CYBINT

by sumexxbog ·2026-07-02 06:12:52 ·1 replies ·4 views
#56
· Сигнал: В мониторинге Telegram-канала обнаружено сообщение: «Продам архив внутренних документов FinCorp, 2024 год. Связь в Signal».
· Действия:
1. Верификация: Находим самого продавца. Через поиск по его номеру Signal (если он указан в других утечках) находим его аккаунт на хакерском форуме. Скачиваем его аватар. Проводим обратный поиск по аватару через Yandex.Images. Находим тот же аватар на заброшенном аккаунте VK, где в друзьях есть сотрудник FinCorp.
2. Анализ слива: Покупаем (в рамках легального расследования) или находим выложенную для примера часть архива. Анализируем метаданные документов (exiftool document.pdf). В поле Author или Creator видим имя пользователя andrey.ivanov. Сопоставляем с найденным аккаунтом VK.
3. Установление источника: Внутри документов находим скрытые комментарии или уникальные ID принтера. Устанавливаем, что документы печатались на принтере в отделе бухгалтерии. Сопоставляем временные метки создания файлов с графиком работы подозреваемого сотрудника.
4. Вывод: Построена цепочка: сотрудник (мотив) -> метод извлечения (флешка/почта) -> посредник (аккаунт на форуме) -> точка утечки (Telegram-канал). Это позволяет не только установить виновного, но и понять канал утечки, чтобы перекрыть его.

ИНСТРУМЕНТАЛЬНАЯ БАЗА ДЛЯ РАБОЧЕГО ПРОЦЕССА

· Разведка инфраструктуры: Amass, Subfinder, Shodan CLI (shodan domain target-corp.com).
· Анализ кода и утечек: truffleHog, Ghidra (для дизассемблирования), strings (утилита Linux для поиска печатных строк в бинарных файлах).
· Мониторинг и оповещение: Собственные скрипты на Python с библиотеками telethon, twint, requests. Сервис Google Alerts для отслеживания появления компании в новостях об инцидентах.
· Корреляция и анализ угроз: MISP, Maltego (для визуализации связей между хакерами, форумами и инструментами).

КРИТИЧЕСКАЯ МЫСЛЬ: ПРЕВРАЩЕНИЕ ИНФОРМАЦИИ В РАЗВЕДДАННЫЕ
Главное в киберразведке — не сбор гигабайтов данных, а способность задавать правильные вопросы:

· Кому выгодна эта атака? (Конкуренты, активисты, государственные группы?)
· Что необычного в методах? (Используется редкий эксплойт или самописное ПО?)
· Что будет следующей целью? (После атаки на сайт обычно следуют атаки на персонал через фишинг).

Это превращает список IP-адресов в понимание тактики, техники и процедур (TTP) противника, что позволяет предсказать и предотвратить его следующие шаги.

Login to reply.