— Привет, принимай поздравления с выпуском книги! Давай для начала представим тебя читателям Хабра. Ты уже полгода работаешь в Центре исследования киберугроз на Ближнем Востоке, в штаб-квартире Group-IB в Дубае. Чем занимаешься там?
— Спасибо за поздравления! До сих пор не могу поверить, что я — автор книги. В регионе я отвечаю за обучение и как сотрудник Лаборатории цифровой криминалистики Group-IB занимаюсь реагированиями на инциденты. Из угроз тут в основном шифровальщики, фишинг, были кейсы с компрометацией почты. Мы работаем не только на Ближнем Востоке, но и в Африке. Тут большой спрос на обучение. Есть много специалистов, которым не хватает знаний и опыта, они хотят прокачать свои навыки. В целом, чем больше про нас узнают, тем больше клиентов, которые приходят к нам и за обучением, и за консультациями, и за помощью с реагированием на инциденты.
— Давай тогда перейдем к книге и сразу раскроем секрет, чем так важна оперативная память и что полезного из нее можно вытянуть.
— Ценность памяти в первую очередь в том, что там есть уникальные, важные с точки зрения криминалистики данные, которых больше нигде не найти. Самый простой и наглядный пример — приватные режимы в браузере. Все знают, что в Google Chrome есть приватный режим, в котором не сохраняется история. Но лишь специалистам известно, что если после закрытия Chrome сразу сделать дамп памяти, то в нем может остаться много ценной информации, в том числе куда ты ходил в приватном режиме, какие сайты посещал, что отправлял. Криминалисту важно сделать дамп памяти сразу, первым шагом, потому что после перезагрузки большое количество потенциально важных данных пропадет.
Недавно мы столкнулись с инцидентом, где был задействован руткит. Это ВПО, которое позволяет атакующим закрепиться на взломанной системе и скрывать свою деятельность, манипулируя файлами, процессами и фактически скрывая само присутствие руткита в системе. На диске обнаружить следы такого ВПО практически невозможно, однако в оперативной памяти они будут. Другой пример: в ситуации, когда атакующие используют PowerShell-скрипты, а на ОС отсутствует или отключено логирование PowerShell, вы нигде не найдете информацию о том, какой скрипт исполняется — нигде, кроме памяти.
— А может ли память чем-то помочь в реагировании на атаку программы-вымогателя?
Если все уже зашифровано — в памяти особо искать нечего, ведь атакующие достигли цели. Но можно посмотреть активность инструментов для удаленного управления. Интересно еще вот что: шифровальщики часто используются в комбинации с "commodity malware": вначале залетает, к примеру, троян Qbot — проводит разведку, собирает данные о хосте, инфраструктуре, а после, если цель интересна злоумышленникам, они уже повышают свои привилегии, распространяются по сети (чаще всего используя фреймворки для пост-эксплуатации и инструменты двойного назначения) и потом все шифруют. Так вот в памяти можно отследить активность Qbot — понять, куда он заинжектился, какие команды выполняет, где закрепляется и с какими IP-адресами идет сетевая активность. На ранних этапах атаки эта информация довольно полезна.