31.03.2022
Выход на оперативный простор
Чем криминалистам поможет книга "Practical Memory Forensics"
В британском издательстве Packt Publishing вышла новая книга криминалистов Group-IB — Светланы Островской и Олега Скулкина: "Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory". Приобрести ее уже можно на Amazon. Если у Олега это четвертое издание (вот его интервью на Хабре), то Светлану можно поздравить с дебютом. На связи — Дубай, где в ближневосточной штаб-квартире Group-IB работает Света. Мы попросили автора рассказать, о чем книга и на какую полку в библиотечке киберкриминалиста ее можно поставить (спойлер — она должна стать настольной книгой!)
— Привет, принимай поздравления с выпуском книги! Давай для начала представим тебя читателям Хабра. Ты уже полгода работаешь в Центре исследования киберугроз на Ближнем Востоке, в штаб-квартире Group-IB в Дубае. Чем занимаешься там?
— Спасибо за поздравления! До сих пор не могу поверить, что я — автор книги. В регионе я отвечаю за обучение и как сотрудник Лаборатории цифровой криминалистики Group-IB занимаюсь реагированиями на инциденты. Из угроз тут в основном шифровальщики, фишинг, были кейсы с компрометацией почты. Мы работаем не только на Ближнем Востоке, но и в Африке. Тут большой спрос на обучение. Есть много специалистов, которым не хватает знаний и опыта, они хотят прокачать свои навыки. В целом, чем больше про нас узнают, тем больше клиентов, которые приходят к нам и за обучением, и за консультациями, и за помощью с реагированием на инциденты.
— Давай тогда перейдем к книге и сразу раскроем секрет, чем так важна оперативная память и что полезного из нее можно вытянуть.
— Ценность памяти в первую очередь в том, что там есть уникальные, важные с точки зрения криминалистики данные, которых больше нигде не найти. Самый простой и наглядный пример — приватные режимы в браузере. Все знают, что в Google Chrome есть приватный режим, в котором не сохраняется история. Но лишь специалистам известно, что если после закрытия Chrome сразу сделать дамп памяти, то в нем может остаться много ценной информации, в том числе куда ты ходил в приватном режиме, какие сайты посещал, что отправлял. Криминалисту важно сделать дамп памяти сразу, первым шагом, потому что после перезагрузки большое количество потенциально важных данных пропадет.
Недавно мы столкнулись с инцидентом, где был задействован руткит. Это ВПО, которое позволяет атакующим закрепиться на взломанной системе и скрывать свою деятельность, манипулируя файлами, процессами и фактически скрывая само присутствие руткита в системе. На диске обнаружить следы такого ВПО практически невозможно, однако в оперативной памяти они будут. Другой пример: в ситуации, когда атакующие используют PowerShell-скрипты, а на ОС отсутствует или отключено логирование PowerShell, вы нигде не найдете информацию о том, какой скрипт исполняется — нигде, кроме памяти.
— А может ли память чем-то помочь в реагировании на атаку программы-вымогателя?
Если все уже зашифровано — в памяти особо искать нечего, ведь атакующие достигли цели. Но можно посмотреть активность инструментов для удаленного управления. Интересно еще вот что: шифровальщики часто используются в комбинации с "commodity malware": вначале залетает, к примеру, троян Qbot — проводит разведку, собирает данные о хосте, инфраструктуре, а после, если цель интересна злоумышленникам, они уже повышают свои привилегии, распространяются по сети (чаще всего используя фреймворки для пост-эксплуатации и инструменты двойного назначения) и потом все шифруют. Так вот в памяти можно отследить активность Qbot — понять, куда он заинжектился, какие команды выполняет, где закрепляется и с какими IP-адресами идет сетевая активность. На ранних этапах атаки эта информация довольно полезна.
— Спасибо за поздравления! До сих пор не могу поверить, что я — автор книги. В регионе я отвечаю за обучение и как сотрудник Лаборатории цифровой криминалистики Group-IB занимаюсь реагированиями на инциденты. Из угроз тут в основном шифровальщики, фишинг, были кейсы с компрометацией почты. Мы работаем не только на Ближнем Востоке, но и в Африке. Тут большой спрос на обучение. Есть много специалистов, которым не хватает знаний и опыта, они хотят прокачать свои навыки. В целом, чем больше про нас узнают, тем больше клиентов, которые приходят к нам и за обучением, и за консультациями, и за помощью с реагированием на инциденты.
— Давай тогда перейдем к книге и сразу раскроем секрет, чем так важна оперативная память и что полезного из нее можно вытянуть.
— Ценность памяти в первую очередь в том, что там есть уникальные, важные с точки зрения криминалистики данные, которых больше нигде не найти. Самый простой и наглядный пример — приватные режимы в браузере. Все знают, что в Google Chrome есть приватный режим, в котором не сохраняется история. Но лишь специалистам известно, что если после закрытия Chrome сразу сделать дамп памяти, то в нем может остаться много ценной информации, в том числе куда ты ходил в приватном режиме, какие сайты посещал, что отправлял. Криминалисту важно сделать дамп памяти сразу, первым шагом, потому что после перезагрузки большое количество потенциально важных данных пропадет.
Недавно мы столкнулись с инцидентом, где был задействован руткит. Это ВПО, которое позволяет атакующим закрепиться на взломанной системе и скрывать свою деятельность, манипулируя файлами, процессами и фактически скрывая само присутствие руткита в системе. На диске обнаружить следы такого ВПО практически невозможно, однако в оперативной памяти они будут. Другой пример: в ситуации, когда атакующие используют PowerShell-скрипты, а на ОС отсутствует или отключено логирование PowerShell, вы нигде не найдете информацию о том, какой скрипт исполняется — нигде, кроме памяти.
— А может ли память чем-то помочь в реагировании на атаку программы-вымогателя?
Если все уже зашифровано — в памяти особо искать нечего, ведь атакующие достигли цели. Но можно посмотреть активность инструментов для удаленного управления. Интересно еще вот что: шифровальщики часто используются в комбинации с "commodity malware": вначале залетает, к примеру, троян Qbot — проводит разведку, собирает данные о хосте, инфраструктуре, а после, если цель интересна злоумышленникам, они уже повышают свои привилегии, распространяются по сети (чаще всего используя фреймворки для пост-эксплуатации и инструменты двойного назначения) и потом все шифруют. Так вот в памяти можно отследить активность Qbot — понять, куда он заинжектился, какие команды выполняет, где закрепляется и с какими IP-адресами идет сетевая активность. На ранних этапах атаки эта информация довольно полезна.
— А как вам с твоим соавтором Олегом Скулкиным, уже известным парнем в мире форензики, вообще пришла идея книги?
— Идею подсказали ребята из издательства Packt Publishing. Они вышли на Олега, а он пришел ко мне: "Тебе же нравится память. Хочешь написать книгу?" В общей сложности на работу ушел год. Я не подозревала, что книга отнимает настолько много времени, а с учетом объема рабочих задач приходилось изворачиваться. Едешь с работы — пишешь, сидишь в кафе — пишешь, пару раз приходилось на пляже во время отпуска писать. Но мне нравился сам процесс. Когда я училась в школе, хотела написать книжку, такой артхаус. У меня были наброски, но ни во что серьезное не вылилось. А вот про криминалистику оперативной памяти — взяла и написала.
— Странная, конечно, страсть. Как так вышло?
По специальности я математик-программист, заканчивала Курский государственный университет. Магистра получала в университете Иннополиса, и там нам порекомендовали прочитать толстенькую такую книженцию "The Art of Memory Forensics". Я бегло полистала: "О, интересно! В памяти так много всего сохраняется, чего не остается на диске". Стала понемногу в это погружаться. Став ассистентом преподавателя, сама готовила лабораторные и заново все задачки решала, снимала дампы памяти.
— А как ты попала в Group-IB?
В 2019 году я проездом была в Москве и решила встретиться с друзьями по университету — Толей Тыкушиным и Андреем Половинкиным. Они тогда уже работали в Group-IB, были в восторге от сложных задач и самой миссии компании — борьбы с киберпреступностью. Мимолетом кто-то из них упомянул о вакансии тренера — я отправила свое резюме. В Group-IB не самый простой, но крайне увлекательный процесс найма. Мне не дали готового тестового задания, предложив выбрать тему самой. Понятно, что компания таким образом проверяла, в чем мои сильные стороны и каков уровень экспертизы. Понятное дело, я выбрала криминалистику оперативной памяти. Перечитала много книжек и статей, и чем больше читала, тем больше становилось интересно: "Столько всего в памяти можно найти!" Когда я пришла на тренера, первое, что стала вести — ну здесь уже все ясно — криминалистику памяти. Естественно, приходилось изучать и другие аспекты криминалистики, но я везде находила пересечения с моей темой. Настолько она меня захватила, что коллеги даже начали подкалывать: "Память же никому не нужна, чего ты ее так любишь?" Ребята в Group-IB особенные — все друг за друга горой, но если есть над чем пошутить — тут только дай волю.
— Идею подсказали ребята из издательства Packt Publishing. Они вышли на Олега, а он пришел ко мне: "Тебе же нравится память. Хочешь написать книгу?" В общей сложности на работу ушел год. Я не подозревала, что книга отнимает настолько много времени, а с учетом объема рабочих задач приходилось изворачиваться. Едешь с работы — пишешь, сидишь в кафе — пишешь, пару раз приходилось на пляже во время отпуска писать. Но мне нравился сам процесс. Когда я училась в школе, хотела написать книжку, такой артхаус. У меня были наброски, но ни во что серьезное не вылилось. А вот про криминалистику оперативной памяти — взяла и написала.
— Странная, конечно, страсть. Как так вышло?
По специальности я математик-программист, заканчивала Курский государственный университет. Магистра получала в университете Иннополиса, и там нам порекомендовали прочитать толстенькую такую книженцию "The Art of Memory Forensics". Я бегло полистала: "О, интересно! В памяти так много всего сохраняется, чего не остается на диске". Стала понемногу в это погружаться. Став ассистентом преподавателя, сама готовила лабораторные и заново все задачки решала, снимала дампы памяти.
— А как ты попала в Group-IB?
В 2019 году я проездом была в Москве и решила встретиться с друзьями по университету — Толей Тыкушиным и Андреем Половинкиным. Они тогда уже работали в Group-IB, были в восторге от сложных задач и самой миссии компании — борьбы с киберпреступностью. Мимолетом кто-то из них упомянул о вакансии тренера — я отправила свое резюме. В Group-IB не самый простой, но крайне увлекательный процесс найма. Мне не дали готового тестового задания, предложив выбрать тему самой. Понятно, что компания таким образом проверяла, в чем мои сильные стороны и каков уровень экспертизы. Понятное дело, я выбрала криминалистику оперативной памяти. Перечитала много книжек и статей, и чем больше читала, тем больше становилось интересно: "Столько всего в памяти можно найти!" Когда я пришла на тренера, первое, что стала вести — ну здесь уже все ясно — криминалистику памяти. Естественно, приходилось изучать и другие аспекты криминалистики, но я везде находила пересечения с моей темой. Настолько она меня захватила, что коллеги даже начали подкалывать: "Память же никому не нужна, чего ты ее так любишь?" Ребята в Group-IB особенные — все друг за друга горой, но если есть над чем пошутить — тут только дай волю.
— И так, с шутками-прибаутками, написали вы целую книгу. Скажи, а кто ее целевая аудитория? Кому точно полезно почитать?
Компьютерными криминалистам, специалистам по реагированию на инциденты, третхантерам, исследователям вредоносного ПО. Поясню: ты можешь запустить образец ВПО на виртуальной машине и воспользоваться инструментами, которые тебе помогут "наживую" его проанализировать. А можно взять память виртуальной машины и уже в ней искать, что это ВПО делает.
— Скажи, а что помогло тебе написать книгу?
Наверное, пример наших ведущих криминалистов Олега Скулкина, Игоря Михайлова, Артема Артемова. На самом деле я восхищаюсь и вдохновляюсь всеми нашими ребятами из Лабы, потому что каждый из них уникален. Сама атмосфера Group-IB располагает к тому, чтобы ты раскрыл свой потенциал, а может быть, даже реализовал мечту, как я. Это захватывающий мир со своими правилами, а с другой стороны — уже совсем большая международная семья.
Компьютерными криминалистам, специалистам по реагированию на инциденты, третхантерам, исследователям вредоносного ПО. Поясню: ты можешь запустить образец ВПО на виртуальной машине и воспользоваться инструментами, которые тебе помогут "наживую" его проанализировать. А можно взять память виртуальной машины и уже в ней искать, что это ВПО делает.
— Скажи, а что помогло тебе написать книгу?
Наверное, пример наших ведущих криминалистов Олега Скулкина, Игоря Михайлова, Артема Артемова. На самом деле я восхищаюсь и вдохновляюсь всеми нашими ребятами из Лабы, потому что каждый из них уникален. Сама атмосфера Group-IB располагает к тому, чтобы ты раскрыл свой потенциал, а может быть, даже реализовал мечту, как я. Это захватывающий мир со своими правилами, а с другой стороны — уже совсем большая международная семья.
Прямо сейчас Group-IB нужны компьютерные криминалисты, специалисты по реагированию на инциденты (Incident Responder), третхантеры (Threat Hunter), а еще пентестеры, реверс-инженеры, антифрод-аналитики, разработчики на Python и Go, фронты, девопсы, тестировщики, маркетологи, пиарщики. Все подробности тут, резюме отправлять на job@group-ib.com.
— Не могу не спросить: у тебя уже есть идеи для новой книги?
— Пока не хочу об этом думать, надо немного отойти (смеется). Но вот что интересно: когда ты редактируешь и перечитываешь написанное — замечаешь недоработки. Или появляется новая информация — и ловишь себя на мысли: "Блин, а можно и про это рассказать и добавить. Может быть, вторую книгу пора начинать?"
— Пока не хочу об этом думать, надо немного отойти (смеется). Но вот что интересно: когда ты редактируешь и перечитываешь написанное — замечаешь недоработки. Или появляется новая информация — и ловишь себя на мысли: "Блин, а можно и про это рассказать и добавить. Может быть, вторую книгу пора начинать?"
Светлана Островская — ведущий аналитик DFIR в Group-IB, одном из мировых лидеров в области предотвращения и расследования высокотехнологичных преступлений и онлайн-мошенничества. Помимо активного участия в реагированиях на инциденты, Светлана имеет большой опыт обучения в различных регионах, включая Россию, СНГ, Ближний Восток, Европу, Азиатско-Тихоокеанский регион. Она является соавтором статей по информационной безопасности и компьютерной криминалистике, а также ряда обучающих программ, включая криминалистику оперативной памяти, криминалистику Linux, криминалистику Windows, а также реагирование на инциденты и поиск угроз.
Светлана Островская
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
