 fox
II/IDEC networks :: habra.16 :: / Охота на Lurk: от исследования вредоносного кода до уголовного дела
|
Login |
[#]
Охота на Lurk: от исследования вредоносного кода до уголовного дела
habrabot(difrex,1) — All
2016-09-06 10:30:03
![][1]Когда компания подвергается кибератаке, первым делом нужно понять, что именно и откуда прилетело, удалить вредоносный код и, желательно, найти и закрыть уязвимую точку в инфраструктуре. И уж потом можно задаться вопросом «кто виноват», хотя, увы, довольно часто он и вовсе остается без ответа. Задача поставщиков защитных решений — обнаруживать и исследовать угрозы, обеспечивать возможности защиты, информировать клиентов. Поиском киберпреступников должны заниматься правоохранительные органы. Для этого мы делимся с ними результатами нашей работы, но здесь есть один нюанс.
Набор знаний для защиты от вредоносной программы несколько отличается от набора, необходимого для расследования. В последнем случае появляется необходимость в доказательствах наличия связи между разными инцидентами, принадлежность различных вредоносных программ к одному источнику — ну, в общем, то, что для защиты клиентов не всегда требуется. Важно перевести информацию с технического языка на юридический. Такой работой в «Лаборатории» занимается Отдел расследований компьютерных инцидентов. Недавно они поделились информацией о расследовании деятельности группировки Lurk, нацеленной на коммерческие организации. Жертвы кампании заражались одноименной троянской программой, с помощью которой похищались средства с корпоративных банковских счетов.
Эта сторона работы по борьбе с киберпреступностью освещается в деталях гораздо реже _традиционного_ исследования угроз, и потому публикация особенно интересна. Данный текст является краткой выжимкой из нескольких публикаций на Securelist по теме: начиная с [краткого исследования][2] 2012 года, и заканчивая детальным техническим [разбором троянца][3] Lurk и рассказом о [многолетнем расследовании][4] деятельности группировки в целом.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/410/515/bc8/410515bc83d5436892112091b8d934b6.png
[2]: https://securelist.ru/blog/virus-watch/2604/unikalnyj-bestelesnyj-bot-atakuet-posetitelej-novostnyh-resursov/
[3]: https://securelist.ru/featured/28708/bankovskij-troyanec-lurk-specialno-dlya-rossii/
[4]: https://securelist.ru/analysis/obzor/29220/the-hunt-for-lurk/
[5]: https://habrahabr.ru/post/309260/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-09-06 10:30:03
![][1]Когда компания подвергается кибератаке, первым делом нужно понять, что именно и откуда прилетело, удалить вредоносный код и, желательно, найти и закрыть уязвимую точку в инфраструктуре. И уж потом можно задаться вопросом «кто виноват», хотя, увы, довольно часто он и вовсе остается без ответа. Задача поставщиков защитных решений — обнаруживать и исследовать угрозы, обеспечивать возможности защиты, информировать клиентов. Поиском киберпреступников должны заниматься правоохранительные органы. Для этого мы делимся с ними результатами нашей работы, но здесь есть один нюанс.
Набор знаний для защиты от вредоносной программы несколько отличается от набора, необходимого для расследования. В последнем случае появляется необходимость в доказательствах наличия связи между разными инцидентами, принадлежность различных вредоносных программ к одному источнику — ну, в общем, то, что для защиты клиентов не всегда требуется. Важно перевести информацию с технического языка на юридический. Такой работой в «Лаборатории» занимается Отдел расследований компьютерных инцидентов. Недавно они поделились информацией о расследовании деятельности группировки Lurk, нацеленной на коммерческие организации. Жертвы кампании заражались одноименной троянской программой, с помощью которой похищались средства с корпоративных банковских счетов.
Эта сторона работы по борьбе с киберпреступностью освещается в деталях гораздо реже _традиционного_ исследования угроз, и потому публикация особенно интересна. Данный текст является краткой выжимкой из нескольких публикаций на Securelist по теме: начиная с [краткого исследования][2] 2012 года, и заканчивая детальным техническим [разбором троянца][3] Lurk и рассказом о [многолетнем расследовании][4] деятельности группировки в целом.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/410/515/bc8/410515bc83d5436892112091b8d934b6.png
[2]: https://securelist.ru/blog/virus-watch/2604/unikalnyj-bestelesnyj-bot-atakuet-posetitelej-novostnyh-resursov/
[3]: https://securelist.ru/featured/28708/bankovskij-troyanec-lurk-specialno-dlya-rossii/
[4]: https://securelist.ru/analysis/obzor/29220/the-hunt-for-lurk/
[5]: https://habrahabr.ru/post/309260/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut