Виклик
На комп’ютері співробітника було виявлено файл зі шкідливим програмним забезпеченням. Хоча він був автоматично видалений, відділ кібербезпеки повинен був переконатися, що заражений файл був остаточно видалений з системи.
Завдання, які необхідно виконати:
- Знайти решту заражених файлів.
- З’ясувати причину зараження.
- Запобігти майбутнім атакам.
Однак установі не вистачало відповідного досвіду та інструментів, необхідних для розслідування.
Оскільки під загрозою опинилися конфіденційні державні дані та критичні системні операції, ставки були високими.
Тому установа звернулася до FS Group за послугою реагування на інциденти.
Рішення
- Group FS використовувала свою платформу цифрової криміналістики (Autopsy Digital Forensics), щоб дослідити SSD-накопичувач із зараженою файловою системою.
- Шляхом пошуку ключових слів із зараженого документа фахівець FS Group знайшов папку, яка, найімовірніше, містила заражений файл. Далі, використовуючи ключові слова з цієї папки, фахівець FS Group знайшов антивірусні логи з інформацією про шкідливе програмне забезпечення.
- Результати антивірусної перевірки показали, що файли Word були заражені файлом “vbaProject.bin”. “Microsoft Visual Basic for Applications (VBA)” – це двійковий файл, що містить код програм на мові VBA для автоматизації процесів у продуктах Microsoft Office, таких як Excel, Word, PowerPoint та інших. Він може містити макроси, які виконують певні завдання в програмах з підтримкою VBA.
Використовуючи цю інформацію, Group FS припустила, що документи були заражені шкідливими макросами Office. Коли користувач завантажує документ Office, довіряє неправдивим сповіщенням та погоджується увімкнути макроси, шкідливий код виконується і заражає систему користувача.
Результат
В результаті експерти FS Group
- Знайшли джерело зараження файлів у системі.
- Виявили вразливість системи безпеки, тобто те, як шкідливе програмне забезпечення заразило комп’ютер співробітника.
- Підготували звіт на 20 сторінок зі скріншотами, довідками та посиланнями.
- Оптимізували час розслідування, і на проведення ретельного розслідування інциденту та підготовку звіту пішло менше тижня.
- Надали підтримку команді кібербезпеки клієнта та вжили своєчасних і належних заходів для забезпечення захисту організації критичної інфраструктури.
кібератак з використанням шкідливого програмного забезпечення відбулося у 2023 році.
Середня вартість витоку даних у державному секторі у 2023 році.
CISO вважають, що їм необхідно швидше реагувати на інциденти.
