Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 46

Обнаруженные файлы и данные системных журналов указывают на осуществление удаленного неправомерного доступа к операционной системе посредством программ удаленного доступа и вредоносных компьютерных программ, предназначенных для несанкционированного уничтожения, модификации и копирования компьютерной информации.

Как показал опрос бухгалтера, при открытии некоторых полученных по электронной почте файлов программа, предназначеннаядля просмотра документов, «ругнулась» на поврежденные файлы, но на этот незначительный инцидент никто внимания не обратил. Рассмотрим анализ другого похожего инцидента.

На компьютере после восстановления файлов произведен анализ журналов событий[38] операционной системы. Журналы событий содержат записи о программных и аппаратных событиях.

В журнале событий SysEvent.Evt (рис. 2.6) содержатся многочисленные записи (в дневное и ночное время):

Удаленный сеанс от клиента по имени а превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Рис. 2.6.Журнал событий SysEvent.Evt

Данные сообщения могут указывать на открытый порт 3389 исследуемого компьютера, на который через локальную сеть (или сеть Интернет) осуществлялись попытки соединения программного обеспечения, использующего протокол RDP (англ. Remote Desktop Protocol) — протокол удаленного рабочего стола.

Функция удаленного рабочего стола предоставляет доступ ко всем программам, ресурсам и возможностям компьютера с любого другого компьютера.

В результате восстановления и анализа удаленных данных выявлено, что в директории

«C: \Documents and Settings\user\Application Data\AdobeTemp»

находились следующие файлы (рис. 2.7):

rundll.exe

TeamViewer_Desktop.exe

TeamViewer_Resource_en.dll

rdw.pg

tv_x64.exe

tv_w32.exe

tv_x64.dll

tv_w32.dll

installvpn.pg

scankey.pg

tv.cfg

Рис. 2.7.Журнал событий SysEvent.Evt

В результате поиска информации среди восстановленных файлов также обнаружен файл, являющийся лог-файлом программы «TeamViewer», используемой для удаленного доступа:

\Documents and Settings\user\Application Data\TeamViewer\ TeamViewer6_Logfile.log

В процессе восстановления и анализа удаленной информации обнаружены следующие файлы (рис. 2.8):

Рис. 2.8.Журнал событий SysEvent.Evt

— Documents and Settings\user\Local Settmgs\Temp\Новый документ в формате Word.rar/_>/^>/Новый документ в формате Word.exe;

— Documents and Settings\user\Local Settings\Temp\файлы. zip// Новый документ в формате Word.exe.

Файл «Новый документ в формате Word» с расширением «.exe» размещался в двух архивах «Новый документ в формате Word.rar» и «файлы. zip», обнаруженных во временной папке пользователя.