πŸŸ©Β ΠœΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ основания криминалистичСской Π΄Π΅Ρ‚Π΅ΠΊΡ†ΠΈΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния: таксономия ΡƒΠ³Ρ€ΠΎΠ·

πŸŸ©Β ΠœΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ основания криминалистичСской Π΄Π΅Ρ‚Π΅ΠΊΡ†ΠΈΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния: таксономия ΡƒΠ³Ρ€ΠΎΠ·
  1. Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования

Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ Π²ΠΎ всС сфСры ΠΆΠΈΠ·Π½Π΅Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ риски, связанныС с Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ΠΌ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности, ΠΏΡ€ΠΈΠΎΠ±Ρ€Π΅Ρ‚Π°ΡŽΡ‚ систСмный Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€. ΠžΡΠΎΠ±ΡƒΡŽ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΡŽ ΡƒΠ³Ρ€ΠΎΠ· ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ нСсанкционированного слСТСния (spyware, stalkerware), Π½Π΅Π·Π°ΠΊΠΎΠ½Π½ΠΎ устанавливаСмыС Π½Π° ΠΌΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Π΅ устройства ΠΈ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π±Π΅Π· ΠΈΡ… Π²Π΅Π΄ΠΎΠΌΠ°. Богласно Π΄Π°Π½Π½Ρ‹ΠΌ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠΉ Π³Ρ€ΡƒΠΏΠΏΡ‹ Kaspersky, Π² 2023 Π³ΠΎΠ΄Ρƒ Π±ΠΎΠ»Π΅Π΅ 42 000 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΡΡ‚ΠΎΠ»ΠΊΠ½ΡƒΠ»ΠΈΡΡŒ с ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΌΠΈ ΡƒΠ³Ρ€ΠΎΠ·Π°ΠΌΠΈ, Ρ‡Ρ‚ΠΎ ΠΎΡ‚Ρ€Π°ΠΆΠ°Π΅Ρ‚ ΠΌΠ°ΡΡˆΡ‚Π°Π±Π½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, выходящСй Π·Π° Ρ€Π°ΠΌΠΊΠΈ частных случаСв ΠΈ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‰Π΅ΠΉ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΠΈ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΡƒΡŽ сфСры.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ‚ΠΈΠΊΠ° поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния находится Π½Π° пСрСсСчСнии Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… Π½Π°ΡƒΡ‡Π½Ρ‹Ρ… ΠΈ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½Ρ‹Ρ… дисциплин: ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ криминалистики (digital forensics), Ρ‚Π΅ΠΎΡ€ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности, ΡƒΠ³ΠΎΠ»ΠΎΠ²Π½ΠΎ-ΠΏΡ€ΠΎΡ†Π΅ΡΡΡƒΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΏΡ€Π°Π²Π° ΠΈ рСвСрс-ΠΈΠ½ΠΆΠΈΠ½ΠΈΡ€ΠΈΠ½Π³Π°. Π‘ мСтодологичСской Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния, эффСктивноС ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ шпионского ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ синтСза тСхничСских ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² Π°Π½Π°Π»ΠΈΠ·Π° ΠΈ ΠΏΡ€ΠΎΡ†Π΅ΡΡΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΡ… ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ Π·Π½Π°Ρ‡ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ².

Π’ российской ΠΏΡ€Π°Π²ΠΎΠ²ΠΎΠΉ Π΄ΠΎΠΊΡ‚Ρ€ΠΈΠ½Π΅ установка шпионского ПО Π±Π΅Π· согласия ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΏΠΎΠ΄ΠΏΠ°Π΄Π°Π΅Ρ‚ ΠΏΠΎΠ΄ дСйствиС ряда Π½ΠΎΡ€ΠΌ Π£Π³ΠΎΠ»ΠΎΠ²Π½ΠΎΠ³ΠΎ кодСкса Π Π€, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΡΡ‚Π°Ρ‚ΡŒΡŽ 137 (ΠΠ°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ нСприкосновСнности частной ΠΆΠΈΠ·Π½ΠΈ), ΡΡ‚Π°Ρ‚ΡŒΡŽ 138 (ΠΠ°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ Ρ‚Π°ΠΉΠ½Ρ‹ пСрСписки, Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Π½Ρ‹Ρ… ΠΏΠ΅Ρ€Π΅Π³ΠΎΠ²ΠΎΡ€ΠΎΠ², ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹Ρ…, Ρ‚Π΅Π»Π΅Π³Ρ€Π°Ρ„Π½Ρ‹Ρ… ΠΈΠ»ΠΈ ΠΈΠ½Ρ‹Ρ… сообщСний), ΡΡ‚Π°Ρ‚ΡŒΡŽ 138.1 (НСзаконный ΠΎΠ±ΠΎΡ€ΠΎΡ‚ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… тСхничСских срСдств, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… для нСгласного получСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ), ΡΡ‚Π°Ρ‚ΡŒΡŽ 272 (НСправомСрный доступ ΠΊ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ) ΠΈ ΡΡ‚Π°Ρ‚ΡŒΡŽ 273 (Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅, использованиС ΠΈ распространСниС врСдоносных ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ). Π’ соотвСтствии с этим, поиск ΠΈ выявлСниС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния Π² судСбно-экспСртной ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ прСдставляСт собой ΠΊΠΎΠΌΠΏΠ»Π΅ΠΊΡΠ½ΡƒΡŽ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€Π½ΠΎ-ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρƒ, Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΌΠΎΠ³ΡƒΡ‚ ΡΡ‚Π°Ρ‚ΡŒ основой для ΡƒΠ³ΠΎΠ»ΠΎΠ²Π½ΠΎΠ³ΠΎ прСслСдования.

  1. Ваксономия ΡƒΠ³Ρ€ΠΎΠ·: классификация ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния

Π€ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ эффСктивной ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ Π±Π΅Π· систСматизации ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² исслСдования. ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ шпионского ПО ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ построСна ΠΏΠΎ нСскольким ΠΎΡ€Ρ‚ΠΎΠ³ΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠ°ΠΌ: способу распространСния ΠΈ пСрсистСнции, ΡƒΡ€ΠΎΠ²Π½ΡŽ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ, Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΌΡƒ Π½Π°Π±ΠΎΡ€Ρƒ ΠΈ стойкости ΠΊ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΡŽ.

2.1. ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ ΠΏΠΎ Ρ†Π΅Π»Π΅Π²ΠΎΠΌΡƒ Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΡŽ ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡƒΒ πŸŽ―

ΠšΠ΅ΠΉΠ»ΠΎΠ³Π³Π΅Ρ€Ρ‹ (Keyloggers).Β Π”Π°Π½Π½Ρ‹ΠΉ класс ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° Π½Π°ΠΆΠ°Ρ‚ΠΈΠΉ клавиш. Они ΠΏΠΎΠ΄Ρ€Π°Π·Π΄Π΅Π»ΡΡŽΡ‚ΡΡ Π½Π° Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹Π΅ (Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‚ΡΡ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π° ΠΊΠ»Π°Π²ΠΈΠ°Ρ‚ΡƒΡ€Ρ‹, Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ физичСского доступа) ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Π΅ (Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‚ΡΡ Π² Π²ΠΈΠ΄Π΅ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠ², Ρ…ΡƒΠΊΠΎΠ² Π² ΠΎΠΊΠΎΠ½Π½ΡƒΡŽ подсистСму ΠΈΠ»ΠΈ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΡŽΡ‚ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ Π²Π²ΠΎΠ΄Π°). Π‘ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΊΠ΅ΠΉΠ»ΠΎΠ³Π³Π΅Ρ€ΠΎΠ² Π½Π° ΠΌΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Ρ… устройствах ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ сСрвисы ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… возмоТностСй (Accessibility Service) для ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° Π²Π²ΠΎΠ΄Π° с экранной ΠΊΠ»Π°Π²ΠΈΠ°Ρ‚ΡƒΡ€Ρ‹.

Врояны ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ доступа (RAT β€” Remote Access Trojan). НаиболСС опасный класс ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ Π½Π°Π΄ систСмой. Π€ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π°ΠΊΡ‚ΠΈΠ²Π°Ρ†ΠΈΡŽ ΠΊΠ°ΠΌΠ΅Ρ€Ρ‹ ΠΈ ΠΌΠΈΠΊΡ€ΠΎΡ„ΠΎΠ½Π°, снятиС ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚ΠΎΠ², ΠΈΠ·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈΠ· ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰, ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚ сообщСний ΠΈΠ· мСссСндТСров. Для маскировки часто ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ доступа (RDP, VNC).

Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ сборщики (Data Stealers).Β Π‘ΠΏΠ΅Ρ†ΠΈΠ°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π½Π° Π°Π³Ρ€Π΅Π³Π°Ρ†ΠΈΠΈ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…: Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠΉ, кэшСй Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ², Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ· ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² мСссСндТСров, истории Π·Π²ΠΎΠ½ΠΊΠΎΠ² ΠΈ ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚ΠΎΠ², Π³Π°Π»Π΅Ρ€Π΅ΠΈ ΠΈΠ·ΠΎΠ±Ρ€Π°ΠΆΠ΅Π½ΠΈΠΉ.

БталкСрскоС ПО (Stalkerware).Β ΠšΠΎΠΌΠΌΠ΅Ρ€Ρ‡Π΅ΡΠΊΠΈΠ΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ (mSpy, FlexiSPY, Cocospy), ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹Π΅ для Ρ€ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΡΠΊΠΎΠ³ΠΎ контроля, Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ для скрытого слСТСния Π±Π΅Π· согласия наблюдаСмого Π»ΠΈΡ†Π°. Часто ΠΈΠΌΠ΅ΡŽΡ‚ собствСнныС ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ сокрытия β€” скрытый Π·Π½Π°Ρ‡ΠΎΠΊ, маскировка ΠΏΠΎΠ΄ систСмныС процСссы.

Π‘Π΅Ρ‚Π΅Π²Ρ‹Π΅ сниффСры (Sniffers).Β ΠŸΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ сСтСвыС ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ Π½Π° Π·Π°Ρ€Π°ΠΆΡ‘Π½Π½ΠΎΠΌ хостС, работая Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ promiscuous mode.

2.2. ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ ΠΏΠΎ стСлс-тСхнологиям ΠΈ ΡƒΡΡ‚ΠΎΠΉΡ‡ΠΈΠ²ΠΎΡΡ‚ΠΈΒ πŸ›‘οΈ

User-Mode Rootkits.Β ΠœΠ°ΡΠΊΠΈΡ€ΡƒΡŽΡ‚ процСссы, Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ рССстра Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ ΡΡ€Π°Π²Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° систСмных списков.

Kernel-Mode Rootkits.Β Π’Π½Π΅Π΄Ρ€ΡΡŽΡ‚ΡΡ Π² ядро ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы, пСрСхватывая систСмныС Π²Ρ‹Π·ΠΎΠ²Ρ‹ (SSDT Ρ…ΡƒΠΊΠΈ). ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π°Π½Π°Π»ΠΈΠ·Π° цСлостности ядра с использованиСм спСциализированных инструмСнтов.

Π‘ΡƒΡ‚ΠΊΠΈΡ‚Ρ‹ (Bootkits).Β Π—Π°Ρ€Π°ΠΆΠ°ΡŽΡ‚ Π·Π°Π³Ρ€ΡƒΠ·ΠΎΡ‡Π½Ρ‹Π΅ сСкторы (MBR, UEFI) ΠΈ Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π΄ΠΎ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ ΠΈΡ… Π½Π΅Π²ΠΈΠ΄ΠΈΠΌΡ‹ΠΌΠΈ для любого ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅Π³ΠΎ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ОБ.

БСсфайловыС ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ (Fileless Malware).Β Π˜ΡΠΏΠΎΠ»Π½ΡΡŽΡ‚ΡΡ Π² ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ памяти, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ процСссы ΠΈ скриптовыС Π΄Π²ΠΈΠΆΠΊΠΈ (PowerShell, WMI, JavaScript). НС ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ записСй Π½Π° Тёстком дискС, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ ΠΈΡ… Π½Π΅Π²ΠΈΠ΄ΠΈΠΌΡ‹ΠΌΠΈ для сигнатурных антивирусных срСдств.

2.3. ЭмпиричСская классификация ΠΏΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρƒ инсталляции

На основС Π°Π½Π°Π»ΠΈΠ·Π° практичСских кСйсов  моТно Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ основныС Π²Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ проникновСния:

  1. Ѐишинг ΠΈ ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ инТСнСрия. НаиболСС распространённый Π²Π΅ΠΊΡ‚ΠΎΡ€. ВрСдоносноС ПО маскируСтся ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ прилоТСния (обновлСния, систСмы бСзопасности, ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹) ΠΈ устанавливаСтся самим ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π° ΠΏΠΎ ссылкС ΠΈΠ»ΠΈ открытия влоТСния.
  2. ЀизичСский доступ ΠΊ устройству.Β ΠŸΡ€ΡΠΌΠ°Ρ установка Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ, часто с ΠΏΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ΠΌ ΠΏΡ€Π°Π² ΡΡƒΠΏΠ΅Ρ€ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ (root) ΠΈΠ»ΠΈ использованиСм уязвимостСй для Π΄ΠΆΠ΅ΠΉΠ»Π±Ρ€Π΅ΠΉΠΊΠ°. Π₯Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π΅Π½ для Π±Ρ‹Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ ΠΈ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ шпионаТа.
  3. Атаки Ρ‡Π΅Ρ€Π΅Π· Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ поставок (Supply-Chain Attacks).Β ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π° этапС Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈΠ»ΠΈ распространСния Ρ‡Π΅Ρ€Π΅Π· Π²Π·Π»ΠΎΠΌ сСрвСров ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ.
  4. Атаки с Π½ΡƒΠ»Π΅Π²Ρ‹ΠΌ ΠΊΠ»ΠΈΠΊΠΎΠΌ (Zero-Click). Эксплуатация уязвимостСй Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня Π² сСтСвых ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°Ρ… ΠΈΠ»ΠΈ прилоТСниях (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, iMessage, WhatsApp) Π±Π΅Π· ΠΊΠ°ΠΊΠΎΠ³ΠΎ-Π»ΠΈΠ±ΠΎ взаимодСйствия со стороны ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΌΠΈ шпионскими ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ°ΠΌΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Pegasus ΠΈ Dante.
  1. ΠœΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΡ экспСртного Π°Π½Π°Π»ΠΈΠ·Π°: многоуровнСвая модСль исслСдования

ΠŸΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΉ поиск ΠΈ выявлСниС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния основаны Π½Π° ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ криминалистики ΠΈ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°ΡŽΡ‚ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ ΠΏΡ€ΠΎΡ…ΠΎΠΆΠ΄Π΅Π½ΠΈΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… Ρ„Π°Π·: изоляции ΠΈ сохранСния Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ², статичСского Π°Π½Π°Π»ΠΈΠ·Π°, динамичСского Π°Π½Π°Π»ΠΈΠ·Π° ΠΈ докумСнтирования Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ².

3.1. Π€Π°Π·Π° 1: ΠŸΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΈ криминалистичСская ΠΈΠ·ΠΎΠ»ΡΡ†ΠΈΡΒ β›“οΈπŸ’Ύ

ΠŸΠ΅Ρ€Π²ΠΎΡΡ‚Π΅ΠΏΠ΅Π½Π½ΠΎΠΉ Π·Π°Π΄Π°Ρ‡Π΅ΠΉ являСтся сохранСниС цСлостности Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π². Устройство помСщаСтся Π² ΡΠΊΡ€Π°Π½ΠΈΡ€ΡƒΡŽΡ‰ΡƒΡŽ ΠΊΠ°ΠΌΠ΅Ρ€Ρƒ ЀарадСя для Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ всСх Ρ€Π°Π΄ΠΈΠΎΠΊΠ°Π½Π°Π»ΠΎΠ² (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Π­Ρ‚ΠΎ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π°Π΅Ρ‚ Π΄ΠΈΡΡ‚Π°Π½Ρ†ΠΈΠΎΠ½Π½ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Π½Π° ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… (remote wipe), Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΡƒΠ΅ΠΌΡƒΡŽ ΠΌΠ½ΠΎΠ³ΠΈΠΌΠΈ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΌΠΈ RAT-ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°ΠΌΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ нСстандартной срСды.

ΠžΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΠ΅Ρ‚ΡΡ созданиС физичСского Π΄Π°ΠΌΠΏΠ° (bit-for-bit copy) памяти с использованиСм Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎ-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… комплСксов (Cellebrite UFED, Magnet AXIOM, FTK Imager, X-Ways Forensics). Π”Π°Π½Π½Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ позволяСт ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊΠΎ всСм сСкторам памяти, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΡƒΠ΄Π°Π»Ρ‘Π½Π½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ систСмныС Ρ€Π°Π·Π΄Π΅Π»Ρ‹, нСдоступныС Π² ΡˆΡ‚Π°Ρ‚Π½ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅ Ρ€Π°Π±ΠΎΡ‚Ρ‹ ОБ. ΠšΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΎΠ±Ρ€Π°Π· снабТаСтся Ρ…ΡΡˆ-суммами (MD5, SHA-256) для обСспСчСния нСизмСнности ΠΈ Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠΉ цСнности.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ выполняСтся Π΄Π°ΠΌΠΏ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ памяти с использованиСм спСциализированных ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ (WinPMEM, DumpIt, LiME для Linux) для ΠΏΠΎΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅Π³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° бСсфайловых ΡƒΠ³Ρ€ΠΎΠ·.

3.2. Π€Π°Π·Π° 2: БтатичСский Π°Π½Π°Π»ΠΈΠ· Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ² Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡ‚Π΅ΠΌΡ‹Β πŸ”πŸ“

Π Π°Π±ΠΎΡ‚Π° вСдётся с ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹ΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ памяти, Ρ‡Ρ‚ΠΎ ΠΈΡΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…. Π”Π°Π½Π½Ρ‹ΠΉ этап Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚:

  • ВосстановлСниС Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΉ структуры:Β ΠŸΠΎΡΡ‚Ρ€ΠΎΠ΅Π½ΠΈΠ΅ ΠΏΠΎΠ»Π½ΠΎΠ³ΠΎ Π΄Π΅Ρ€Π΅Π²Π° Ρ„Π°ΠΉΠ»ΠΎΠ², Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π΄Π°Π½Π½Ρ‹Π΅ систСмных ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.
  • Анализ Ρ‚ΠΎΡ‡Π΅ΠΊ пСрсистСнтности: ИсслСдованиС всСх ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°Π²Ρ‚ΠΎΠ·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ: ΠΊΠ»ΡŽΡ‡ΠΈ рССстра Run, RunOnce, слуТбы (services), ΠΏΠ»Π°Π½ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊ Π·Π°Π΄Π°Ρ‡ (Task Scheduler), DLL-инТСкция Ρ‡Π΅Ρ€Π΅Π· AppInit_DLLs, ΠΏΠ°ΠΏΠΊΠΈ Π°Π²Ρ‚ΠΎΠ·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.
  • ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй:Β Π‘Ρ€Π°Π²Π½Π΅Π½ΠΈΠ΅ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй исполняСмых Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠ² с эталонными Π±Π°Π·Π°ΠΌΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ.
  • Π‘Ρ€Π°Π²Π½Π΅Π½ΠΈΠ΅ Ρ…ΡΡˆ-сумм: ВыявлСниС нСсоотвСтствий Π² систСмных Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ°Ρ… ΠΈ исполняСмых Ρ„Π°ΠΉΠ»Π°Ρ…, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ Π½Π° Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Π°.
  • Анализ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ²: ИсслСдованиС ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² систСмных событий (Windows Event Log, syslog, logcat для Android), истории сСтСвых ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ, записСй калСндаря, Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… SMS/MMS.
  • Поиск ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ (IoC): ВыявлСниС извСстных сигнатур, Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΡ‘Π½ ΠΊΠΎΠΌΠ°Π½Π΄Π½Ρ‹Ρ… сСрвСров (C2), Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½Ρ‹Ρ… строк Π² ΠΊΠΎΠ΄Π΅ ΠΈΠ»ΠΈ ΠΈΠΌΡ‘Π½ Ρ„Π°ΠΉΠ»ΠΎΠ² с использованиСм YARA-ΠΏΡ€Π°Π²ΠΈΠ».
  • Анализ Π°Π»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² Π΄Π°Π½Π½Ρ‹Ρ… (ADS) для NTFSΒ ΠΈ Ρ‚Π΅Π½Π΅Π²Ρ‹Ρ… ΠΊΠΎΠΏΠΈΠΉ (Volume Shadow Copy), Π³Π΄Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΡΠΎΡ…Ρ€Π°Π½ΡΡ‚ΡŒΡΡ ΡƒΠ΄Π°Π»Ρ‘Π½Π½Ρ‹Π΅ ΡˆΠΏΠΈΠΎΠ½Ρ‹.

3.3. Π€Π°Π·Π° 3: Π€ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠ° ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ памяти ΠΈ динамичСский Π°Π½Π°Π»ΠΈΠ·Β πŸ§ πŸ”¬

Π”Π°Π½Π½Ρ‹ΠΉ этап примСняСтся для обнаруТСния Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ слоТных ΡƒΠ³Ρ€ΠΎΠ·, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ бСсфайловоС ПО, Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Ρ‹ ΠΈ кастомноС шпионскоС ПО.

  • Анализ Π΄Π°ΠΌΠΏΠΎΠ² памяти:Β Π‘ использованиСм Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΎΠ² Volatility 3 ΠΈ Rekall выполняСтся парсинг структур Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы Π² Π΄Π°ΠΌΠΏΠ΅ памяти. Π’Ρ‹ΡΠ²Π»ΡΡŽΡ‚ΡΡ скрытыС процСссы, Π²Π½Π΅Π΄Ρ€Ρ‘Π½Π½Ρ‹Π΅ DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ, ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ сСтСвыС сокСты, Ρ…ΡƒΠΊΠΈ Π² систСмныС структуры ядра.
  • ΠŸΠΎΠ²Π΅Π΄Π΅Π½Ρ‡Π΅ΡΠΊΠΈΠΉ Π°Π½Π°Π»ΠΈΠ· Π² ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС (пСсочницС): ИсполнСниС ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Ρ„Π°ΠΉΠ»ΠΎΠ² Π² Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС с ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ΠΎΠΌ всСх дСйствий: систСмныС Π²Ρ‹Π·ΠΎΠ²Ρ‹, созданиС Π½ΠΎΠ²Ρ‹Ρ… процСссов, ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ доступа ΠΊ Ρ‡ΡƒΠ²ΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ (гСолокация, ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Ρ‹, ΠΌΠΈΠΊΡ€ΠΎΡ„ΠΎΠ½), установка сСтСвых соСдинСний. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹: Cuckoo Sandbox, ANY.RUN, Joe Sandbox.
  • Анализ сСтСвой активности: РСконструкция сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈΠ· Π΄Π°ΠΌΠΏΠΎΠ² ΠΈ Π»ΠΎΠ³ΠΎΠ². ВыявлСниС Π°Π½ΠΎΠΌΠ°Π»ΡŒΠ½Ρ‹Ρ… DNS-запросов (DGA β€” Domain Generation Algorithm), соСдинСний с IP-адрСсами, ассоциированными с кибСрпрСступной инфраструктурой, TLS-Ρ€ΡƒΠΊΠΎΠΏΠΎΠΆΠ°Ρ‚ΠΈΠΉ с самоподписанными сСртификатами.
  • Π ΡƒΡ‡Π½ΠΎΠΉ рСвСрс-ΠΈΠ½ΠΆΠΈΠ½ΠΈΡ€ΠΈΠ½Π³: ДизассСмблированиС ΠΈ Π°Π½Π°Π»ΠΈΠ· ΠΊΠΎΠ΄Π° с использованиСм IDA Pro, Ghidra, radare2 для восстановлСния Π»ΠΎΠ³ΠΈΠΊΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹, Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² маскировки.

3.4. Π€Π°Π·Π° 4: Π”ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈ ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΠ°Ρ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡΒ πŸ“œβš–οΈ

ВсС выявлСнныС Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚Ρ‹ ΡΠ²ΡΠ·Ρ‹Π²Π°ΡŽΡ‚ΡΡ Π² Π»ΠΎΠ³ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ, Π΄ΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‰ΡƒΡŽ Ρ„Π°ΠΊΡ‚ установки ΠΈ функционирования шпионского ПО. Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΎΡ„ΠΎΡ€ΠΌΠ»ΡΡŽΡ‚ΡΡ Π² Π²ΠΈΠ΄Π΅ структурированного экспСртного Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΈΠΌΠ΅Π΅Ρ‚ ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ силу ΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использовано Π² судСбных процСссах. Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚:

  • ΠŸΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² с Ρ…ΡΡˆ-суммами ΠΈ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€Π°ΠΌΠΈ;
  • ОписаниС повСдСния шпионской ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹;
  • ΠžΡ†Π΅Π½ΠΊΡƒ ΠΎΠ±ΡŠΡ‘ΠΌΠ° скомпромСтированных Π΄Π°Π½Π½Ρ‹Ρ…;
  • ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ПО ΠΏΠΎ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠ°ΠΌ MITRE ATT&CK.
  1. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Π°Ρ Π±Π°Π·Π°: тСхнологичСский стСк экспСртного исслСдования

Π­Ρ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ зависит ΠΎΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ инструмСнтария. НиТС прСдставлСна систСматизация инструмСнтов ΠΏΠΎ этапам Π°Π½Π°Π»ΠΈΠ·Π°.

Π­Ρ‚Π°ΠΏ Π°Π½Π°Π»ΠΈΠ·Π° ΠšΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΡ инструмСнтов ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ НазначСниС
Π˜Π·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… ΠšΡ€ΠΈΠΌΠΈΠ½Π°Π»ΠΈΡΡ‚ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ сборщики Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective, FTK Imager Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ физичСских Π΄Π°ΠΌΠΏΠΎΠ², ΠΈΠ·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ², криминалистичСскоС ΠΊΠΎΠΏΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅
Анализ ΠΎΠ±Ρ€Π°Π·ΠΎΠ² Анализаторы Ρ„Π°ΠΉΠ»ΠΎΠ²Ρ‹Ρ… систСм X-Ways Forensics, EnCase, Autopsy, The Sleuth Kit Поиск скрытых ΠΈ ΡƒΠ΄Π°Π»Ρ‘Π½Π½Ρ‹Ρ… Ρ„Π°ΠΉΠ»ΠΎΠ², Π°Π½Π°Π»ΠΈΠ· ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ…, рСконструкция Π²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎΠΉ ΡˆΠΊΠ°Π»Ρ‹
Анализ памяти Π€Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΈ Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ Volatility 3, Rekall, Memgrep ΠŸΠ°Ρ€ΡΠΈΠ½Π³ структур ОБ Π² Π΄Π°ΠΌΠΏΠ΅ памяти, выявлСниС скрытых процСссов ΠΈ Ρ…ΡƒΠΊΠΎΠ²
БтатичСский Π°Π½Π°Π»ΠΈΠ· ДСкомпиляторы ΠΈ Π°Π½Π°Π»ΠΈΠ·Π°Ρ‚ΠΎΡ€Ρ‹ jadx (для Android APK), Ghidra, IDA Pro, radare2 ДСкомпиляция, Π°Π½Π°Π»ΠΈΠ· исходного ΠΊΠΎΠ΄Π°, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ обфускации
ДинамичСский Π°Π½Π°Π»ΠΈΠ· БистСмы пСсочниц Cuckoo Sandbox, ANY.RUN, Joe Sandbox, CAPE Автоматизированный ΠΎΡ‚Ρ‡Ρ‘Ρ‚ ΠΎ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ ΠΎΠ±Ρ€Π°Π·Ρ†Π°: Π²Ρ‹Π·ΠΎΠ²Ρ‹ API, сСтСвыС соСдинСния
Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ Π°Π½Π°Π»ΠΈΠ· Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹ ΠΈ Π°Π½Π°Π»ΠΈΠ·Π°Ρ‚ΠΎΡ€Ρ‹ Wireshark, NetworkMiner, Zeek, Suricata ΠŸΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚ ΠΈ Π°Π½Π°Π»ΠΈΠ· Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Π²Ρ‹Π΄Π΅Π»Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ², ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ C2-соСдинСний
АппаратныС срСдства Π‘Π»ΠΎΠΊΠΈΡ€Π°Ρ‚ΠΎΡ€Ρ‹ записи, ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°Ρ‚ΠΎΡ€Ρ‹ Tableau Forensic Bridge, Logicube Falcon, SPI-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°Ρ‚ΠΎΡ€ ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΠ΅ криминалистичСской чистоты, Π°Π½Π°Π»ΠΈΠ· ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠΈ UEFI
  1. ЭмпиричСскиС кСйсы: Π²Π°Ρ€ΠΈΠ°Ρ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π²Π΅ΠΊΡ‚ΠΎΡ€ΠΎΠ² проникновСния

РассмотрСниС Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… случаСв ΠΈΠ· экспСртной ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ позволяСт ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ мСтодологичСскиС ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡ‹ ΠΈ ΠΏΡ€ΠΎΠ΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·ΠΈΠ΅ ΡƒΠ³Ρ€ΠΎΠ·, Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‰ΠΈΡ… ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния.

КСйс β„–1: Атака Ρ‡Π΅Ρ€Π΅Π· Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ поставок β€” опСрация Β«Π€ΠΎΡ€ΡƒΠΌΠ½Ρ‹ΠΉ Ρ‚Ρ€ΠΎΠ»Π»ΡŒΒ»Β πŸŽ―πŸ¦ 

Π’ ΠΌΠ°Ρ€Ρ‚Π΅ 2025 Π³ΠΎΠ΄Π° экспСртами Kaspersky GReAT Π±Ρ‹Π»Π° выявлСна Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ спланированная Π°Ρ‚Π°ΠΊΠ°, направлСнная ΠΏΡ€ΠΎΡ‚ΠΈΠ² сотрудников БМИ, государствСнных ΡƒΡ‡Ρ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠΉ, Π½Π°ΡƒΡ‡Π½Ρ‹Ρ… ΠΈ финансовых ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ Π½Π° Ρ‚Π΅Ρ€Ρ€ΠΈΡ‚ΠΎΡ€ΠΈΠΈ России. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΡƒΡŽ рассылку, маскируя письма ΠΏΠΎΠ΄ ΠΏΡ€ΠΈΠ³Π»Π°ΡˆΠ΅Π½ΠΈΡ Π½Π° экспСртный Ρ„ΠΎΡ€ΡƒΠΌ Β«ΠŸΡ€ΠΈΠΌΠ°ΠΊΠΎΠ²ΡΠΊΠΈΠ΅ чтСния». Достаточно Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒ ссылку Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅ Chrome β€” устройство Π·Π°Ρ€Π°ΠΆΠ°Π»ΠΎΡΡŒ Π±Π΅Π· ΠΊΠ°ΠΊΠΈΡ…-Π»ΠΈΠ±ΠΎ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… дСйствий со стороны ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Атака использовала ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° высокий ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ‚ΠΎΡ€ΠΎΠ².

Π¦Π΅Π½Ρ‚Ρ€Π°Π»ΡŒΠ½Ρ‹ΠΌ элСмСнтом ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ стал Π·Π»ΠΎΠ²Ρ€Π΅Π΄ LeetAgent, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎ структурС ΠΈ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ°ΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ соотвСтствовал коммСрчСскому ΡˆΠΏΠΈΠΎΠ½ΡΠΊΠΎΠΌΡƒ ПО Dante, созданному ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Memento Labs (Π±Ρ‹Π²ΡˆΠ°Ρ HackingTeam). Π­Ρ‚ΠΎ ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Ρ‘Π½Π½Ρ‹ΠΉ случай использования Dante Π² Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠ°Ρ…. Π”Π°Π½Π½Ρ‹ΠΉ кСйс дСмонстрируСт Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ Π³Π»ΡƒΠ±ΠΎΠΊΠΎΠ³ΠΎ рСвСрс-ΠΈΠ½ΠΆΠΈΠ½ΠΈΡ€ΠΈΠ½Π³Π° ΠΈ сопоставлСния ΠΊΠΎΠ΄Π° с извСстными ΠΎΠ±Ρ€Π°Π·Ρ†Π°ΠΌΠΈ коммСрчСского шпионского ПО Π² Ρ…ΠΎΠ΄Π΅ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния.

КСйс β„–2: Π¨ΠΈΡ€ΠΎΠΊΠΎΠΌΠ°ΡΡˆΡ‚Π°Π±Π½Π°Ρ акция иностранных ΡΠΏΠ΅Ρ†ΡΠ»ΡƒΠΆΠ±Β πŸ›οΈπŸ‡·πŸ‡Ί

Π€Π΅Π΄Π΅Ρ€Π°Π»ΡŒΠ½Π°Ρ слуТба бСзопасности Π Π€ раскрыла ΠΈ Π·Π°Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π»Π° ΡˆΠΈΡ€ΠΎΠΊΠΎΠΌΠ°ΡΡˆΡ‚Π°Π±Π½ΡƒΡŽ Π°ΠΊΡ†ΠΈΡŽ иностранных спСцслуТб ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ ΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΡŽ Π½Π° ΠΌΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Ρ… срСдствах ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΈ высокопоставлСнных российских государствСнных слуТащих врСдоносного ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния. ВрСдоносноС ПО использовалось для снятия ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ Π΄Π°Π½Π½Ρ‹Ρ…, ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΈΠ²Π°Π½ΠΈΡ вСдущихся ΠΏΠ΅Ρ€Π΅Π³ΠΎΠ²ΠΎΡ€ΠΎΠ², Π° Ρ‚Π°ΠΊΠΆΠ΅ нСгласного акустичСского ΠΈ видСоконтроля обстановки Π²Π±Π»ΠΈΠ·ΠΈ элСктронных устройств.

Π‘ использованиСм тСхничСских возмоТностСй ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… ΠΌΠ΅ΠΆΠ΄ΡƒΠ½Π°Ρ€ΠΎΠ΄Π½Ρ‹Ρ… IT-ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ†ΠΈΠΉ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΠ»ΠΎΡΡŒ скрытоС нСсанкционированноС снятиС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ с устройств ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΈ. БлСдствСнным ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ Π€Π‘Π‘ Π²ΠΎΠ·Π±ΡƒΠΆΠ΄Π΅Π½ΠΎ ΡƒΠ³ΠΎΠ»ΠΎΠ²Π½ΠΎΠ΅ Π΄Π΅Π»ΠΎ ΠΏΠΎ ΡΡ‚Π°Ρ‚ΡŒΡΠΌ 272 ΠΈ 273 УК Π Π€. Π”Π°Π½Π½Ρ‹ΠΉ кСйс ΠΈΠ»Π»ΡŽΡΡ‚Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ государствСнный ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ ΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния Π½Π° Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π½Π΅.

КСйс β„–3: ЀизичСский доступ ΠΈ сСмСйная слСТка Π½Π° AndroidΒ πŸ‘¨β€πŸ‘©β€πŸ‘¦πŸ“±

Π’ экспСртной ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ зафиксирован случай, ΠΊΠΎΠ³Π΄Π° супруг установил шпионскоС ПО Π½Π° Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½ ΠΆΠ΅Π½Ρ‹, имСя физичСский доступ ΠΊ устройству Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠ΅ Ρ‚Ρ€Ρ‘Ρ… ΠΌΠΈΠ½ΡƒΡ‚. ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° ΠΌΠ°ΡΠΊΠΈΡ€ΠΎΠ²Π°Π»Π°ΡΡŒ ΠΏΠΎΠ΄ ΡΠΈΡΡ‚Π΅ΠΌΠ½ΡƒΡŽ слуТбу ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ (ΠΎΠ΄Π½Π° Π±ΡƒΠΊΠ²Π° Π² ΠΈΠΌΠ΅Π½ΠΈ ΠΏΠ°ΠΊΠ΅Ρ‚Π° ΠΎΡ‚Π»ΠΈΡ‡Π°Π»Π°ΡΡŒ ΠΎΡ‚ ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠΉ), ΠΈΠΌΠ΅Π»Π° Π½Π΅ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΡƒΡŽ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΡƒΡŽ подпись ΠΈ Π·Π°ΠΏΡ€Π°ΡˆΠΈΠ²Π°Π»Π° доступ ΠΊ ΠΌΠΈΠΊΡ€ΠΎΡ„ΠΎΠ½Ρƒ, ΠΊΠ°ΠΌΠ΅Ρ€Π΅, Π³Π΅ΠΎΠ»ΠΎΠΊΠ°Ρ†ΠΈΠΈ, ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π°ΠΌ ΠΈ SMS.

Π’ Ρ…ΠΎΠ΄Π΅ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния спСциалисты:

  1. ΠŸΠΎΠΌΠ΅ΡΡ‚ΠΈΠ»ΠΈ устройство Π² ΡΠΊΡ€Π°Π½ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ ΠΊΠ°ΠΌΠ΅Ρ€Ρƒ.
  2. Π‘ΠΎΠ·Π΄Π°Π»ΠΈ ΠΏΠΎΠ±ΠΈΡ‚ΠΎΠ²ΡƒΡŽ копию памяти.
  3. Выявили Π°Π½ΠΎΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΠ°ΠΊΠ΅Ρ‚ ΠΏΠΎ Π½Π΅ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΠΈΡŽ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи.
  4. ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ Π² систСмных Π»ΠΎΠ³Π°Ρ… рСгулярныС соСдинСния с ΡƒΠ΄Π°Π»Ρ‘Π½Π½Ρ‹ΠΌ сСрвСром.
  5. ΠŸΠΎΠ΄Ρ‚Π²Π΅Ρ€Π΄ΠΈΠ»ΠΈ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π² ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС.

ЭкспСртноС Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Π±Ρ‹Π»ΠΎ использовано Π² судСбном процСссС, супруг ΠΏΡ€ΠΈΠ·Π½Π°Π» Ρ„Π°ΠΊΡ‚ установки.

КСйс β„–4: ΠšΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ шпионаТ Ρ‡Π΅Ρ€Π΅Π· ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ MDM Π½Π° iPhoneΒ πŸ’πŸ”§

Π ΡƒΠΊΠΎΠ²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒ коммСрчСской ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ обратился с ΠΆΠ°Π»ΠΎΠ±ΠΎΠΉ Π½Π° ΠΎΡΠ²Π΅Π΄ΠΎΠΌΠ»Ρ‘Π½Π½ΠΎΡΡ‚ΡŒ ΠΊΠΎΠ½ΠΊΡƒΡ€Π΅Π½Ρ‚ΠΎΠ² ΠΎ Π΅Π³ΠΎ коммСрчСских прСдлоТСниях. Π’ Ρ…ΠΎΠ΄Π΅ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния Π½Π° Π΅Π³ΠΎ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΌ iPhone Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ нСизвСстный ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ MDM, Π½Π΅ связанный с ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΎΠΉ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ. ΠŸΡ€ΠΎΡ„ΠΈΠ»ΡŒ прСдоставлял ΠΏΡ€Π°Π²Π° Π½Π° ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ устройством, доступ ΠΊ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ ΠΏΠΎΡ‡Ρ‚Π΅, ΠΊΠ°Π»Π΅Π½Π΄Π°Ρ€ΡŽ ΠΈ ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π°ΠΌ, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ стирания Π΄Π°Π½Π½Ρ‹Ρ….

Π”Π°Π½Π½Ρ‹ΠΉ Π²Π΅ΠΊΡ‚ΠΎΡ€ проникновСния Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π΅Π½ для Ρ†Π΅Π»Π΅Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ Π½Π° руководящий состав ΠΈ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΉ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ (Настройки β†’ ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ β†’ VPN ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ устройством). Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ экспСртизы послуТило основаниСм для слуТСбного расслСдования.

КСйс β„–5: Атака Π½Π° Π°Π²ΠΈΠ°Π·Π°Π²ΠΎΠ΄ Ρ‡Π΅Ρ€Π΅Π· Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ΅ Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠ΅ (CargoTalon)Β πŸ“§πŸ­

ЭкспСртами SEQRITE Labs Π±Ρ‹Π»Π° выявлСна ΠΊΠΈΠ±Π΅Ρ€ΡˆΠΏΠΈΠΎΠ½ΡΠΊΠ°Ρ опСрация CargoTalon, Ρ†Π΅Π»ΡŒΡŽ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π±Ρ‹Π» российский Π°Π²ΠΈΠ°Π·Π°Π²ΠΎΠ΄. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали адрСсный Ρ„ΠΈΡˆΠΈΠ½Π³, маскируя врСдонос ΠΏΠΎΠ΄ Ρ‚Ρ€Π°Π½ΡΠΏΠΎΡ€Ρ‚Π½ΡƒΡŽ Π½Π°ΠΊΠ»Π°Π΄Π½ΡƒΡŽ. Письмо содСрТало Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠ΅, ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‰Π΅Π΅ Ρ‚ΠΎΠ²Π°Ρ€Π½ΠΎ-Ρ‚Ρ€Π°Π½ΡΠΏΠΎΡ€Ρ‚Π½ΡƒΡŽ Π½Π°ΠΊΠ»Π°Π΄Π½ΡƒΡŽ, Π½ΠΎ вмСсто ZIP-Π°Ρ€Ρ…ΠΈΠ²Π° Π²Π½ΡƒΡ‚Ρ€ΠΈ находился исполняСмый Ρ„Π°ΠΉΠ» Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π° DLL. LNK-Ρ„Π°ΠΉΠ» Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π» PowerShell-скрипт, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ сканировал ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠ΅ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ ΠΈ создавал Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ Excel, ΡΠΊΡ€Ρ‹Π²Π°ΡŽΡ‰ΠΈΠΉ врСдоносный ΠΌΠΎΠ΄ΡƒΠ»ΡŒ EAGLET β€” DLL-ΠΈΠΌΠΏΠ»Π°Π½Ρ‚ для сбора ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ управлСния Π·Π°Ρ€Π°ΠΆΡ‘Π½Π½Ρ‹ΠΌΠΈ систСмами.

Π”Π°Π½Π½Ρ‹ΠΉ кСйс ΠΈΠ»Π»ΡŽΡΡ‚Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ Π²Π΅ΠΊΡ‚ΠΎΡ€ проникновСния Ρ‡Π΅Ρ€Π΅Π· ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€ΠΈΡŽ Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ сСгмСнт ΠΈ ΠΏΠΎΠ΄Ρ‡Ρ‘Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ повСдСнчСского Π°Π½Π°Π»ΠΈΠ·Π° ΠΈ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° PowerShell-активности Π² Ρ€Π°ΠΌΠΊΠ°Ρ… поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния.

  1. ΠŸΡ€ΠΈΠ·Π½Π°ΠΊΠΈ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ: ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Ρ‹ для ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ†ΠΈΠΈ экспСртного исслСдования

На основС систСматизации эмпиричСских Π΄Π°Π½Π½Ρ‹Ρ…Β Β ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ², ΡƒΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠ΅ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния ΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ провСдСния ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΉ диагностики.

6.1. АномальноС ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΡƒΡΡ‚Ρ€ΠΎΠΉΡΡ‚Π²Π°Β πŸ“‰

  • Быстрая разрядка аккумуляторной Π±Π°Ρ‚Π°Ρ€Π΅ΠΈ Π±Π΅Π· Π²ΠΈΠ΄ΠΈΠΌΡ‹Ρ… ΠΏΡ€ΠΈΡ‡ΠΈΠ½ (шпионскиС ΠΌΠΎΠ΄ΡƒΠ»ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ Π² Ρ„ΠΎΠ½ΠΎΠ²ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅).
  • ΠŸΠ΅Ρ€Π΅Π³Ρ€Π΅Π² корпуса ΠΏΡ€ΠΈ отсутствии рСсурсоёмких Π·Π°Π΄Π°Ρ‡.
  • Π—Π°ΠΌΠ΅Π΄Π»Π΅Π½ΠΈΠ΅ Ρ€Π°Π±ΠΎΡ‚Ρ‹, зависания, ΡΠ°ΠΌΠΎΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹Π΅ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.

6.2. ΠŸΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Π°Ρ сСтСвая Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒΒ πŸŒ

  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½Ρ‹ΠΉ расход ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°.
  • ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ нСизвСстных исходящих соСдинСний Π² нСстандартныС ΠΏΠΎΡ€Ρ‚Ρ‹ (1443, 8080, 5555, 31337).
  • ΠΠ½ΠΎΠΌΠ°Π»ΡŒΠ½Ρ‹Π΅ DNS-запросы ΠΊ Π΄ΠΎΠΌΠ΅Π½Π°ΠΌ с высоким коэффициСнтом энтропии.

6.3. ΠŸΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Π°Ρ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π² ΡΠΈΡΡ‚Π΅ΠΌΠ΅Β βš™οΈ

  • НаличиС Π½Π΅Π·Π½Π°ΠΊΠΎΠΌΡ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, процСссов ΠΈΠ»ΠΈ слуТб с ΠΈΠΌΠ΅Π½Π°ΠΌΠΈ, ΠΏΠΎΡ…ΠΎΠΆΠΈΠΌΠΈ Π½Π° систСмныС (sysupdate, winkey64).
  • Π‘Π°ΠΌΠΎΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Π°Ρ активация ΠΊΠ°ΠΌΠ΅Ρ€Ρ‹, ΠΌΠΈΠΊΡ€ΠΎΡ„ΠΎΠ½Π° ΠΈΠ»ΠΈ Π²ΡΠΏΡ‹ΡˆΠΊΠΈ.
  • ΠŸΠΎΡΡ‚ΠΎΡ€ΠΎΠ½Π½ΠΈΠ΅ ΡˆΡƒΠΌΡ‹, эхо ΠΈΠ»ΠΈ Ρ‰Π΅Π»Ρ‡ΠΊΠΈ Π²ΠΎ врСмя Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Π½Ρ‹Ρ… Ρ€Π°Π·Π³ΠΎΠ²ΠΎΡ€ΠΎΠ².
  • ΠžΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΈΠ»ΠΈ нСкоррСктная Ρ€Π°Π±ΠΎΡ‚Π° антивирусного ПО.
  • ΠœΠΎΠ΄ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмныС Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ (выявляСтся ΠΏΠΎ Π½Π΅ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΠΈΡŽ Ρ…ΡΡˆ-сумм).

6.4. ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠ³ΠΎ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΡΒ πŸ•΅οΈ

  • Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ дСмонстрируСт Π·Π½Π°Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Ρƒ Π½Π΅Π³ΠΎ Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ (Π΄Π΅Ρ‚Π°Π»ΠΈ Ρ€Π°Π·Π³ΠΎΠ²ΠΎΡ€ΠΎΠ², пСрСписки, ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Ρ‹ пСрСдвиТСния).
  • ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… сообщСний со странным Π½Π°Π±ΠΎΡ€ΠΎΠΌ символов.
  1. ΠŸΡ€ΠΎΡ†Π΅ΡΡΡƒΠ°Π»ΡŒΠ½Ρ‹Π΅ основания ΠΈ ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΠ°Ρ квалификация

Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния ΠΌΠΎΠ³ΡƒΡ‚ ΡΠ»ΡƒΠΆΠΈΡ‚ΡŒ основаниСм для возбуТдСния ΡƒΠ³ΠΎΠ»ΠΎΠ²Π½ΠΎΠ³ΠΎ Π΄Π΅Π»Π°. Π’ российском ΠΏΡ€Π°Π²ΠΎΠ²ΠΎΠΌ ΠΏΠΎΠ»Π΅ установка Ρ‚Π°ΠΊΠΎΠ³ΠΎ ПО Π±Π΅Π· согласия ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΏΠΎΠ΄ΠΏΠ°Π΄Π°Π΅Ρ‚ ΠΏΠΎΠ΄ дСйствиС ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… статСй Π£Π³ΠΎΠ»ΠΎΠ²Π½ΠΎΠ³ΠΎ кодСкса Π Π€Β :

  • Π‘Ρ‚Π°Ρ‚ΡŒΡ 137Β β€” ΠΠ°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ нСприкосновСнности частной ΠΆΠΈΠ·Π½ΠΈ;
  • Π‘Ρ‚Π°Ρ‚ΡŒΡ 138Β β€” ΠΠ°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ Ρ‚Π°ΠΉΠ½Ρ‹ пСрСписки, Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Π½Ρ‹Ρ… ΠΏΠ΅Ρ€Π΅Π³ΠΎΠ²ΠΎΡ€ΠΎΠ², ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹Ρ…, Ρ‚Π΅Π»Π΅Π³Ρ€Π°Ρ„Π½Ρ‹Ρ… ΠΈΠ»ΠΈ ΠΈΠ½Ρ‹Ρ… сообщСний;
  • Π‘Ρ‚Π°Ρ‚ΡŒΡ 138.1Β β€” НСзаконный ΠΎΠ±ΠΎΡ€ΠΎΡ‚ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… тСхничСских срСдств, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… для нСгласного получСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ;
  • Π‘Ρ‚Π°Ρ‚ΡŒΡ 272Β β€” НСправомСрный доступ ΠΊ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ;
  • Π‘Ρ‚Π°Ρ‚ΡŒΡ 273Β β€” Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅, использованиС ΠΈ распространСниС врСдоносных ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ.

Для Ρ‚ΠΎΠ³ΠΎ Ρ‡Ρ‚ΠΎΠ±Ρ‹ экспСртноС Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΈΠΌΠ΅Π»ΠΎ силу Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π°, ΠΎΠ½ΠΎ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΎ с соблюдСниСм всСх ΠΏΡ€ΠΎΡ†Π΅ΡΡΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… Π½ΠΎΡ€ΠΌ: экспСртиза назначаСтся Π½Π° основании постановлСния слСдоватСля ΠΈΠ»ΠΈ опрСдСлСния суда (ст. 195 УПК Π Π€), экспСрт прСдупрСТдаСтся ΠΎΠ± отвСтствСнности ΠΏΠΎ ст. 307 УК Π Π€ Π·Π° Π΄Π°Ρ‡Ρƒ Π·Π°Π²Π΅Π΄ΠΎΠΌΠΎ Π»ΠΎΠΆΠ½ΠΎΠ³ΠΎ Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ (ст. 57 УПК Π Π€).

Π’ случаях, ΠΊΠΎΠ³Π΄Π° трСбуСтся ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΠ½Π°Π΄Π»Π΅ΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΊ числу срСдств, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… для нСгласного получСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, суд Π΄ΠΎΠ»ΠΆΠ΅Π½ Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°Ρ‚ΡŒ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌ Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ΠΌ спСциалиста ΠΈΠ»ΠΈ экспСрта. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Π±Π΅Π· ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния ΠΏΡ€ΠΈΠ²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ Π²ΠΈΠ½ΠΎΠ²Π½ΠΎΠ³ΠΎ ΠΏΠΎ ΡΡ‚Π°Ρ‚ΡŒΠ΅ 138.1 УК Π Π€ становится Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹ΠΌ.

  1. Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅: пСрспСктивы развития ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ

РаспространСниС sophisticated-ΡƒΠ³Ρ€ΠΎΠ· Π² Π²ΠΈΠ΄Π΅ кастомизированных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ слСТСния, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ обфускации ΠΊΠΎΠ΄Π°, Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ сСртификаты ΠΈ ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ нСизвСстных уязвимостСй (zero-day), Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π°Π΄Π΅ΠΊΠ²Π°Ρ‚Π½ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΎΡ‚Π²Π΅Ρ‚Π°. Π‘Π°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ диагностики с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΠΎΡ‚Ρ€Π΅Π±ΠΈΡ‚Π΅Π»ΡŒΡΠΊΠΈΡ… антивирусов нСэффСктивны ΠΏΡ€ΠΎΡ‚ΠΈΠ² соврСмСнных ΡƒΠ³Ρ€ΠΎΠ·.

ΠŸΠ΅Ρ€ΡΠΏΠ΅ΠΊΡ‚ΠΈΠ²Ρ‹ развития ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ поиска ΠΈ выявлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ-слСТСния связаны с ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠ΅ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² искусствСнного ΠΈΠ½Ρ‚Π΅Π»Π»Π΅ΠΊΡ‚Π° для повСдСнчСского Π°Π½Π°Π»ΠΈΠ·Π°, Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ΠΌ инструмСнтов Π°Π½Π°Π»ΠΈΠ·Π° Π³Π΅Ρ‚Π΅Ρ€ΠΎΠ³Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… (статичСская информация, Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅Π΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅, внСшний Ρ‚Ρ€Π°Ρ„ΠΈΠΊ)Β , Π° Ρ‚Π°ΠΊΠΆΠ΅ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ ΠΏΡ€ΠΎΡ†Π΅ΡΡΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² фиксации Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π².

ИсслСдования Π² области Π΄Π΅Ρ‚Π΅ΠΊΡ†ΠΈΠΈ Android Trojan spyware Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‚, Ρ‡Ρ‚ΠΎ ΠΊΠΎΠΌΠ±ΠΈΠ½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ‚Ρ€Ρ‘Ρ… Ρ‚ΠΈΠΏΠΎΠ² ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² (статичСская информация ΠΎ структурС прилоТСния, взаимодСйствиС с систСмой Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра, сСтСвой Ρ‚Ρ€Π°Ρ„ΠΈΠΊ) позволяСт Π΄ΠΎΡΡ‚ΠΈΡ‡ΡŒ точности обнаруТСния Π΄ΠΎ 96,81%. Π”Π°Π½Π½Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ экстраполирован Π½Π° Π°Π½Π°Π»ΠΈΠ· стационарных ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… систСм ΠΈ являСтся пСрспСктивным Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ развития экспСртных ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΈΠΊ.

ΠžΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΊ спСциалистам позволяСт Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ врСдоносноС ПО, Π½ΠΎ ΠΈ провСсти ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚-Π°Π½Π°Π»ΠΈΠ·, ΠΎΡ†Π΅Π½ΠΈΡ‚ΡŒ ΡƒΡ‰Π΅Ρ€Π± ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ Π²ΠΎΡΡΡ‚Π°Π½ΠΎΠ²Π»Π΅Π½ΠΈΡŽ бСзопасности.

ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ ΠΈ инструмСнтарии экспСртного ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΡΒ πŸ”—

НовыС ΡΡ‚Π°Ρ‚ΡŒΠΈ:

🟩 Поиск шпионского ПО

Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… тСхнологий…

🟩 Поиск шпионского ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΊΠ°ΠΊ корпоративная ΠΈ правовая Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ

Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… тСхнологий…

🟩 ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ шпионского ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния: дСловая мСтодология Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΈ коммСрчСской Ρ‚Π°ΠΉΠ½Ρ‹

Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… тСхнологий…

πŸ†˜ ЭкспСртиза ΠΏΡ€ΠΎΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΎΠ³ΠΎ оборудования: Π½Π°ΡƒΡ‡Π½Ρ‹Π΅ основы, ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ исслСдования ΠΈ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ° установлСния ΠΏΡ€ΠΈΡ‡ΠΈΠ½ ΠΏΠΎΠ»ΠΎΠΌΠΎΠΊ

Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… тСхнологий…

πŸ†˜ УстановлСниС Π³ΠΈΠ΄Ρ€ΠΎΡƒΠ΄Π°Ρ€Π°: Π½Π°ΡƒΡ‡Π½Ρ‹Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, ΡƒΠ»ΠΈΡ‡Π½Ρ‹Π΅ хитрости УК ΠΈ ΠΊΠ°ΠΊ Π·Π°ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΈΡ… Π·Π°ΠΏΠ»Π°Ρ‚ΠΈΡ‚ΡŒ

Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ исслСдования Π’ условиях повсСмСстной Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… тСхнологий…