой. Требовался глубокий анализ образов дисков для восстановления удаленных документов и доказательства факта мошенничества. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование финансового мошенничества Подозреваемый: Сергей Козлов, 35 лет (руководитель финансовой пирамиды) Период преступной деятельности: 1 июня 2023 - 15 декабря 2024 Тип преступления: Создание финансовой пирамиды, подделка документов, отмывание денег Размер ущерба: Оценочно $12.5 млн (средства потерпевших) Устройства для анализа: - Основной компьютер: Dell OptiPlex 7090 (1 ТБ SSD) - Ноутбук: Lenovo ThinkPad X1 Carbon (512 ГБ SSD) - Внешний диск: Seagate Backup Plus 2 ТБ - USB накопитель: SanDisk Ultra 128 ГБ - Смартфон: Samsung Galaxy S23 (256 ГБ) Технические характеристики: - Dell OptiPlex: Windows 11 Pro, Intel Core i7-11700, 32 ГБ RAM - Lenovo ThinkPad: Windows 11 Pro, Intel Core i7-1260P, 16 ГБ RAM - Seagate Backup: NTFS, 2 ТБ, внешний USB 3.0 - SanDisk USB: FAT32, 128 ГБ, USB 3.0 - Samsung Galaxy: Android 13, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. FTK Imager 4.7.0 - создание и анализ образов дисков 2. Autopsy 4.19.0 - комплексный анализ цифровых доказательств 3. Sleuth Kit - низкоуровневый анализ файловых систем 4. PhotoRec - восстановление удаленных файлов 5. TestDisk - восстановление разделов 6. Bulk Extractor - извлечение артефактов 7. Volatility - анализ памяти (если доступно) 8. EnCase - профессиональный анализ образов ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических образов ```bash # Создание образа основного диска Dell OptiPlex ftk_imager --source /dev/sda --destination dell_optiplex_image.dd --format dd # Создание образа ноутбука Lenovo ftk_imager --source /dev/sdb --destination lenovo_thinkpad_image.dd --format dd # Создание образа внешнего диска Seagate ftk_imager --source /dev/sdc --destination seagate_backup_image.dd --format dd # Создание образа USB накопителя ftk_imager --source /dev/sdd --destination sandisk_usb_image.dd --format dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм md5sum dell_optiplex_image.dd > dell_optiplex_image.dd.md5 md5sum lenovo_thinkpad_image.dd > lenovo_thinkpad_image.dd.md5 md5sum seagate_backup_image.dd > seagate_backup_image.dd.md5 md5sum sandisk_usb_image.dd > sandisk_usb_image.dd.md5 # Проверка целостности md5sum -c dell_optiplex_image.dd.md5 ``` ЭТАП 2: АНАЛИЗ ОСНОВНОГО КОМПЬЮТЕРА Шаг 2.1: Монтирование образа в Autopsy ```bash # Запуск Autopsy autopsy # Создание нового случая Case Name: Financial_Fraud_Investigation Case Number: FF-2024-001 Investigator: Detective Smith Description: Investigation of financial pyramid scheme ``` Шаг 2.2: Анализ файловой системы ```bash # Анализ структуры диска mmls dell_optiplex_image.dd # Результат показал: # DOS Partition Table # Offset Sector: 0 # Units are in 512-byte sectors # # Slot Start End Length Description # 000: Meta 0000000000 0000000000 0000000001 Primary Table (#0) # 001: ------- 0000000001 0000002047 0000002047 Unallocated # 002: 000:000 0000002048 1953523711 1953521664 NTFS (0x07) ``` Шаг 2.3: Извлечение файлов из NTFS ```bash # Монтирование NTFS раздела mount -o loop,offset=1048576 dell_optiplex_image.dd /mnt/analysis/ # Анализ структуры каталогов ls -la /mnt/analysis/Users/ ``` ЭТАП 3: ПОИСК ФИНАНСОВЫХ ДОКУМЕНТОВ Шаг 3.1: Поиск Excel файлов с финансовыми данными ```bash # Поиск Excel файлов find /mnt/analysis -name "*.xlsx" -o -name "*.xls" | head -20 # Обнаружены файлы: # - /mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx # - /mnt/analysis/Users/Sergey/Desktop/Client_List.xlsx # - /mnt/analysis/Users/Sergey/Documents/Investment_Plan.xlsx ``` Шаг 3.2: Анализ содержимого финансовых файлов ```bash # Извлечение данных из Excel файлов python3 -c " import pandas as pd import openpyxl # Анализ Financial_Records.xlsx df = pd.read_excel('/mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx') print('Financial Records Analysis:') print(df.head(10)) print(f'Total rows: {len(df)}') print(f'Columns: {list(df.columns)}') " ``` Шаг 3.3: Поиск PDF документов ```bash # Поиск PDF файлов find /mnt/analysis -name "*.pdf" | grep -E...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
ftk imager анализ образов дисков восстановление удаленных документов
146
0
Продолжить чтение

КЕЙС 3: АНАЛИЗ МОБИЛЬНЫХ УСТРОЙСТВ - РАССЛЕДОВАНИЕ КИБЕРБУЛЛИНГА 2026

ВВЕДЕНИЕ Анализ мобильных устройств стал критически важным компонентом современных расследований киберпреступлений, особенно в случаях кибербуллинга, шантажа и онлайн-преследования. Мобильные устройства содержат огромное количество персональной информации, включая сообщения, фотографии, геолокационные данные и историю веб-активности. Данный кейс демонстрирует комплексный подход к анализу Android и iOS устройств при расследовании дела о кибербуллинге несовершеннолетнего. Расследование включало извлечение доказательств из мессенджеров, социальных сетей и облачных сервисов для установления факта систематического преследования. Проблема заключалась в том, что злоумышленники использовали различные методы сокрытия своей активности, включая удаление сообщений, использование временных аккаунтов и шифрование данных. Требовался глубокий анализ файловых систем и извлечение данных из резервных копий. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование кибербуллинга несовершеннолетнего Потерпевший: Алексей Смирнов, 16 лет Подозреваемые: Группа из 3 человек (18-20 лет) Период преследования: 1-15 января 2026 Тип преступления: Систематический кибербуллинг, шантаж, распространение компрометирующих материалов Устройства для анализа: - Смартфон потерпевшего: Samsung Galaxy A54 (Android 14) - Смартфон подозреваемого №1: iPhone 15 Pro (iOS 17.2) - Планшет подозреваемого №2: iPad Air 5 (iOS 17.2) - Компьютер подозреваемого №3: MacBook Pro M3 (macOS Sonoma) Технические характеристики: - Samsung Galaxy A54: 256 ГБ памяти, Android 14, не заблокирован - iPhone 15 Pro: 512 ГБ памяти, iOS 17.2, заблокирован паролем - iPad Air 5: 256 ГБ памяти, iOS 17.2, заблокирован Touch ID - MacBook Pro: 1 ТБ SSD, macOS Sonoma, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Cellebrite UFED 4PC - извлечение данных с мобильных устройств 2. Oxygen Forensic Detective - анализ мобильных устройств 3. Magnet AXIOM - комплексный анализ цифровых доказательств 4. Autopsy - анализ файловых систем 5. SQLite Browser - анализ баз данных SQLite 6. Plist Editor - анализ файлов конфигурации iOS 7. Hex Editor - низкоуровневый анализ данных 8. FTK Imager - создание образов дисков ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических копий ```bash # Создание образа Samsung Galaxy A54 ufed_4pc --device android --output galaxy_a54_image.dd # Создание образа iPhone 15 Pro (после разблокировки) ufed_4pc --device ios --output iphone_15_pro_image.dd # Создание образа iPad Air 5 ufed_4pc --device ios --output ipad_air_5_image.dd # Создание образа MacBook Pro ftk_imager --source /dev/disk0 --destination macbook_pro_image.dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм sha256sum galaxy_a54_image.dd > galaxy_a54_image.dd.sha256 sha256sum iphone_15_pro_image.dd > iphone_15_pro_image.dd.sha256 sha256sum ipad_air_5_image.dd > ipad_air_5_image.dd.sha256 sha256sum macbook_pro_image.dd > macbook_pro_image.dd.sha256 ``` ЭТАП 2: АНАЛИЗ ANDROID УСТРОЙСТВА Шаг 2.1: Анализ файловой системы Android ```bash # Монтирование образа Android mkdir -p /mnt/android_analysis mount -o loop galaxy_a54_image.dd /mnt/android_analysis # Анализ структуры файловой системы ls -la /mnt/android_analysis/ ``` Шаг 2.2: Извлечение данных из мессенджеров ```bash # Анализ базы данных Telegram sqlite3 /mnt/android_analysis/data/data/org.telegram.messenger/databases/tgdata.db # Извлечение сообщений SELECT m.message_id, m.from_id, m.chat_id, m.date, datetime(m.date, 'unixepoch') as readable_date, m.message, u.first_name, u.last_name FROM messages m LEFT JOIN users u ON m.from_id = u.user_id WHERE m.date > strftime('%s', '2026-01-01') ORDER BY m.date DESC; ``` Шаг 2.3: Анализ WhatsApp ```bash # Извлечение базы данных WhatsApp cp /mnt/android_analysis/data/data/com.whatsapp/databases/msgstore.db ./whatsapp_messages.db # Анализ сообщений WhatsApp sqlite3 whatsapp_messages.db SELECT key_remote_jid, key_from_me, timestamp, datetime(timestamp/1000, 'unixepoch') as readable_date, data FROM messages WHERE timestamp > 1735689600000 -- 1 января 2026 ORDER BY timestamp DESC; ``` ЭТАП 3: АНАЛИЗ IOS УСТРОЙСТВ Шаг 3.1: Анализ файловой системы iOS ```bash # Монтирование образа iPhone mkdir -p /mnt/ios_analysis mount -o loop iphone_15_pro_image.dd /mnt/ios_analysis # Анализ структуры iOS ls -la /mnt/ios_analysis/private/var/mobile/ ``` Шаг 3.2: Извлечение данных из приложений iOS ```bash # Анализ базы данных Messages sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение SMS сообщений SELECT ROWID, handle, date, datetime(date + 978307200, 'unixepoch') as readable_date, text, is_from_me FROM message WHERE date > 978307200 + 1735689600 -- 1 января 2026 ORDER BY date DESC; ``` Шаг 3.3: Анализ iMessage ```bash # Анализ базы данных iMessage sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение iMessage сообщений SELECT m.ROWID, m.handle, m.date, datetime(m.date + 978307200, 'unixepoch') as readable_date, m.text, m.is_from_me,...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
Android анализ iOS анализ анализ мобильных устройств
153
0
Продолжить чтение

КЕЙС 2: АНАЛИЗ ПАМЯТИ VOLATILITY - РАССЛЕДОВАНИЕ ВРЕДОНОСНОГО ПО 2026

ВВЕДЕНИЕ Анализ памяти компьютера является одним из наиболее эффективных методов расследования кибератак и выявления вредоносного программного обеспечения. В отличие от анализа файловой системы, анализ памяти позволяет получить доступ к активным процессам, сетевым соединениям и данным, которые могут быть скрыты или зашифрованы на диске. Данный кейс демонстрирует практическое применение Volatility Framework для расследования сложной кибератаки с использованием продвинутого вредоносного ПО типа APT (Advanced Persistent Threat). Атака была направлена на финансовую организацию и включала кражу банковских данных клиентов. Проблема заключалась в том, что традиционные антивирусные решения не смогли обнаружить вредоносное ПО, которое использовало техники уклонения от обнаружения и работало исключительно в памяти. Требовался анализ дампа памяти для восстановления полной картины атаки и извлечения доказательств. ИСХОДНАЯ СИТУАЦИЯ Организация: Банк "NN" (региональный банк) Тип атаки: APT с использованием банковского трояна Период атаки: 10-25 декабря 2024 Цель атаки: Кража банковских данных клиентов Размер ущерба: Оценочно $15.2 млн (украденные средства) Технические характеристики: - Операционная система: Windows 10 Enterprise (Build 19045) - Архитектура: x64 - Объем памяти: 32 ГБ RAM - Процессор: Intel Core i7-12700K - Сетевая карта: Intel I225-V Обнаруженные индикаторы компрометации: - Подозрительная сетевая активность - Необычное потребление ресурсов - Аномальные DNS запросы - Подозрительные процессы ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Volatility 3.2.0 - основной инструмент анализа памяти 2. Rekall - альтернативный фреймворк для анализа памяти 3. YARA - поиск сигнатур вредоносного ПО 4. PEview - анализ PE файлов 5. Process Hacker - анализ процессов 6. Wireshark - анализ сетевого трафика 7. IDA Pro - статический анализ кода ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание дампа памяти ```bash # Использование WinPmem для создания дампа winpmem.exe --output memory_dump.raw --format raw # Проверка целостности дампа vol.py -f memory_dump.raw windows.info ``` Шаг 1.2: Определение профиля системы ```bash # Автоматическое определение профиля vol.py -f memory_dump.raw windows.info # Результат: # Kernel base: 0xfffff80000000000 # Kernel DTB: 0x1ad000 # Profile: Win10x64_19045 ``` ЭТАП 2: АНАЛИЗ ПРОЦЕССОВ Шаг 2.1: Перечисление всех процессов ```bash # Список всех процессов vol.py -f memory_dump.raw windows.pslist # Поиск подозрительных процессов vol.py -f memory_dump.raw windows.pslist | grep -E "(svchost|explorer|winlogon)" ``` Шаг 2.2: Анализ дерева процессов ```bash # Построение дерева процессов vol.py -f memory_dump.raw windows.pstree # Обнаружен подозрительный процесс: # PID 2847: svchost.exe (родитель: PID 1) # PID 2848: malware_process.exe (родитель: PID 2847) ``` ЭТАП 3: АНАЛИЗ СЕТЕВЫХ СОЕДИНЕНИЙ Шаг 3.1: Перечисление сетевых соединений ```bash # Активные сетевые соединения vol.py -f memory_dump.raw windows.netstat # Обнаружены подозрительные соединения: # PID 2848: TCP 192.168.1.100:443 -> 185.199.108.153:443 # PID 2848: TCP 192.168.1.100:8080 -> 104.21.45.67:80 ``` Шаг 3.2: Анализ сетевых сокетов ```bash # Детальный анализ сокетов vol.py -f memory_dump.raw windows.netscan # Результат показал: # - Подключения к подозрительным IP адресам # - Использование нестандартных портов # - Шифрованный трафик (HTTPS) ``` ЭТАП 4: ПОИСК ВРЕДОНОСНОГО ПО Шаг 4.1: Сканирование с помощью YARA правил ```bash # Создание YARA правил для банковских троянов cat > banking_trojan.yar malware_analysis_report.txt

AdminForum AdminForum
Случаи и кейсы
30.09.2025
APT атаки C2 сервер DLL инжекция
141
0
Продолжить чтение

КЕЙС 1: АНАЛИЗ СЕТЕВОГО ТРАФИКА WIRESHARK - РАССЛЕДОВАНИЕ КОРПОРАТИВНОГО ШПИОНАЖА 2026

ВВЕДЕНИЕ В современной корпоративной среде сетевой анализ является критически важным инструментом для выявления инсайдерских угроз и предотвращения утечек конфиденциальной информации. Данный кейс демонстрирует практическое применение Wireshark для расследования подозрительной активности сотрудника, подозреваемого в передаче коммерческой тайны конкурентам. Проблема заключалась в том, что традиционные методы мониторинга безопасности не смогли выявить скрытую передачу данных через зашифрованные каналы связи. Требовался глубокий анализ сетевого трафика для восстановления последовательности событий и доказательства факта утечки информации. Данное расследование решает проблему комплексного анализа сетевого трафика, включая декодирование протоколов, анализ временных меток и восстановление передаваемых данных. Результаты анализа стали ключевым доказательством в судебном разбирательстве по делу о корпоративном шпионаже. ИСХОДНАЯ СИТУАЦИЯ Компания: Технологическая корпорация "ИнноваТех" (разработка ПО) Подозреваемый: Старший разработчик Иван Петров Период расследования: 15-30 ноября 2024 Тип инцидента: Подозрение в передаче исходного кода конкурентам Размер ущерба: Оценочно $2.5 млн (стоимость украденной интеллектуальной собственности) Технические характеристики: - Корпоративная сеть: 10.0.0.0/16 - Рабочая станция подозреваемого: 10.0.15.47 - Сервер разработки: 10.0.10.25 - Внешний IP подозреваемого: 192.168.1.100 - Период активности: 18:00-22:00 (после рабочего времени) ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Wireshark 4.0.8 - основной инструмент анализа 2. NetworkMiner 3.0 - извлечение файлов из трафика 3. tcpdump - захват трафика на уровне командной строки 4. ngrep - поиск по содержимому пакетов 5. tshark - анализ трафика через командную строку 6. Xplico - декодирование протоколов приложений ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПЛАНИРОВАНИЕ И ПОДГОТОВКА Шаг 1.1: Определение целей анализа ```bash # Цели расследования: # 1. Подтвердить факт передачи данных # 2. Определить объем переданной информации # 3. Установить временные рамки активности # 4. Идентифицировать получателя данных # 5. Восстановить содержимое передаваемых файлов ``` Шаг 1.2: Настройка захвата трафика ```bash # Настройка SPAN порта на коммутаторе configure terminal interface GigabitEthernet0/1 port monitor GigabitEthernet0/15 port monitor GigabitEthernet0/25 end # Захват трафика через tcpdump tcpdump -i eth0 -w investigation_2024_11_15.pcap \ host 10.0.15.47 or host 10.0.10.25 \ -s 0 -C 100 ``` ЭТАП 2: ПЕРВОНАЧАЛЬНЫЙ АНАЛИЗ ТРАФИКА Шаг 2.1: Загрузка и фильтрация данных в Wireshark ```bash # Открытие файла захвата wireshark investigation_2024_11_15.pcap # Применение фильтров: # 1. Трафик от подозреваемого: ip.src == 10.0.15.47 # 2. Трафик к серверу разработки: ip.dst == 10.0.10.25 # 3. HTTP трафик: http # 4. FTP трафик: ftp # 5. SSH трафик: ssh ``` Шаг 2.2: Анализ временных паттернов ```bash # Статистика по времени активности tshark -r investigation_2024_11_15.pcap \ -T fields -e frame.time \ -Y "ip.src == 10.0.15.47" \ | head -20 # Результат показал пиковую активность: # 18:30-19:15 - активная загрузка файлов # 20:45-21:30 - передача данных на внешние серверы # 22:00 - завершение сессии ``` ЭТАП 3: ДЕТАЛЬНЫЙ АНАЛИЗ ПРОТОКОЛОВ Шаг 3.1: Анализ HTTP трафика ```bash # Извлечение HTTP запросов tshark -r investigation_2024_11_15.pcap \ -Y "http and ip.src == 10.0.15.47" \ -T fields -e http.host -e http.request.uri \ -e http.user_agent # Обнаружены подозрительные запросы: # - Загрузка файлов на file-sharing сервисы # - Использование прокси-серверов # - Анонимизация через VPN сервисы ``` Шаг 3.2: Анализ FTP сессий ```bash # Декодирование FTP команд tshark -r investigation_2024_11_15.pcap \ -Y "ftp" \ -T fields -e ftp.request.command \ -e ftp.request.arg # Обнаружены команды: # USER anonymous # PASS guest@example.com # CWD /uploads # STOR source_code_v2.1.zip # QUIT ``` ЭТАП 4: ВОССТАНОВЛЕНИЕ ПЕРЕДАВАЕМЫХ ФАЙЛОВ Шаг 4.1: Извлечение файлов через NetworkMiner ```bash # Запуск NetworkMiner networkminer investigation_2024_11_15.pcap # Настройки извлечения: # - Включить извлечение всех файлов # - Настроить фильтры по IP адресам # - Установить минимальный размер файла: 1KB ``` Шаг 4.2: Анализ извлеченных файлов ```bash # Список извлеченных файлов: # 1. source_code_v2.1.zip (45.2 MB) # 2. database_schema.sql (2.1 MB) # 3. api_documentation.pdf (8.7 MB) # 4. user_credentials.txt (156 KB) # 5. project_timeline.xlsx (1.2 MB) # Проверка контрольных сумм md5sum source_code_v2.1.zip # Результат: a1b2c3d4e5f6789012345678901234ab ``` ЭТАП 5: АНАЛИЗ СОДЕРЖИМОГО ФАЙЛОВ Шаг 5.1: Анализ исходного кода ```bash # Распаковка архива unzip source_code_v2.1.zip -d extracted_code/ # Анализ структуры проекта find extracted_code/ -name "*.java" -o -name "*.py" -o -name "*.js" | wc -l # Результат: 1,247 файлов исходного кода # Поиск комментариев с именем разработчика grep -r "Ivan Petrov" extracted_code/ # Найдено 23 упоминания в комментариях ``` Шаг 5.2: Анализ базы данных ```bash # Анализ SQL файла head -50...

AdminForum AdminForum
Случаи и кейсы
30.09.2025
DLP системы DNS анализ FTP анализ
179
0
Продолжить чтение
Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов

Схема "Мамонт" 2.0: анализ фейковых маркетплейсов и приложений-клонов

## Содержание 1. [Введение: почему "Мамонт" стал угрозой №1 в России](#введение-почему-мамонт-стал-угрозой-1-в-россии) 2. [Что такое схема "Мамонт" простыми словами](#что-такое-схема-мамонт-простыми-словами) 3. [Эволюция трояна Mamont: от 2023 до 2026 года](#эволюция-трояна-mamont-от-2023-до-2026-года) 4. [Как работают фейковые маркетплейсы](#как-работают-фейковые-маркетплейсы) 5. [Форензический анализ приложений-клонов](#форензический-анализ-приложений-клонов) 6. [Технические индикаторы компрометации](#технические-индикаторы-компрометации) 7. [Методы детектирования вредоносных APK](#методы-детектирования-вредоносных-apk) 8. [Практические кейсы расследований](#практические-кейсы-расследований) 9. [Защита и профилактика для пользователей](#защита-и-профилактика-для-пользователей) 10. [Часто задаваемые вопросы](#часто-задаваемые-вопросы) 11. [Заключение: что ждёт нас в 2026 году](#заключение-что-ждёт-нас-в-2026-году) ## Введение: почему "Мамонт" стал угрозой №1 в России {#введение-почему-мамонт-стал-угрозой-1-в-россии} Представьте: вы получаете сообщение в Telegram от "продавца" с Авито. Он предлагает купить новый iPhone по цене на 30% ниже рыночной. Просит перейти на "удобный маркетплейс" и установить приложение для отслеживания заказа. Вы соглашаетесь, скачиваете файл... и через пару часов ваш банковский счёт пуст. Добро пожаловать в реальность 2026 года, где схема мошенничества "Мамонт" стала главной угрозой для владельцев Android-устройств в России. По данным компании F6, 47% всех заражённых смартфонов в РФ инфицированы именно троянцем Mamont. Только в ноябре 2025 года ущерб превысил 150 миллионов рублей. В этой статье мы разберём по косточкам: - Как эволюционировала схема "Мамонт" с 2023 по 2026 год - Технические детали работы трояна Mamont - Методы форензического анализа фейковых приложений - Как распознать клоны банковских программ и маркетплейсов - Практические инструменты для детектирования угроз - Реальные кейсы расследований Материал предназначен для специалистов по информационной безопасности, форензик-экспертов и всех, кто хочет защитить себя и свою компанию от одной из самых опасных киберугроз современности. ## Что такое схема "Мамонт" простыми словами {#что-такое-схема-мамонт-простыми-словами} Схема "Мамонт" — это мошенническая операция, в которой злоумышленники выманивают деньги жертв через сложную систему социальной инженерии и технических инструментов. Название происходит от сленгового термина, которым мошенники называют своих жертв — "мамонты". ### Основные элементы схемы Классическая цепочка обмана: 1. Приманка — выгодное предложение (скидка, подарок, акция) 2. Фишинг — поддельный сайт или мессенджер-бот 3. Вредонос — установка трояна Mamont под видом легитимного приложения 4. Эксплуатация — кража денег через доступ к SMS и банковским приложениям 5. Распространение — рассылка от имени жертвы по всем контактам ### Почему это работает Психологические триггеры: - Выгодная цена создаёт ощущение срочности - Знакомый интерфейс маркетплейса снижает бдительность - Просьба "установить для отслеживания" кажется логичной - Многие не различают расширения файлов (.apk vs .jpg) Технические факторы: - Приложения выглядят как оригинальные - Google Play и App Store не успевают блокировать фейки - Нейросети помогают создавать убедительные клоны за минуты - Распространение идёт через личные контакты (выше доверие) ### Масштаб проблемы в 2026 году Статистика по России: - 1,5% всех Android-устройств заражены вредоносами - 47% заражений приходится на троян Mamont - ~700 000 смартфонов инфицированы по состоянию на январь 2026 - 60+ новых заражений ежедневно - 38,7% всех банковских инцидентов связаны с Mamont (данные МВД) Для сравнения: основной конкурент Mamont — троян NFCGate — в 2025 году был на первом месте, но в 2026-м уже интегрирован в Mamont как одна из функций. ### Чем "Мамонт 2.0" отличается от классических схем Новые возможности 2026: - ИИ-генерация приложений — создание уникальных вредоносов под каждую жертву за минуты - Telegram-боты — управление через мессенджер, а не веб-панели - Модульная архитектура — NFCGate, перехват SMS, keylogger в одном пакете - Автоматическая рассылка — троян сам распространяется по контактам - Обход антивирусов — постоянная мутация кода ## Эволюция трояна Mamont: от 2023 до 2026 года {#эволюция-трояна-mamont-от-2023-до-2026-года} История трояна Mamont — это пример того, как быстро эволюционируют киберугрозы под давлением защитных систем и спроса криминального рынка. ### Сентябрь 2023: первая версия Характеристики первого Mamont: - Распространялся через фейковый Google Play - Маскировался под приложение службы доставки - Функционал: перехват SMS, отправка сообщений - Управление через простую веб-панель - За 10 дней атаки похищено ~3 млн рублей Техническое описание v1.0: ``` Разрешения: - READ_SMS / SEND_SMS - READ_CONTACTS - RECEIVE_BOOT_COMPLETED - FOREGROUND_SERVICE Классификация: - Trojan-Banker.AndroidOS.Mamont.bc ``` ### 2024: масштабирование Развитие во второй...

AdminForum AdminForum
Случаи и кейсы
30.01.2026
android форензика 2026 детектирование вредоносных apk защита от банковского трояна
400
0
Продолжить чтение
Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP

Кейс 6: Расследование DDoS-атаки через анализ диапазонов IP

# Ситуация Компания подверглась DDoS-атаке с множества IP-адресов. Необходимо выявить инфраструктуру злоумышленников, найти связанные ресурсы и передать информацию правоохранительным органам. ## Исходные данные - Логи атаки содержат 247 уникальных IP-адресов - Атака продолжалась 3 часа - Пиковая интенсивность: 15,000 запросов/секунду - Целевой сервер: 192.168.100.50 ## Этап 1: Сбор и подготовка данных ### Извлечение IP-адресов из логов ```python #!/usr/bin/env python3 import re from collections import Counter def extract_ips_from_logs(log_file): """Извлечение IP-адресов из логов""" ip_pattern = r'\b(?:\d{1,3}\.){3}\d{1,3}\b' ips = [] with open(log_file, 'r') as f: for line in f: matches = re.findall(ip_pattern, line) # Исключаем целевой IP ips.extend([ip for ip in matches if ip != '192.168.100.50']) return list(set(ips)) # Уникальные IP # Использование attack_ips = extract_ips_from_logs('ddos_attack.log') print(f"Найдено {len(attack_ips)} уникальных IP-адресов") ``` ### Сохранение списка IP ```python with open('attack_ips.txt', 'w') as f: for ip in attack_ips: f.write(f"{ip}\n") ``` ## Этап 2: Группировка IP по диапазонам ### Определение CIDR диапазонов ```python import ipaddress from collections import defaultdict def group_ips_into_ranges(ip_list): """Группировка IP-адресов по диапазонам""" # Преобразуем в IP объекты ip_objects = [] for ip_str in ip_list: try: ip_objects.append(ipaddress.ip_address(ip_str)) except: continue # Сортируем ip_objects.sort() # Группируем по /24 подсетям ranges = defaultdict(list) for ip in ip_objects: # Получаем сеть /24 для IP network = ipaddress.ip_network(f"{ip}/24", strict=False) ranges[str(network)].append(str(ip)) return dict(ranges) # Использование ip_ranges = group_ips_into_ranges(attack_ips) print(f"IP-адреса сгруппированы в {len(ip_ranges)} диапазонов /24") # Сохранение диапазонов with open('ip_ranges.txt', 'w') as f: for cidr, ips in ip_ranges.items(): f.write(f"{cidr}: {len(ips)} IP\n") for ip in ips: f.write(f" {ip}\n") ``` ## Этап 3: Анализ диапазонов через Shodan ### Настройка Shodan API ```python import shodan import json import time from datetime import datetime class ShodanRangeAnalyzer: def __init__(self, api_key): self.api = shodan.Shodan(api_key) self.results = [] def analyze_ip_range(self, cidr): """Анализ диапазона через Shodan""" network = ipaddress.ip_network(cidr) start_ip = str(network.network_address + 1) end_ip = str(network.broadcast_address - 1) query = f"ip:{start_ip}-{end_ip}" try: results = self.api.search(query) return { 'cidr': cidr, 'total': results['total'], 'matches': results['matches'] } except shodan.APIError as e: print(f"Ошибка Shodan для {cidr}: {e}") return None def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_results = [] for cidr in ranges_list: print(f"Анализ {cidr}...") result = self.analyze_ip_range(cidr) if result: all_results.append(result) # Rate limiting: 1 запрос в секунду time.sleep(1) return all_results # Использование SHODAN_API_KEY = "your_api_key_here" analyzer = ShodanRangeAnalyzer(SHODAN_API_KEY) # Анализ всех диапазонов shodan_results = analyzer.analyze_multiple_ranges(list(ip_ranges.keys())) ``` ### Извлечение информации об устройствах ```python def extract_device_info(shodan_results): """Извлечение информации об устройствах""" devices = [] for range_result in shodan_results: for match in range_result['matches']: device_info = { 'ip': match.get('ip_str', ''), 'hostnames': match.get('hostnames', []), 'org': match.get('org', ''), 'isp': match.get('isp', ''), 'country': match.get('location', {}).get('country_name', ''), 'city': match.get('location', {}).get('city', ''), 'ports': [item['port'] for item in match.get('data', [])], 'services': [] } # Извлечение сервисов for item in match.get('data', []): service = { 'port': item.get('port', ''), 'product': item.get('product', ''), 'version': item.get('version', ''), 'banner': item.get('data', '')[:200] # Первые 200 символов } device_info['services'].append(service) devices.append(device_info) return devices devices = extract_device_info(shodan_results) print(f"Найдено {len(devices)} устройств в Shodan") ``` ## Этап 4: Анализ через Censys ### Настройка Censys API ```python from censys.search import CensysHosts import ipaddress class CensysRangeAnalyzer: def __init__(self, api_id, api_secret): self.censys = CensysHosts(api_id=api_id, api_secret=api_secret) self.results = [] def analyze_range(self, cidr): """Анализ диапазона через Censys""" query = f"ip:{cidr}" try: hosts = self.censys.search(query, per_page=100) return list(hosts) except Exception as e: print(f"Ошибка Censys для {cidr}: {e}") return [] def analyze_multiple_ranges(self, ranges_list): """Анализ множества диапазонов""" all_hosts = [] for cidr in ranges_list: print(f"Анализ {cidr} через Censys...") hosts = self.analyze_range(cidr) all_hosts.extend(hosts) time.sleep(1) # Rate limiting return all_hosts # Использование CENSYS_API_ID = "your_api_id" CENSYS_API_SECRET =...

AdminForum AdminForum
Случаи и кейсы
09.11.2025
Censys анализ ddos атака Shodan анализ
127
0
Продолжить чтение

Разбор реального случая: Как российская IT-компания предотвратила утечку данных на $50 млн

Введение В современном мире кибербезопасности каждый день происходят тысячи инцидентов, но лишь единицы становятся публичными. Сегодня мы разберем реальный случай из практики российского форензик-специалиста, который помог предотвратить масштабную утечку данных в крупной IT-компании. Этот кейс демонстрирует важность проактивного подхода к информационной безопасности и показывает, как правильная реакция может спасти бизнес от многомиллионных потерь. Контекст ситуации Компания: Крупная российская IT-корпорация с оборотом свыше 2 млрд рублей в год Сфера деятельности: Разработка программного обеспечения для банковского сектора Количество сотрудников: Более 1,500 человек География: Офисы в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске Дата инцидента: Март 2024 года Первые признаки проблемы Аномальная активность в сети Утром 15 марта 2024 года система мониторинга безопасности зафиксировала необычную активность в корпоративной сети. Аналитик SOC (Security Operations Center) обратил внимание на следующие аномалии: Необычный трафик: Резкое увеличение исходящего трафика в 3:47 утра Подозрительные соединения: Множественные подключения к внешним серверам из учетной записи рядового разработчика Аномальное время активности: Активность в нерабочее время с IP-адреса, который обычно используется только в офисе Реакция команды безопасности Первоначальная реакция команды информационной безопасности была следующей: Немедленная изоляция подозрительного устройства от корпоративной сети Блокировка учетной записи пользователя, с которого велась подозрительная активность Сбор логов со всех систем для дальнейшего анализа Уведомление руководства о потенциальном инциденте безопасности Детальный анализ инцидента Этап 1: Сбор цифровых улик Форензик-специалист начал расследование с системного сбора доказательств: Анализ сетевого трафика: Объем переданных данных: 2.3 ГБ за 47 минут Направление трафика: Серверы в Нидерландах и США Протоколы: HTTPS с использованием нестандартных портов Частота соединений: 15-20 подключений в минуту Анализ системных логов: Время начала активности: 03:47:23 Пользователь: developer_ivan_petrov Процессы: python.exe, curl.exe, powershell.exe Изменения в реестре: 47 новых записей Этап 2: Исследование компрометированного устройства При детальном анализе рабочего компьютера разработчика были обнаружены: Вредоносное ПО: Троян-бэкдор, замаскированный под системный процесс Кейлоггер, перехватывающий ввод паролей Шифровальщик данных в "спящем" режиме Скомпрометированные данные: Логины и пароли от 23 корпоративных систем SSH-ключи для доступа к серверам разработки Исходный код 5 критически важных проектов База данных клиентов с персональными данными Этап 3: Трассировка атаки Реконструкция событий показала следующую последовательность: День 1 (12 марта): Злоумышленник отправил фишинговое письмо с вложением "invoice_2024.pdf" День 2 (13 марта): Пользователь открыл вложение, что привело к установке трояна День 3 (14 марта): Троян собрал данные и передал их на внешний сервер День 4 (15 марта): Попытка массовой кражи данных была пресечена системой мониторинга Технические детали атаки Методы проникновения Социальная инженерия: Фишинговое письмо с поддельным счетом-фактурой Использование домена, похожего на официальный поставщик Срочность и важность сообщения для повышения вероятности открытия Технические векторы: Эксплойт уязвимости в Adobe Reader (CVE-2024-1234) Использование макросов в PDF-документе Загрузка дополнительной полезной нагрузки через PowerShell Механизм работы вредоносного ПО Троян-бэкдор: # Упрощенная схема работы трояна def main(): # Сбор системной информации system_info = collect_system_data() # Поиск и кража учетных данных credentials = steal_credentials() # Установка постоянного доступа establish_persistence() # Передача данных злоумышленнику exfiltrate_data(system_info, credentials) Кейлоггер: Перехват нажатий клавиш через Windows API Фильтрация по важным полям (пароли, логины) Шифрование собранных данных перед передачей Реакция и меры противодействия Немедленные действия В течение первого часа: Изоляция всех потенциально скомпрометированных систем Смена паролей всех административных учетных записей Блокировка внешних IP-адресов, используемых злоумышленниками Уведомление клиентов о потенциальном инциденте В течение первых суток: Полный аудит всех систем на предмет компрометации Анализ всех учетных записей на предмет несанкционированного доступа Проверка целостности критически важных данных Установка дополнительных средств мониторинга Долгосрочные меры Усиление безопасности: Внедрение системы DLP (Data Loss Prevention) Установка EDR-решения (Endpoint Detection and Response) Обновление политик информационной безопасности Проведение дополнительного обучения сотрудников Процедурные изменения: Введение двухфакторной аутентификации для всех критических систем Ужесточение политик доступа к конфиденциальным данным Регулярное проведение пентестов и аудитов безопасности Создание плана реагирования на...

AdminForum AdminForum
Случаи и кейсы
17.09.2025
CSIRT DLP EDR
112
1
Продолжить чтение

КЕЙС 5: АНАЛИЗ КРИПТОВАЛЮТНЫХ ТРАНЗАКЦИЙ BLOCKCHAIN - РАССЛЕДОВАНИЕ ОТМЫВАНИЯ ДЕНЕГ 2026

ВВЕДЕНИЕ Анализ криптовалютных транзакций стал критически важным инструментом современной цифровой криминалистики, особенно при расследовании отмывания денег, наркоторговли и других финансовых преступлений. Блокчейн технологии, несмотря на свою анонимность, оставляют детальные следы всех операций, которые могут быть проанализированы с помощью специализированных инструментов. Данный кейс демонстрирует комплексный подход к расследованию крупной схемы отмывания денег через криптовалютные биржи и миксеры. Расследование включало анализ транзакций Bitcoin, Ethereum, Monero и других криптовалют для восстановления полной картины преступной деятельности и идентификации всех участников схемы. Проблема заключалась в том, что злоумышленники использовали сложные методы обфускации транзакций, включая миксеры, множественные адреса и цепочки переводов через различные биржи. Требовался глубокий анализ блокчейна для восстановления денежных потоков и доказательства факта отмывания денег. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование отмывания денег через криптовалюты Подозреваемые: Группа из 5 человек (25-45 лет) Период преступной деятельности: 1 марта 2023 - 20 декабря 2024 Тип преступления: Отмывание денег, наркоторговля, киберпреступления Размер отмытых средств: Оценочно $45.8 млн Криптовалюты для анализа: - Bitcoin (BTC): Основная валюта для отмывания - Ethereum (ETH): Использование смарт-контрактов - Monero (XMR): Анонимные транзакции - Litecoin (LTC): Быстрые переводы - Tether (USDT): Стабильная валюта Технические характеристики: - Bitcoin адресов: 2,847 активных адресов - Ethereum адресов: 1,523 активных адреса - Использованные биржи: 23 криптовалютные биржи - Миксеры: 8 различных сервисов смешивания - Период активности: 22 месяца ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Chainalysis Reactor - анализ блокчейн транзакций 2. Elliptic Investigator - отслеживание криптовалютных операций 3. CipherTrace - анализ рисков и соответствия 4. Bitcoin Core - локальный анализ Bitcoin 5. Etherscan - анализ Ethereum транзакций 6. Monero Blockchain Explorer - анализ Monero 7. Python Scripts - автоматизация анализа 8. Graph Analysis Tools - визуализация связей ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Сбор исходных данных ```bash # Создание базы данных для анализа sqlite3 crypto_analysis.db max_depth or address in visited: continue visited.add(address) # Получение транзакций адреса response = requests.get(f"https://blockstream.info/api/address/{address}/txs") transactions = response.json() for tx in transactions: tx_data = { 'tx_hash': tx['txid'], 'address': address, 'depth': depth, 'timestamp': tx['status']['block_time'], 'amount': sum([out['value'] for out in tx['vout']]) } chain_data.append(tx_data) # Добавление связанных адресов в очередь for vin in tx['vin']: if 'prevout' in vin: prev_address = vin['prevout']['scriptpubkey_address'] if prev_address not in visited: queue.append((prev_address, depth + 1)) return chain_data # Анализ подозрительного адреса suspicious_address = "3QJmV3qfvL9SuYo34YihAf3sRCW3qSinyC" chain_data = trace_bitcoin_chain(suspicious_address) ``` Шаг 2.3: Анализ миксеров и тумблеров ```bash # Поиск транзакций через известные миксеры grep -r "mixer\|tumbler\|coinjoin" bitcoin_transactions.json # Обнаружены подозрительные сервисы: # - Wasabi Wallet (CoinJoin) # - Samourai Wallet (Whirlpool) # - JoinMarket # - ChipMixer ``` ЭТАП 3: АНАЛИЗ ETHEREUM ТРАНЗАКЦИЙ Шаг 3.1: Анализ смарт-контрактов ```python # Скрипт для анализа Ethereum транзакций from web3 import Web3 import json # Подключение к Ethereum w3 = Web3(Web3.HTTPProvider('https://mainnet.infura.io/v3/YOUR_API_KEY')) def analyze_ethereum_address(address): """Анализ Ethereum адреса""" balance = w3.eth.get_balance(address) # Получение транзакций transactions = [] block_number = w3.eth.block_number # Анализ последних 1000 блоков for i in range(block_number - 1000, block_number): block = w3.eth.get_block(i, full_transactions=True) for tx in block.transactions: if tx['from'] == address or tx['to'] == address: transactions.append({ 'hash': tx['hash'].hex(), 'from': tx['from'], 'to': tx['to'], 'value': tx['value'], 'gas': tx['gas'], 'block_number': i }) return { 'address': address, 'balance': balance, 'transactions': transactions } # Анализ подозрительного Ethereum адреса suspicious_eth_address = "0x742d35Cc6634C0532925a3b8D4C9db96C4b4d8b6" eth_data = analyze_ethereum_address(suspicious_eth_address) ``` Шаг 3.2: Анализ DeFi протоколов ```bash # Поиск взаимодействий с DeFi протоколами grep -E "(Uniswap|Compound|Aave|MakerDAO)" ethereum_transactions.json # Обнаружены взаимодействия: # - Uniswap V3: 47 транзакций # - Compound: 23 транзакции # - Aave: 15 транзакций # - MakerDAO: 8 транзакций ``` ЭТАП 4: АНАЛИЗ MONERO ТРАНЗАКЦИЙ Шаг 4.1: Анализ приватных транзакций ```bash # Использование Monero Blockchain Explorer monero-cli --daemon-address node.xmr.to:18081 get_transactions # Анализ подозрительных транзакций Monero monero-cli --daemon-address node.xmr.to:18081...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
AML анализ Bitcoin анализ Blockchain анализ
164
0
Продолжить чтение

КЕЙС 4: АНАЛИЗ ОБРАЗОВ ДИСКОВ FTK IMAGER - РАССЛЕДОВАНИЕ ФИНАНСОВЫХ МОШЕННИЧЕСТВ 2026

ВВЕДЕНИЕ Анализ образов дисков является фундаментальным методом цифровой криминалистики, особенно при расследовании финансовых преступлений, где критически важно сохранить целостность данных и обеспечить их приемлемость в суде. FTK Imager является одним из наиболее надежных инструментов для создания криминалистических образов и их последующего анализа. Данный кейс демонстрирует комплексный подход к расследованию крупного финансового мошенничества с использованием поддельных документов и манипуляций с банковскими системами. Расследование включало анализ множественных жестких дисков, SSD накопителей и внешних устройств хранения для восстановления полной картины преступной деятельности. Проблема заключалась в том, что злоумышленники использовали продвинутые методы сокрытия данных, включая шифрование, удаление файлов и манипуляции с файловой системой. Требовался глубокий анализ образов дисков для восстановления удаленных документов и доказательства факта мошенничества. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование финансового мошенничества Подозреваемый: Сергей Козлов, 35 лет (руководитель финансовой пирамиды) Период преступной деятельности: 1 июня 2023 - 15 декабря 2024 Тип преступления: Создание финансовой пирамиды, подделка документов, отмывание денег Размер ущерба: Оценочно $12.5 млн (средства потерпевших) Устройства для анализа: - Основной компьютер: Dell OptiPlex 7090 (1 ТБ SSD) - Ноутбук: Lenovo ThinkPad X1 Carbon (512 ГБ SSD) - Внешний диск: Seagate Backup Plus 2 ТБ - USB накопитель: SanDisk Ultra 128 ГБ - Смартфон: Samsung Galaxy S23 (256 ГБ) Технические характеристики: - Dell OptiPlex: Windows 11 Pro, Intel Core i7-11700, 32 ГБ RAM - Lenovo ThinkPad: Windows 11 Pro, Intel Core i7-1260P, 16 ГБ RAM - Seagate Backup: NTFS, 2 ТБ, внешний USB 3.0 - SanDisk USB: FAT32, 128 ГБ, USB 3.0 - Samsung Galaxy: Android 13, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. FTK Imager 4.7.0 - создание и анализ образов дисков 2. Autopsy 4.19.0 - комплексный анализ цифровых доказательств 3. Sleuth Kit - низкоуровневый анализ файловых систем 4. PhotoRec - восстановление удаленных файлов 5. TestDisk - восстановление разделов 6. Bulk Extractor - извлечение артефактов 7. Volatility - анализ памяти (если доступно) 8. EnCase - профессиональный анализ образов ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических образов ```bash # Создание образа основного диска Dell OptiPlex ftk_imager --source /dev/sda --destination dell_optiplex_image.dd --format dd # Создание образа ноутбука Lenovo ftk_imager --source /dev/sdb --destination lenovo_thinkpad_image.dd --format dd # Создание образа внешнего диска Seagate ftk_imager --source /dev/sdc --destination seagate_backup_image.dd --format dd # Создание образа USB накопителя ftk_imager --source /dev/sdd --destination sandisk_usb_image.dd --format dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм md5sum dell_optiplex_image.dd > dell_optiplex_image.dd.md5 md5sum lenovo_thinkpad_image.dd > lenovo_thinkpad_image.dd.md5 md5sum seagate_backup_image.dd > seagate_backup_image.dd.md5 md5sum sandisk_usb_image.dd > sandisk_usb_image.dd.md5 # Проверка целостности md5sum -c dell_optiplex_image.dd.md5 ``` ЭТАП 2: АНАЛИЗ ОСНОВНОГО КОМПЬЮТЕРА Шаг 2.1: Монтирование образа в Autopsy ```bash # Запуск Autopsy autopsy # Создание нового случая Case Name: Financial_Fraud_Investigation Case Number: FF-2024-001 Investigator: Detective Smith Description: Investigation of financial pyramid scheme ``` Шаг 2.2: Анализ файловой системы ```bash # Анализ структуры диска mmls dell_optiplex_image.dd # Результат показал: # DOS Partition Table # Offset Sector: 0 # Units are in 512-byte sectors # # Slot Start End Length Description # 000: Meta 0000000000 0000000000 0000000001 Primary Table (#0) # 001: ------- 0000000001 0000002047 0000002047 Unallocated # 002: 000:000 0000002048 1953523711 1953521664 NTFS (0x07) ``` Шаг 2.3: Извлечение файлов из NTFS ```bash # Монтирование NTFS раздела mount -o loop,offset=1048576 dell_optiplex_image.dd /mnt/analysis/ # Анализ структуры каталогов ls -la /mnt/analysis/Users/ ``` ЭТАП 3: ПОИСК ФИНАНСОВЫХ ДОКУМЕНТОВ Шаг 3.1: Поиск Excel файлов с финансовыми данными ```bash # Поиск Excel файлов find /mnt/analysis -name "*.xlsx" -o -name "*.xls" | head -20 # Обнаружены файлы: # - /mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx # - /mnt/analysis/Users/Sergey/Desktop/Client_List.xlsx # - /mnt/analysis/Users/Sergey/Documents/Investment_Plan.xlsx ``` Шаг 3.2: Анализ содержимого финансовых файлов ```bash # Извлечение данных из Excel файлов python3 -c " import pandas as pd import openpyxl # Анализ Financial_Records.xlsx df = pd.read_excel('/mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx') print('Financial Records Analysis:') print(df.head(10)) print(f'Total rows: {len(df)}') print(f'Columns: {list(df.columns)}') " ``` Шаг 3.3: Поиск PDF документов ```bash # Поиск PDF файлов find /mnt/analysis -name "*.pdf" | grep -E...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
ftk imager анализ образов дисков восстановление удаленных документов
146
0
Продолжить чтение

КЕЙС 3: АНАЛИЗ МОБИЛЬНЫХ УСТРОЙСТВ - РАССЛЕДОВАНИЕ КИБЕРБУЛЛИНГА 2026

ВВЕДЕНИЕ Анализ мобильных устройств стал критически важным компонентом современных расследований киберпреступлений, особенно в случаях кибербуллинга, шантажа и онлайн-преследования. Мобильные устройства содержат огромное количество персональной информации, включая сообщения, фотографии, геолокационные данные и историю веб-активности. Данный кейс демонстрирует комплексный подход к анализу Android и iOS устройств при расследовании дела о кибербуллинге несовершеннолетнего. Расследование включало извлечение доказательств из мессенджеров, социальных сетей и облачных сервисов для установления факта систематического преследования. Проблема заключалась в том, что злоумышленники использовали различные методы сокрытия своей активности, включая удаление сообщений, использование временных аккаунтов и шифрование данных. Требовался глубокий анализ файловых систем и извлечение данных из резервных копий. ИСХОДНАЯ СИТУАЦИЯ Дело: Расследование кибербуллинга несовершеннолетнего Потерпевший: Алексей Смирнов, 16 лет Подозреваемые: Группа из 3 человек (18-20 лет) Период преследования: 1-15 января 2026 Тип преступления: Систематический кибербуллинг, шантаж, распространение компрометирующих материалов Устройства для анализа: - Смартфон потерпевшего: Samsung Galaxy A54 (Android 14) - Смартфон подозреваемого №1: iPhone 15 Pro (iOS 17.2) - Планшет подозреваемого №2: iPad Air 5 (iOS 17.2) - Компьютер подозреваемого №3: MacBook Pro M3 (macOS Sonoma) Технические характеристики: - Samsung Galaxy A54: 256 ГБ памяти, Android 14, не заблокирован - iPhone 15 Pro: 512 ГБ памяти, iOS 17.2, заблокирован паролем - iPad Air 5: 256 ГБ памяти, iOS 17.2, заблокирован Touch ID - MacBook Pro: 1 ТБ SSD, macOS Sonoma, заблокирован паролем ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Cellebrite UFED 4PC - извлечение данных с мобильных устройств 2. Oxygen Forensic Detective - анализ мобильных устройств 3. Magnet AXIOM - комплексный анализ цифровых доказательств 4. Autopsy - анализ файловых систем 5. SQLite Browser - анализ баз данных SQLite 6. Plist Editor - анализ файлов конфигурации iOS 7. Hex Editor - низкоуровневый анализ данных 8. FTK Imager - создание образов дисков ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание криминалистических копий ```bash # Создание образа Samsung Galaxy A54 ufed_4pc --device android --output galaxy_a54_image.dd # Создание образа iPhone 15 Pro (после разблокировки) ufed_4pc --device ios --output iphone_15_pro_image.dd # Создание образа iPad Air 5 ufed_4pc --device ios --output ipad_air_5_image.dd # Создание образа MacBook Pro ftk_imager --source /dev/disk0 --destination macbook_pro_image.dd ``` Шаг 1.2: Проверка целостности образов ```bash # Вычисление контрольных сумм sha256sum galaxy_a54_image.dd > galaxy_a54_image.dd.sha256 sha256sum iphone_15_pro_image.dd > iphone_15_pro_image.dd.sha256 sha256sum ipad_air_5_image.dd > ipad_air_5_image.dd.sha256 sha256sum macbook_pro_image.dd > macbook_pro_image.dd.sha256 ``` ЭТАП 2: АНАЛИЗ ANDROID УСТРОЙСТВА Шаг 2.1: Анализ файловой системы Android ```bash # Монтирование образа Android mkdir -p /mnt/android_analysis mount -o loop galaxy_a54_image.dd /mnt/android_analysis # Анализ структуры файловой системы ls -la /mnt/android_analysis/ ``` Шаг 2.2: Извлечение данных из мессенджеров ```bash # Анализ базы данных Telegram sqlite3 /mnt/android_analysis/data/data/org.telegram.messenger/databases/tgdata.db # Извлечение сообщений SELECT m.message_id, m.from_id, m.chat_id, m.date, datetime(m.date, 'unixepoch') as readable_date, m.message, u.first_name, u.last_name FROM messages m LEFT JOIN users u ON m.from_id = u.user_id WHERE m.date > strftime('%s', '2026-01-01') ORDER BY m.date DESC; ``` Шаг 2.3: Анализ WhatsApp ```bash # Извлечение базы данных WhatsApp cp /mnt/android_analysis/data/data/com.whatsapp/databases/msgstore.db ./whatsapp_messages.db # Анализ сообщений WhatsApp sqlite3 whatsapp_messages.db SELECT key_remote_jid, key_from_me, timestamp, datetime(timestamp/1000, 'unixepoch') as readable_date, data FROM messages WHERE timestamp > 1735689600000 -- 1 января 2026 ORDER BY timestamp DESC; ``` ЭТАП 3: АНАЛИЗ IOS УСТРОЙСТВ Шаг 3.1: Анализ файловой системы iOS ```bash # Монтирование образа iPhone mkdir -p /mnt/ios_analysis mount -o loop iphone_15_pro_image.dd /mnt/ios_analysis # Анализ структуры iOS ls -la /mnt/ios_analysis/private/var/mobile/ ``` Шаг 3.2: Извлечение данных из приложений iOS ```bash # Анализ базы данных Messages sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение SMS сообщений SELECT ROWID, handle, date, datetime(date + 978307200, 'unixepoch') as readable_date, text, is_from_me FROM message WHERE date > 978307200 + 1735689600 -- 1 января 2026 ORDER BY date DESC; ``` Шаг 3.3: Анализ iMessage ```bash # Анализ базы данных iMessage sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db # Извлечение iMessage сообщений SELECT m.ROWID, m.handle, m.date, datetime(m.date + 978307200, 'unixepoch') as readable_date, m.text, m.is_from_me,...

AdminForum AdminForum
Случаи и кейсы
01.10.2025
Android анализ iOS анализ анализ мобильных устройств
153
0
Продолжить чтение

КЕЙС 2: АНАЛИЗ ПАМЯТИ VOLATILITY - РАССЛЕДОВАНИЕ ВРЕДОНОСНОГО ПО 2026

ВВЕДЕНИЕ Анализ памяти компьютера является одним из наиболее эффективных методов расследования кибератак и выявления вредоносного программного обеспечения. В отличие от анализа файловой системы, анализ памяти позволяет получить доступ к активным процессам, сетевым соединениям и данным, которые могут быть скрыты или зашифрованы на диске. Данный кейс демонстрирует практическое применение Volatility Framework для расследования сложной кибератаки с использованием продвинутого вредоносного ПО типа APT (Advanced Persistent Threat). Атака была направлена на финансовую организацию и включала кражу банковских данных клиентов. Проблема заключалась в том, что традиционные антивирусные решения не смогли обнаружить вредоносное ПО, которое использовало техники уклонения от обнаружения и работало исключительно в памяти. Требовался анализ дампа памяти для восстановления полной картины атаки и извлечения доказательств. ИСХОДНАЯ СИТУАЦИЯ Организация: Банк "NN" (региональный банк) Тип атаки: APT с использованием банковского трояна Период атаки: 10-25 декабря 2024 Цель атаки: Кража банковских данных клиентов Размер ущерба: Оценочно $15.2 млн (украденные средства) Технические характеристики: - Операционная система: Windows 10 Enterprise (Build 19045) - Архитектура: x64 - Объем памяти: 32 ГБ RAM - Процессор: Intel Core i7-12700K - Сетевая карта: Intel I225-V Обнаруженные индикаторы компрометации: - Подозрительная сетевая активность - Необычное потребление ресурсов - Аномальные DNS запросы - Подозрительные процессы ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Volatility 3.2.0 - основной инструмент анализа памяти 2. Rekall - альтернативный фреймворк для анализа памяти 3. YARA - поиск сигнатур вредоносного ПО 4. PEview - анализ PE файлов 5. Process Hacker - анализ процессов 6. Wireshark - анализ сетевого трафика 7. IDA Pro - статический анализ кода ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ Шаг 1.1: Создание дампа памяти ```bash # Использование WinPmem для создания дампа winpmem.exe --output memory_dump.raw --format raw # Проверка целостности дампа vol.py -f memory_dump.raw windows.info ``` Шаг 1.2: Определение профиля системы ```bash # Автоматическое определение профиля vol.py -f memory_dump.raw windows.info # Результат: # Kernel base: 0xfffff80000000000 # Kernel DTB: 0x1ad000 # Profile: Win10x64_19045 ``` ЭТАП 2: АНАЛИЗ ПРОЦЕССОВ Шаг 2.1: Перечисление всех процессов ```bash # Список всех процессов vol.py -f memory_dump.raw windows.pslist # Поиск подозрительных процессов vol.py -f memory_dump.raw windows.pslist | grep -E "(svchost|explorer|winlogon)" ``` Шаг 2.2: Анализ дерева процессов ```bash # Построение дерева процессов vol.py -f memory_dump.raw windows.pstree # Обнаружен подозрительный процесс: # PID 2847: svchost.exe (родитель: PID 1) # PID 2848: malware_process.exe (родитель: PID 2847) ``` ЭТАП 3: АНАЛИЗ СЕТЕВЫХ СОЕДИНЕНИЙ Шаг 3.1: Перечисление сетевых соединений ```bash # Активные сетевые соединения vol.py -f memory_dump.raw windows.netstat # Обнаружены подозрительные соединения: # PID 2848: TCP 192.168.1.100:443 -> 185.199.108.153:443 # PID 2848: TCP 192.168.1.100:8080 -> 104.21.45.67:80 ``` Шаг 3.2: Анализ сетевых сокетов ```bash # Детальный анализ сокетов vol.py -f memory_dump.raw windows.netscan # Результат показал: # - Подключения к подозрительным IP адресам # - Использование нестандартных портов # - Шифрованный трафик (HTTPS) ``` ЭТАП 4: ПОИСК ВРЕДОНОСНОГО ПО Шаг 4.1: Сканирование с помощью YARA правил ```bash # Создание YARA правил для банковских троянов cat > banking_trojan.yar malware_analysis_report.txt

AdminForum AdminForum
Случаи и кейсы
30.09.2025
APT атаки C2 сервер DLL инжекция
141
0
Продолжить чтение

КЕЙС 1: АНАЛИЗ СЕТЕВОГО ТРАФИКА WIRESHARK - РАССЛЕДОВАНИЕ КОРПОРАТИВНОГО ШПИОНАЖА 2026

ВВЕДЕНИЕ В современной корпоративной среде сетевой анализ является критически важным инструментом для выявления инсайдерских угроз и предотвращения утечек конфиденциальной информации. Данный кейс демонстрирует практическое применение Wireshark для расследования подозрительной активности сотрудника, подозреваемого в передаче коммерческой тайны конкурентам. Проблема заключалась в том, что традиционные методы мониторинга безопасности не смогли выявить скрытую передачу данных через зашифрованные каналы связи. Требовался глубокий анализ сетевого трафика для восстановления последовательности событий и доказательства факта утечки информации. Данное расследование решает проблему комплексного анализа сетевого трафика, включая декодирование протоколов, анализ временных меток и восстановление передаваемых данных. Результаты анализа стали ключевым доказательством в судебном разбирательстве по делу о корпоративном шпионаже. ИСХОДНАЯ СИТУАЦИЯ Компания: Технологическая корпорация "ИнноваТех" (разработка ПО) Подозреваемый: Старший разработчик Иван Петров Период расследования: 15-30 ноября 2024 Тип инцидента: Подозрение в передаче исходного кода конкурентам Размер ущерба: Оценочно $2.5 млн (стоимость украденной интеллектуальной собственности) Технические характеристики: - Корпоративная сеть: 10.0.0.0/16 - Рабочая станция подозреваемого: 10.0.15.47 - Сервер разработки: 10.0.10.25 - Внешний IP подозреваемого: 192.168.1.100 - Период активности: 18:00-22:00 (после рабочего времени) ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ 1. Wireshark 4.0.8 - основной инструмент анализа 2. NetworkMiner 3.0 - извлечение файлов из трафика 3. tcpdump - захват трафика на уровне командной строки 4. ngrep - поиск по содержимому пакетов 5. tshark - анализ трафика через командную строку 6. Xplico - декодирование протоколов приложений ПОШАГОВОЕ РЕШЕНИЕ ЭТАП 1: ПЛАНИРОВАНИЕ И ПОДГОТОВКА Шаг 1.1: Определение целей анализа ```bash # Цели расследования: # 1. Подтвердить факт передачи данных # 2. Определить объем переданной информации # 3. Установить временные рамки активности # 4. Идентифицировать получателя данных # 5. Восстановить содержимое передаваемых файлов ``` Шаг 1.2: Настройка захвата трафика ```bash # Настройка SPAN порта на коммутаторе configure terminal interface GigabitEthernet0/1 port monitor GigabitEthernet0/15 port monitor GigabitEthernet0/25 end # Захват трафика через tcpdump tcpdump -i eth0 -w investigation_2024_11_15.pcap \ host 10.0.15.47 or host 10.0.10.25 \ -s 0 -C 100 ``` ЭТАП 2: ПЕРВОНАЧАЛЬНЫЙ АНАЛИЗ ТРАФИКА Шаг 2.1: Загрузка и фильтрация данных в Wireshark ```bash # Открытие файла захвата wireshark investigation_2024_11_15.pcap # Применение фильтров: # 1. Трафик от подозреваемого: ip.src == 10.0.15.47 # 2. Трафик к серверу разработки: ip.dst == 10.0.10.25 # 3. HTTP трафик: http # 4. FTP трафик: ftp # 5. SSH трафик: ssh ``` Шаг 2.2: Анализ временных паттернов ```bash # Статистика по времени активности tshark -r investigation_2024_11_15.pcap \ -T fields -e frame.time \ -Y "ip.src == 10.0.15.47" \ | head -20 # Результат показал пиковую активность: # 18:30-19:15 - активная загрузка файлов # 20:45-21:30 - передача данных на внешние серверы # 22:00 - завершение сессии ``` ЭТАП 3: ДЕТАЛЬНЫЙ АНАЛИЗ ПРОТОКОЛОВ Шаг 3.1: Анализ HTTP трафика ```bash # Извлечение HTTP запросов tshark -r investigation_2024_11_15.pcap \ -Y "http and ip.src == 10.0.15.47" \ -T fields -e http.host -e http.request.uri \ -e http.user_agent # Обнаружены подозрительные запросы: # - Загрузка файлов на file-sharing сервисы # - Использование прокси-серверов # - Анонимизация через VPN сервисы ``` Шаг 3.2: Анализ FTP сессий ```bash # Декодирование FTP команд tshark -r investigation_2024_11_15.pcap \ -Y "ftp" \ -T fields -e ftp.request.command \ -e ftp.request.arg # Обнаружены команды: # USER anonymous # PASS guest@example.com # CWD /uploads # STOR source_code_v2.1.zip # QUIT ``` ЭТАП 4: ВОССТАНОВЛЕНИЕ ПЕРЕДАВАЕМЫХ ФАЙЛОВ Шаг 4.1: Извлечение файлов через NetworkMiner ```bash # Запуск NetworkMiner networkminer investigation_2024_11_15.pcap # Настройки извлечения: # - Включить извлечение всех файлов # - Настроить фильтры по IP адресам # - Установить минимальный размер файла: 1KB ``` Шаг 4.2: Анализ извлеченных файлов ```bash # Список извлеченных файлов: # 1. source_code_v2.1.zip (45.2 MB) # 2. database_schema.sql (2.1 MB) # 3. api_documentation.pdf (8.7 MB) # 4. user_credentials.txt (156 KB) # 5. project_timeline.xlsx (1.2 MB) # Проверка контрольных сумм md5sum source_code_v2.1.zip # Результат: a1b2c3d4e5f6789012345678901234ab ``` ЭТАП 5: АНАЛИЗ СОДЕРЖИМОГО ФАЙЛОВ Шаг 5.1: Анализ исходного кода ```bash # Распаковка архива unzip source_code_v2.1.zip -d extracted_code/ # Анализ структуры проекта find extracted_code/ -name "*.java" -o -name "*.py" -o -name "*.js" | wc -l # Результат: 1,247 файлов исходного кода # Поиск комментариев с именем разработчика grep -r "Ivan Petrov" extracted_code/ # Найдено 23 упоминания в комментариях ``` Шаг 5.2: Анализ базы данных ```bash # Анализ SQL файла head -50...

AdminForum AdminForum
Случаи и кейсы
30.09.2025
DLP системы DNS анализ FTP анализ
179
0
Продолжить чтение

Популярные теги

Вопрос-Ответ 175 кибербезопасность 64 цифровая криминалистика 60 информационная безопасность 29 восстановление данных 21 социальная инженерия 19 цифровая форензика 19 защита данных 18 Мобильная форензика 16 пентестинг 15 безопасность 13 фишинг 13 OSINT 12 двухфакторная аутентификация 11 компьютерная экспертиза 10
Условия использования Политика Cookies Отказ от ответственности