AV
Alexander Kremlev
Хакеры кстати за собой журналы тогда подтёрли и диск закосячили, но на этом и спалились, что система нештатно завершила работу.
Спалились, что стал очевиден взлом или спалились, что их нашли?
Size: a a a
2018 November 02
LS
Alexander Kremlev
Хакеры кстати за собой журналы тогда подтёрли и диск закосячили, но на этом и спалились, что система нештатно завершила работу.
Просто система была говно
LS
И вообще - какой смысл им был журналы тереть?
AS
Для тех кто учится, напомню один из симуляторов системы управления, включае простые сценарии атак: Virtualplant
VirtuaPlant is a Industrial Control Systems simulator which adds a “similar to real-world control logic” to the basic “read/write tags” feature of most PLC simulators. Paired with a game library and 2d physics engine, VirtuaPlant is able to present a GUI simulating the “world view” behind the control system allowing the user to have a vision of the would-be actions behind the control systems.
https://wroot.org/projects/virtuaplant/
VirtuaPlant is a Industrial Control Systems simulator which adds a “similar to real-world control logic” to the basic “read/write tags” feature of most PLC simulators. Paired with a game library and 2d physics engine, VirtuaPlant is able to present a GUI simulating the “world view” behind the control system allowing the user to have a vision of the would-be actions behind the control systems.
https://wroot.org/projects/virtuaplant/
AS
AS
Неплохой документ о тестировании систем обнаружения атак (IDS) в промышленных протоколах: Henrik Waagsnes, "SCADA Intrusion Detection System Test Framework". Описаны эксперименты обнаружения тестовых атак на протоколы 60870-5-104, DNP3, Modbus силами Snort и Suricata c доставкой алертов в SIEM (ELK). Используется готовые наборы сигнатур, трех категорий;
- signature-based rules,
- protocol based rules and
- traffic-pattern-based rules.
http://hdl.handle.net/11250/2455016
- signature-based rules,
- protocol based rules and
- traffic-pattern-based rules.
http://hdl.handle.net/11250/2455016
AK
Спалились, что стал очевиден взлом или спалились, что их нашли?
При аварийном завершении работы информация осталась в hiberfill, оттуда всю цепочку событий и восстановил.
AK
И вообще - какой смысл им был журналы тереть?
Чтоб на оператора подумали.
AV
Alexander Kremlev
При аварийном завершении работы информация осталась в hiberfill, оттуда всю цепочку событий и восстановил.
Так толку с нее. Спалились =поймали или нет?
AK
Так толку с нее. Спалились =поймали или нет?
Толку? Важно не только поймать нарушителя, важно чтобы не наказали невиновных. Мало кто думает об этом, а все выводы сделанные в ходе расследования приводят к последствиям. Часто наказывают людей непричастных, назначают козлов отпущения. Полнота и достоверность собранной информации может оказать серьезное влияние на судьбу конкретных людей.
AK
А по тому случаю действовала организованная группа, шестёрок поймали но предъявить им было особо нечего, несуна снявшего деньги объявили в федеральный розыск, что дальше я не знаю. Половину средств успели заморозить на счетах и вернули через суд спустя 2 года.
AK
Касательно 2 крупных банков отказавшихся заморозить средства я сделал для себя вывод.
AK
В даркнете я нашёл объявление о продаже юр лиц на счета которых выводили деньги, телефон продавца естественно оказался зарегистрированным на подставное лицо. Там вообще прикольная торговая площадка была по типу алиэкспресса где торговали липовыми фирмами, базами и прочим. Так умилительно было читать в местных тредах, что этот жулик он нечестный, кидает других жуликов.
AK
Это касается и ИБ в асутп, по факту отказа оборудования, остановки будет расследование. От полноты и достоверности информации будет зависеть кого накажут и по делу ли. Причастные лица будут все сваливать друг на друга, на разработчика, на кибертеррористов..,
AV
Alexander Kremlev
Толку? Важно не только поймать нарушителя, важно чтобы не наказали невиновных. Мало кто думает об этом, а все выводы сделанные в ходе расследования приводят к последствиям. Часто наказывают людей непричастных, назначают козлов отпущения. Полнота и достоверность собранной информации может оказать серьезное влияние на судьбу конкретных людей.
Трудно было наказать невиновных было при использовании RDP злоумышленниками. Это как штирлиц с парашютом. Вообще вся история звучит странно, как из журнала хакер начала 90х. А того, кто машину и сеть вообще так херово защищал - наказали?