Приложение В. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" СТО БР ИББС-1.3-2016" (принят и введен в действие Приказом Банка России от 30.11.2016 N ОД-4234)

1. Примеры технических средств выполнения криминалистической копии (создания образа) запоминающих устройств.

В качестве программных средств выполнения криминалистической копии (создания образа) возможно использовать:

- программы (утилиты) dd и dc3dd для UNIX-систем;

- программы FTK Imager, EnCase Forensic Imager или Redline для Windows-систем:

- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;

- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;

- рекомендации, определенные в разделе 4.2.1 "Copying File from Media" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3];

- программные средства, описанные в разделе "Копирование содержимого энергонезависимых носителей информации" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].

В качестве программных средств вычисления значений хэш-функций возможно использовать:

- программы md5sum или sha256sum для Linux-систем;

- программы Memoryze для Windows и MacOS-систем:

- программу dff для Windows и Linux-систем.

В качестве специализированных программных средств - "write-blocker" - возможно использовать:

- программу dff для Windows и Linux-систем;

- рекомендации, определенные в разделе 4.2.2 "Data File Integrity" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

2. Примеры технических средств выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем.

В качестве технических средств выполнения копирования содержимого оперативной памяти СВТ возможно использовать:

- программы FTK Imager, Redline, MoonSols Windows Memory Toolkit и Memoryze для Windows-систем;

- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;

- программу Memoryze для MacOS-систем;

- программу dff для Windows и Linux-систем;

- программные средства, описанные в разделе "Копирование энергозависимых данных, лог-файлов сетевого оборудования и сетевого трафика" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].

В качестве технических средств получения данных операционных систем о сетевых конфигурациях возможно использовать:

- команды ifconfig и arp для UNIX и MacOS-систем;

- команду ipconfig, netstat, arp и route для Windows-систем;

- набор утилит Sysinternals для Windows-систем;

- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

В качестве технических средств получения данных операционных систем о сетевых соединениях возможно использовать:

- программу netstat для UNIX, Windows и MacOS-систем;

- команды nbstat и net для Windows-систем;

- набор утилит Sysinternals для Windows-систем;

- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

В качестве технических средств получения данных операционных систем о запущенных процессах возможно использовать:

- команды ps, top и w для UNIX и MacOS-систем;

- программу (утилиту) Task Manager, программу Memoryze и набор утилит Sysinternals для Windows систем;

- программу Memoryze для MacOS-систем;

- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;

- программу dff для Windows и Linux-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

В качестве технических средств получения данных операционных систем об открытых файлах возможно использовать:

- команду Isof для UNIX и MacOS систем;

- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;

- набор утилит Sysinternals для Windows-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

В качестве технических средств получения данных операционных систем об открытых сессиях доступа возможно использовать:

- команду w для UNIX и MacOS-систем;

- команду netstat для Windows-систем (с параметром - anorse);

- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;

- набор утилит Sysinternals для Windows-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3]

В качестве технических средств получения данных о зарегистрированных пользователях, времени их последней аутентификации возможно использовать:

- команды last, who и w для UNIX и MacOS-систем;

- команду lastlog для Linux-систем;

- команду net для Windows-систем;

- набор утилит Sysinternals для Windows-систем.

В качестве программных средств получения системных даты и времени операционной системы возможно использовать:

- команду date для UNIX и MacOS-систем;

- команду date, time, nlsinfo для Windows-систем;

- программы Rekall Memory Forensic Framework или Volatility Framework для Windows, MacOS, Linux-систем;

- набор утилит Sysinternals для Windows-систем;

- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].

3. В качестве технических средств получения данных об атрибутах и структуре файлов операционной системы возможно использовать:

- команду file для UNIX и MacOS-систем;

- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;

- программу dff для Windows и Linux-систем;

- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;

- для анализа исполняемых файлов - программы packerid, pescanner, exescan, PEiD, PeStudio, CFF Explorer;

- для анализа PDF-файлов - программы PeePDF, PDFiD, AnalyzePDF, pdfextract, pdfwalker, pyew, pdf-parser, pdf.py, pdfsh, Malzilla;

- для анализа файлов MS Office - программы OfficeMalScanner, Offvis, peOLEScanner;

- для анализа графических файлов - программы Photo Investigator, Adroit Photo Forensics, Exiftool;

4. Для анализа протоколов (журналов) регистрации web-серверов и прокси-серверов возможно использовать программу Log Analysis Tool Kit (LATK).

5. В качестве технических средств копирования и анализа сетевого трафика возможно использовать:

- программы tcpdump и Wireshark для систем Windows или Linux;

- программы Network Miner и Foremost для Linux-систем;

- программу Kismet (для анализа беспроводных сетей) для Linux-систем;

- программу ntop (для анализа высокопроизводительных сетей) для Windows, Linux и MacOS-систем:

- программу ssldump (для анализа SSL/TLS-трафика);

- программу DINO (для визуализации сетевых соединений и геолокации IP адресов);

- технические средства, указанные в разделе 6.2.1 "Packet Sniffer and Protocol Analyzers" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [2];

- технические средства, описанные в разделе "Копирование энергозависимых данных, лог-файлов сетевого оборудования и сетевого трафика" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].

6. В качестве технических средств анализа аномальных или вредоносных действий, совершаемых файлами <1>, возможно использовать программу Cockoo Sandbox.

--------------------------------

<1> Указанные технические средства имеют общее наименование "Песочница".

7. В качестве технических средств анализа сетевого и телекоммуникационного оборудования Cisco возможно использовать команду show (с ключами clock detail, version, running-config, startup-config, users, who, log, debug, processes, ip route, ip ospf, ip bgp, cdp neighbors, ip arp, interfaces, ip sockets, tcp brief all, ip nat translations, ip cef, snmp).

8. В качестве технических средств анализа мобильных устройств возможно использовать программы Belkasoft Evidence Center, .XRY для iOS, Android, Windows Phone, Blackberry-систем.

9. В качестве программных средств определения владельца IP/DNS-адреса возможно использовать:

- web-сервис whois;

- команду traceroute для Linux-систем или tracert для Windows-систем;

- команду ip source-track на маршрутизаторах Cisco определенных моделей.

10. В качестве платформы для проведения анализа собранных технических данных возможно использовать платформы REMnux, PALADIN Forensic Suite, которые содержат ряд программных средств, указанных в настоящем приложении, которые позволяют проводить анализ вредоносных и подозрительных файлов, создание криминалистических копий оперативной памяти, запоминающих устройств и сетевого трафика.

Библиография

[1] ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования".

[2] Офиц. сайт. URL: http://www.nsrl.nist.gov/ (дата обращения: 25.12.2015)

[3] NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

[4] Инструкция по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB). Офиц. сайт URL: http://www.group-ib.ru/brochures/Group-IB_dbo_instruction.pdf (дата обращения: 25.12.2015).

В качестве дополнительных источников информации в части сбора и анализа технических данных организации БС РФ могут использоваться следующие источники:

[5] NIST 800-150 Guide to Cyber Threat Information Sharing.

[6] NIST 800-92 Guide to Computer Security Log Management.

[7] ISO/IEC 27037:2012 Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence.