Журнал усн электронный: Книга учета доходов и расходов (КУДиР) на УСН и патенте

Разное

Содержание

Как вести книгу доходов на патентной системе налогообложения

Казалось бы, какая разница: на патенте налоги не зависят от доходов, 1% взносов считают от потенциального дохода, налоговых деклараций нет. Но для налоговой разница есть, потому что ИП на патенте она тоже регулярно проверяет.

Налоговую интересует:

  1. Не превысил ли ИП лимиты? При доходах больше 60 млн за год по всем патентам — применять эту систему уже нельзя. Соответственно, ИП должен заплатить налог с начала года по УСН или ОСНО, а бюджет — получить больше денег. Конечно, опасность такой проверки есть у бизнеса с большими оборотами. К ИП с парой сотрудников вряд ли придут. 

  2. Не должен ли ИП платить за несколько патентов? Например, проверяют межрегионального перевозчика. Формально, он должен получать все заказы в своём регионе. Налоговая запрашивает КУДиР, составляет список интересных ей операций — и запрашивает соответствующие договоры у предпринимателя. Договоры заключили в другом регионе — значит, можно доначислять налог.

     

Как заполнять книгу учёта доходов

Пользуйтесь стандартной формой КУД. Она утверждена приказом Минфина от 22.10.2012 № 135н и является обязательной. На каждый налоговый период должна приходиться своя КУД. При совмещении патентов можно вести одну книгу по всем видам деятельности, вести по каждому направлению бизнеса свой документ — необязательно. 

В книге не нужно записывать расходы, а ещё — поступления, которые не являются доходами. Например, переводы с личного счёта на расчётный — это не доходы, они не приносят экономической выгоды. Записывайте именно доходы и обязательно указывайте: что за операция произошла и каким первичным документом она подтверждается. Для безналичной операции подойдут дата и номер платёжного поручения.

При возврате денег за товар или услугу тоже сделайте запись в книгу. Запишите сумму возврата со знаком минус. 

Можно ли вести книгу доходов в электронном виде

Книгу доходов можно вести как на бумаге, так и в электронном виде — см. п. 1.4 приложения 4 к приказу Минфина № 135н. Если выбрали электронный вид, после завершения налогового периода книгу нужно распечатать, прошнуровать и пронумеровать. На последней странице следует указать количество страниц, заверить данные сведения подписью и скрепить печатью (если есть). 

Если предприниматель хочет вести книгу на бумаге, правильно будет сделать все эти операции перед заполнением книги. Хотя мы не слышали о штрафах за такое нарушение.

В любом случае, регистрировать книгу в инспекции не нужно — такого требования нет в порядке заполнения, и подобные разъяснения Минфин приводит давно, например, см. письмо Минфина России от 11.02.2013 № 03-11-11/62.

Налоговая получает книгу, только когда запрашивает её. У многих предпринимателей КУД никогда не запрашивали. 

Эльба сформирует книгу учёта доходов и подготовит платёжки по патенту. Попробуйте все возможности онлайн-бухгалтерии 30 дней бесплатно.

Попробовать

Ответственность за отсутствие КУД

Если предприниматель не ведет книгу учета доходов, то налоговая инспекция может его оштрафовать по ст. 120 НК РФ. Дело в том, что отсутствие книги классифицируется как грубое нарушение правил учета доходов. Размер штрафа составит:

  • 10 тыс. ₽, если нарушение происходило в течение одного налогового периода;
  • 30 тыс. ₽, если нарушение затрагивает несколько налоговых периодов.

Книга учета доходов и расходов УСН | Образец — бланк — форма

Книгу учета доходов и расходов организаций и индивидуальных предпринимателей, применяющих упрощенную систему налогообложения (УСН или УСНО

) ведут организации и индивидуальные предприниматели, применяющие упрощенную систему налогообложения, в которой в хронологической последовательности на основе первичных документов позиционным способом отражают все хозяйственные операции за отчетный (налоговый) период.

Перейти к новой редакции книги доходов и расходов действующей с 2009 года по 2011.

Порядок заполнения книги учета доходов и расходов организаций и индивидуальных предпринимателей, применяющих упрощенную систему налогообложения. УСНО (в ред. Приказа Минфина РФ от 27.11.2006 N 152н, с изм., внесенными решением Верховного Суда РФ от 26.05.2006 N ГКПИ06-499)

Общие требования

1.1. Организации и индивидуальные предприниматели, применяющие упрощенную систему налогообложения (далее — налогоплательщики), ведут Книгу учета доходов и расходов организаций и индивидуальных предпринимателей, применяющих упрощенную систему налогообложения (далее — Книга учета доходов и расходов), в которой в хронологической последовательности на основе первичных документов позиционным способом отражают все хозяйственные операции за отчетный (налоговый) период.

1.2. Налогоплательщики должны обеспечивать полноту, непрерывность и достоверность учета показателей своей деятельности, необходимых для исчисления налоговой базы и суммы налога.

1.3. Ведение Книги учета доходов и расходов, а также документирование фактов предпринимательской деятельности осуществляется на русском языке. Первичные учетные документы, составленные на иностранном языке или языках народов Российской Федерации, должны иметь построчный перевод на русский язык.

1.4. Книга учета доходов и расходов может вестись как на бумажных носителях, так и в электронном виде. При ведении Книги учета доходов и расходов в электронном виде налогоплательщики обязаны по окончании отчетного (налогового) периода вывести ее на бумажные носители. На каждый очередной налоговый период открывается новая Книга учета доходов и расходов.

1.5. Книга учета доходов и расходов должна быть прошнурована и пронумерована. На последней странице пронумерованной и прошнурованной налогоплательщиком Книги учета доходов и расходов указывается количество содержащихся в ней страниц, которое подтверждается подписью руководителя организации (индивидуального предпринимателя) и скрепляется печатью организации (индивидуального предпринимателя — при ее наличии), а также заверяется подписью должностного лица налогового органа и скрепляется печатью налогового органа до начала ее ведения. На последней странице пронумерованной и прошнурованной налогоплательщиком Книги учета доходов и расходов, которая велась в электронном виде, и выведена по окончании налогового периода на бумажные носители, указывается количество содержащихся в ней страниц, которое подтверждается подписью руководителя организации (индивидуального предпринимателя) и скрепляется печатью организации (индивидуального предпринимателя — при ее наличии), а также заверяется подписью должностного лица налогового органа и скрепляется печатью налогового органа.

1.6. Исправление ошибок в Книге учета доходов и расходов должно быть обоснованно и подтверждено подписью руководителя организации (индивидуального предпринимателя) с указанием даты исправления и печатью организации (индивидуального предпринимателя — при ее наличии).

 

Сроки сдачи отчетности в 2021 году ООО на УСН, ОСНО, патенте — Контур.Экстерн

В статье расскажем, о каких изменениях в отчетности с 2021 года должен знать бухгалтер. Это подсказки с видами отчетов по каждой системе налогообложения, бланками, сроками и особенностями сдачи. Проверяйте себя каждый квартал, чтобы вовремя сдавать отчеты и не забывать об изменениях в формах и сроках. Отслеживайте сроки отчетов и платежей в календаре Экстерна.

Шпаргалка подходит организациям и предпринимателям на всех системах налогообложения. Изучите информацию и составьте для себя график сдачи деклараций, расчетов и сведений на 2021 год.

На ОСНО отчетности больше, чем на специальных налоговых режимах. Бухгалтерам организаций и ИП на общей системе в 2021 году надо сдать больше десяти отчетов.

Организации на ОСНО отчитываются по всем налогам и взносам, которые платят на ОСНО: налог на прибыль, НДС, НДФЛ, налог на имущество организаций, акцизы. А еще надо отчитаться по сотрудникам. ИП на ОСН не сдают декларацию по налогу на имущество, а вместо отчета по прибыли сдают 3-НДФЛ, других отличий от организаций нет.

Декларация по НДС

Организации и предприниматели на ОСНО отчитываются по НДС каждый квартал (ст. 174 НК РФ). Платить налог сразу не обязательно, его можно разбить на три части и платить один раз в месяц. Внимательно заполняйте декларацию и не допускайте отражения недостоверных сведений. Сверьте счета-фактуры с контрагентами, чтобы не подать налоговой разные данные. Например, если вы приняли к зачету налог, который поставщик не отразил, у инспекции возникнут вопросы и она потребует пояснений.

Кто сдает. Российские организации и ИП на ОСН или ЕСХН, налоговые агенты и неплательщики-НДС, иностранные организации, импортеры, комиссионеры, доверительные управляющие, участники товариществ.

Сроки сдачи. В 2021 году сдать декларацию по НДС нужно не позднее следующих сроков:

  • за 4 квартал 2020 года — 25 января 2021 года;
  • за 1 квартал 2021 года — 26 апреля 2021 года;
  • за 2 квартал 2021 года — 26 июля 2021 года;
  • за 3 квартал 2021 года — 25 октября 2021 года.

За четвертый квартал 2021 года отчитаться нужно уже в январе 2022 года. Если ничего не изменится, крайний срок будет установлен на 25 января.

В сроках учтен перенос даты сдачи с выходных и праздничных дней на рабочие. Например, для декларации за I квартал срок сдачи выпадает на воскресенье. Его переносят на понедельник, чтобы не заставлять бизнес работать в выходной.

Бланк и формат сдачи. Форма декларации, действующая с IV квартала 2020 года, утверждена приказом ФНС от 19.08.2020 № ЕД-7-3/591@. Сдавать декларацию по НДС нужно в электронной форме. Право использовать бумажный бланк осталось только у некоторых налоговых агентов и тех, кто платит НДС с электронных услуг.

Посредники-неплательщики НДС вместо декларации сдают электронный журнал учета счетов фактур. Это нужно сделать до 20-го числа месяца, следующего за отчетным кварталом.

Декларация по налогу на прибыль

Сдавать декларацию по налогу на прибыль надо по итогам года, а также в конце каждого отчетного периода. Отчетные периоды зависят от выбранного способа уплаты авансовых платежей. Их можно вносить как за каждый месяц, так и за первый квартал, полугодие, девять месяцев. По итогам года налогоплательщик платит налог на прибыль, уменьшенный на авансы. Если получен убыток, налог платить не нужно.

Кто сдает. Российские и иностранные организации, ответственные участники КГН, налоговые агенты. Организации на спецрежиме сдают декларацию, если налоговый агент не удержал налог с их доходов.

Сроки сдачи. Годовую декларацию все сдают в единый срок. Отчитаться по итогам 2020 года нужно до 29 марта 2021 года. Сроки сдачи деклараций за отчетные периоды зависят от порядка уплаты авансовых платежей.

Если вы платите квартальные и ежемесячные авансовые платежи или только квартальные, декларацию надо сдать в следующие сроки:

  • за 2020 год — 29 марта 2021 года;
  • 1 квартал — 28 апреля 2021 года;
  • полугодие — 28 июля 2021 года;
  • 9 месяцев — 28 октября 2021 года.

Если вы платите ежемесячные авансовые платежи по фактической прибыли, отчитываться надо ежемесячно не позднее 28-го числа месяца, следующего за отчетным. Не забывайте, что при выпадении даты сдачи на праздник или выходной она переносится на следующий рабочий день.

Бланк и формат сдачи. Отчитывайтесь по форме, утвержденной приказом ФНС от 11.09.2020 № ЕД-7-3/655. Сдать декларацию на бумаге могут организации, у которых в 2020 году среднесписочная численность не превысила 100 человек, и вновь созданные организации, уложившиеся в этот лимит по численности работников. Остальные отчитываются в электронной форме.

Кто сдает. Организации, у которых есть недвижимость, облагаемая налогом на имущество. Отчитаться нужно, даже если все имущество подпадает под льготу или его остаточная стоимость равна нулю.

Сроки сдачи. Отчитывайтесь один раз в год. Для декларации за 2020 год срок — не позднее 30 марта 2021 года.

Бланк и формат сдачи. Форма декларации за 2020 год утверждена приказом ФНС от 28.07.2020 № ЕД-7-21/475@. В электронной форме сдать отчет должны крупнейшие налогоплательщики, организации, у которых в 2020 году среднесписочная численность превысила 100 человек, и вновь созданные организации с численностью работников более 100. Остальные могут отчитываться на бумаге. Смотрите инструкцию по работе с налогом.

3-НДФЛ

Кто сдает. ИП на ОСНО, предприниматели, утратившие право на спецрежим, и те, кто получил доход, по которому физлица должны сами платить НДФЛ. А также нотариусы, адвокаты и другие лица, занимающиеся частной практикой.

Сроки сдачи. Сдать декларацию за 2020 год нужно до 30 апреля 2021 года. Если ИП прекратил деятельность до конца года, декларацию надо сдать в течение пяти рабочих дней со дня внесения сведений в ЕГРИП.

Бланк и формат сдачи. Форма декларации за 2020 год утверждена приказом ФНС от 28.08.2020 № ЕД-7-11/615@. Сдать отчет в налоговую можно лично, по почте или через МФЦ. Электронную форму принимают по ТКС и через личный кабинет налогоплательщика. Предприниматели, у которых среднесписочная численность в 2020 году превысила 100 человек, могут отчитываться только электронно. Образец заполнения 3-НДФЛ.

УСН — один из спецрежимов, который делает работу бизнеса и жизнь бухгалтера проще. На упрощенке не нужно платить и отчитываться по трем налогам: прибыли, НДС и налогу на имущество. Это приходится делать лишь в исключительных случаях.

Все упрощенцы-работодатели должны отчитываться по страховым взносам и доходам сотрудников, а также передавать сведения о них в фонды. Эти отчеты рассмотрим далее.

Специфический отчет для упрощенки — декларация по УСН.

Кто сдает. Организации и предприниматели на упрощенке, даже если не ведут деятельность или взяли налоговые каникулы.

Сроки сдачи. Для организаций и ИП сроки отличаются. Организации отчитываются за 2020 год до 31 марта 2021 года. Предприниматели — до 30 апреля 2021 года.

Бланк и формат сдачи. Форма декларации не менялась давно, она утверждена приказом ФНС России от 26.02.2016 № ММВ-7-3/99@. Отчитаться можно на бумаге и электронно. Для бумажной формы установлено то же ограничение — среднесписочная численность не более 100 человек.

ЕНВД — удобный спецрежим, на котором сумма налогов не зависит от фактических доходов. С 1 января 2021 года ЕНВД отменят, поэтому сдавать декларацию больше не придется. Но отчет за четвертый квартал 2020 года никто не отменял, а сдать его нужно в 2021 году.

Кто сдает. Организации и предприниматели, которые работают на ЕНВД.

Сроки сдачи. Отчитываться нужно ежеквартально. Последнюю декларацию по ЕНВД за IV квартал 2020 года нужно будет сдать до 20 января 2021 года. Других отчетов в 2021 году не предполагается.

Бланк и формат сдачи. Сдать отчет можно в бумажном и электронном виде. Форма декларации утверждена приказом ФНС от 26.06.2018 № ММВ-7-3/414@.

Годовая бухотчетность состоит из баланса, отчета о финансовых результатах и приложений к ним. Если отчетность подлежит обязательному аудиту, то вместе с ней нужно сдать аудиторское заключение. Все организации сдают отчетность в ФНС, а вот в Росстат ее сдавать больше не нужно. Исключение — организации, в отчетности которых есть сведения государственной тайны.

Кто сдает. Организации на любых режимах налогообложения. ИП учет вести не обязаны и могут не сдавать отчетность.

Сроки сдачи. Сдать отчетность нужно в течение трех месяцев после окончания 2020 года, то есть до конца марта. Аудиторское заключение сдавайте либо вместе с отчетностью, либо в течение 10 рабочих дней с даты его составления.

Бланк и формат сдачи. Отчитаться и сдать аудиторское заключение нужно в электронном виде. Формы отчетов мы собрали в статье «Годовая бухгалтерская отчетность организации».

Основной вид деятельности нужно подтверждать каждый год, направляя соответствующее заявление и документы в ФСС. От него зависит тариф взносов на травматизм. Если не подтвердить вид деятельности, фонд выберет самый опасный вид деятельности из вашего перечня, придется платить взносы по повышенному тарифу.

Кто сдает. Организации-страхователи.

Сроки сдачи. Заявление по итогам 2020 года подайте до 15 апреля 2021 года.

Бланк и формат сдачи. Форма заявления дана в Приложении № 1 к Приказу Минздравсоцразвития от 31.01.2006 № 55. К нему нужно приложить справку-подтверждение из Приложения № 2 и копию пояснительной записки к бухбалансу.

У бухгалтеров, которые обслуживают организации и предпринимателей на спецрежимах, основную часть работы составляет отчетность по сотрудникам. Одни формы нужно сдавать каждый квартал, другие каждый месяц, а некоторые вообще привязаны к определенным событиям.

НДФЛ

Организации и ИП-работодатели являются налоговыми агентами. Они должны удержать с доходов своих работников НДФЛ и перечислить в бюджет. Для этого предусмотрен расчет 6-НДФЛ.

Кто сдает. ИП с сотрудниками и организации.

Сроки сдачи. Справки 2-НДФЛ за 2021 год со всеми «признаками» подаются вместе с 6-НДФЛ по итогам года как приложение к ним. Расчеты 6-НДФЛ нужно сдавать каждый квартал в следующие сроки:

  • за 2020 год — 1 марта 2021;
  • за 1 квартал 2021 года — 30 апреля 2021;
  • за полугодие 2021 года — 2 августа 2021;
  • за 9 месяцев 2021 года — 1 ноября 2021.

Бланк и формат сдачи. Форма расчета 6-НДФЛ утверждена Приказом ФНС России от 15.10.2020 № ЕД-7-11/753@. Его можно сдать в ИФНС на бумаге или электронно. Бумажная форма разрешена, если вы выплатили доход 10 людям или меньше.

Кто сдает. Организации и ИП, которые платят страховые взносы с доходов физлиц. Главы КФХ.

Сроки сдачи. Расчеты нужно подать за I квартал, полугодие, 9 месяцев и год. В 2021 году сроки следующие:

  • за 2020 год — 1 февраля 2021;
  • за 1 квартал 2021 года — 30 апреля 2021;
  • за полугодие 2021 года — 30 июля 2021;
  • за 9 месяцев 2021 года — 1 ноября 2021.

Бланк и формат сдачи. Способ сдачи расчета зависит от количества физлиц, которым вы начислили взносы в текущем периоде. Если их численность не превышает 10 человек, расчет можно сдать как на бумаге, так и электронно. Остальным доступен только электронный формат. Бланк и инструкцию по заполнению смотрите в статье.

Кто сдает. Все страхователи: организации и физлица, которые нанимают работников по трудовым договорам и договорам ГПХ, если в них есть такое условие.

Сроки сдачи. Сроки зависят от формы сдачи расчета: бумажная или электронная. В 2021 году крайние даты следующие:

ПериодДля электронной формыДля бумажной формы
2020 год25 января20 января
1 квартал 202126 апреля20 апреля
полугодие 202126 июля20 июля
9 месяцев 202125 октября20 октября

Бланк и формат сдачи. Бланк расчета 4-ФСС утвержден приказом ФСС от 26.09.2016 N 381. Способ сдачи зависит от среднесписочной численности в 2020 году. Если она превысила 25 человек, отчитываться нужно электронно, если нет можно выбрать бумажный формат.

Организации и ИП-страхователи регулярно сдают в ПФР отчетность по персучету. В список попадает ежемесячная СЗВ-М, ежеквартальная ДСВ-3 и ежегодная СЗВ-СТАЖ. Еще один отчет — СЗВ-ТД, его сдача привязана к изменению сведений о трудовой деятельности.

Формат сдачи зависит от того, на сколько лиц подаете сведения. Если их 24 и менее, сдать можно как на бумаге, так и электронно. Иначе — только электронно.

СЗВ-М — ежемесячная форма. Ее нужно сдавать каждый месяц не позднее 15-го числа следующего месяца. Помните о переносах сроков сдачи с выходных и праздников. Форма утверждена постановлением Правления ПФР от 15.04.2021 № 103П.

ДСВ-3 — ежеквартально сдают страхователи, которые перечисляют дополнительные страховые взносы на накопительную пенсию. На сдачу дано 20 календарных дней по окончании квартала, выходные и праздники из расчета не исключаются. Форма утверждена постановлением Правления ПФР от 09.06.2016 г. № 482п.

СЗВ-СТАЖ — ежегодная форма. Сдать отчет за 2020 год нужно до 1 марта 2021 года. Форма утверждена постановлением Правления ПФР от 06.12.2018 № 507п.

СЗВ-ТД сдавайте не позднее рабочего дня, следующего за днем оформления документов о приеме или увольнении сотрудника. Также форму надо сдать при переводе на другую работу, подаче заявления о продолжении ведения ТК или о представлении сведений о трудовой деятельности — до 15-го числа месяца, следующего за месяцем с событием. Форма утверждена постановлением Правления ПФР от 25.12.2019 № 730п.

Таким образом, организациям и предпринимателям с сотрудниками нужно помнить гораздо больше сроков, чем фирмам без работников. Чтобы не запутаться в датах и использовать только актуальные формы, пользуйтесь нашим календарем-шпаргалкой.

КУДИР для ИП на УСН 6 процентов: образец заполнения

Наши специалисты рассказывают обо всех нюансах, связанных с ведением КУДИР (Книгой учета доходов и расходов), которая предназначается для ИП на «упрощенке» — 6. В этой же статье опубликован образец ее заполнения

01.08.2016

Основные вопросы ИП на УСН 6% по ведению КУДИР:

1.     Нужно ли книгу заверять в налоговой службе?

    В налоговой службе КУДИР не заверяется уже с 2013 года. Но это не значит, что ИП может ее не вести совсем. Такой вид отчетной документации должен быть в наличии и регулярно заполняться, в противном случае ИП ждут штрафные санкции.

    Этот документ должен выдаваться по первому требованию сотрудников налоговой инспекции. Такое требование предъявляется только в письменном виде в определенных случаях, например, выездной проверке. Но вместе с декларационными документами по «упрощенке» КУДИР на проверку сотрудникам налоговой службы не сдается, значит, и заверять ее нет необходимости.

    2.     Как правильно вести КУДИР?

      Министерство финансов нашего государства утвердило определенную форму Книги учета доходов и расходов, специально рассчитанную для индивидуальных предпринимателей на «упрощенке» с процентной ставкой в 6% — приказ №135н (от 22. 10.12 г.). Но этой формой КУДИР могут пользоваться все ИП, что применяют УСН, вне зависимости объекта обложения налогами. Но правила ведения данного вида документации несколько отличаются.

      Бумажный вариант КУДИР ведется авторучкой, а электронный вариант – с помощью компьютера. Рассмотрим, как это нужно делать правильно в обоих вариантах.

      На бумаге:

      • распечатываются бланки;
      • пронумеровываются;
      • прошиваются;
      • скрепляются печатью (если таковая у ИП имеется в наличии) и подписью.

      В электронном варианте:

      • устанавливается специальная программа;
      • заполнение ведется в «экселе»;
      • в конце года заполненные бланки распечатываются, прошиваются и заверяются подписью и печатью.

      3.     Существуют ли особенности заполнения 1 раздела КУДИР в 2016 году?

        ИП, использующие «упрощенку» с процентной ставкой в 6%, часто испытывают трудности с заполнением 1 раздела КУДИР. В этот раздел нужно вносить доходы двух видов:

        • от реализации;
        •  вне реализации.

        Эти цифровые показатели нужно вносить в графу №4. А те доходы, которые относятся к необлагаемым, вообще не подлежат фиксации.

        В графу №2 вносят данные самого документа, на основании которого ИП получил прибыль – его номер и дату заполнения (например, кассовый чек). В случае, когда денежные средства перечислены сразу на расчетный счет, то в эту графу вносят реквизиты банковских выписок. Также для фиксирования доходов можно использовать накладные, различные акты (например, приемки-передачи имущества).

        Графа №3 предназначена для фиксирования содержания проведенной операции.

        При внесении требуемых сведений следует учитывать, что все записи ведутся строго в хронологическом порядке, в момент фактического поступления (это связано с тем, что при «упрощенке» используется кассовый метод).

        4.     Как заполнять раздел №1 КУДИР в 2016 году (с образцами и комментариями)?

          Также особое внимание следует уделить ситуации, когда денежные средства уже поступившие на счет ИП, нужно вернуть. В этом варианте цифровой показатель прописывается со знаком «минус» в разделе №1 – графа №4.

          К этому разделу следует составлять справку тем ИП, что применяют «упрощенку» с объектом налогообложения «доходы минус расходы» — порядок заполнения КУДИР, пункт 2.6. Для ИП с «упрощенкой» и объектом «доходы» цифровой показатель доходов, а именно их общую сумму, вносится в строку 010 справочной части.

          5.     Есть ли нюансы при заполнении раздела №4 КУДИР (для ИП с УСН с процентной ставкой 6%)?

            Раздел №4 КУДИР предназначен для фиксации страховых взносов. Для этого существуют различные графы:

            • №4 – пенсионные;
            • №6 – медстрахование.

            Чаще всего такие обязательные страховые взносы ИП отчисляют в конце года. В этом варианте цифровой показатель суммы вносят в ту часть таблицы, что соответствует 4 кварталу. При этом уменьшение налогов может быть произведено только после завершения отчетного периода.

            В случае, если перечисление взносов проводилось ежеквартально, то и фиксируются они соответственно. Специалисты считают такой варрант для ИП более выгодным, потому что могут уменьшиться не только налоги по итогам года, но и платежи по авансам.

            6.     Есть ли образец заполнения раздела №4 КУДИР с наличием рабочих и без таковых?

              Мы предлагаем для ознакомления образец заполнения раздела №4 КУДИР для ИП, что работают по «упрощенке» с процентной ставкой 6%, без наемных рабочих:

              В том случае, когда ИП нанимает рабочих, то в разделе №4 следует фиксировать:

              1. Взносы, отчисляемые с заработных плат рабочих.
              2. Пособия по больничным листам, которые ИП выплачивал из собственных финансов.
              3. Договорные платежи по добровольному страхованию.
              4. Фиксированные суммы страховых взносов, уплачиваемые за себя.

              Предлагаем образец ведения раздела №4 КУДИР для ИП с наемными рабочими:

              Файлы для скачивания

              Вырезанные записи в журнале $USN.

              Копаем еще глубже! | Майк Коэн

              Копаем еще глубже!

              Одной из наиболее важных задач DFIR является восстановление прошлой активности файловой системы. Это полезно, например, для определения того, когда файлы были введены в систему (например, в ходе фишинговой кампании или путем загрузки) или когда двоичные файлы были выполнены путем модификации файлов предварительной выборки.

              Ранее я писал о журнале порядковых номеров Центра обновления Windows (USN).Журнал USN — это внутренний файл файловой системы NTFS, в котором хранится журнал взаимодействий с файловой системой.

              Журнал USN является уникальным источником доказательств, поскольку он может предоставить временную шкалу, когда файлы были удалены, даже если сам файл больше не найден в системе. На скриншоте ниже я анализирую журнал USN, используя встроенный в Velociraptor парсер USN. Я фильтрую все взаимодействия с файлом test.txt и обнаруживаю, что он был удален (причина FILE_DELETE ).

              Хотя журнал USN очень полезен, он недолговечен. Система хранит около 30 МБ журнала USN, а старые записи удаляются, делая начало файла разреженным. В загруженной системе это может привести к тому, что логов будет меньше, чем за день!

              Вырезание журнала USN

              Вырезание — очень популярный криминалистический метод, целью которого является обнаружение старых элементов, которые все еще могут присутствовать в неструктурированных или нераспределенных данных на диске. Можно было бы прибегнуть к резьбе, чтобы раскрыть новые зацепки.

              Carving пытается восстановить структурированную информацию из неструктурированных данных, идентифицируя данные, которые следуют шаблону, типичному для интересующей информации.

              В случае с журналом USN мы можем исследовать необработанный диск и извлекать данные, которые выглядят как запись журнала USN, независимо от анализа записи из файловой системы NTFS или использования какой-либо структуры на диске.

              Отказ от ответственности: В зависимости от основного оборудования вырезание может быть или не быть эффективным. Например, при работе на SSD аппаратное обеспечение будет агрессивно освобождать нераспределенное пространство, что сделает его менее эффективным. Обычно мы используем методы вырезания в качестве последнего средства или пытаемся собрать новые подсказки, так что в любом случае стоит попробовать.

              Структура записи журнала USN

              Чтобы вырезать запись USN с диска, нам необходимо понять, как выглядит запись USN. Наша цель — разработать набор правил, которые с высокой вероятностью идентифицируют законную запись в журнале USN.

              К счастью, структура журнала USN хорошо задокументирована Microsoft

              В приведенном выше примере мы видим, что запись USN содержит ряд полей, и мы можем определить их смещения относительно записи. Давайте посмотрим, как выглядит типичная запись USN. Я буду использовать Velociraptor для извлечения журнала USN из конечной точки и выберу шестнадцатеричное средство просмотра, чтобы просмотреть некоторые данные.

              На снимке экрана выше я могу определить несколько полей, которые кажутся довольно надежными — я могу разработать набор правил, чтобы определить, является ли это законной структурой или просто случайным шумом.

              1. Поле RecordLength начинается со смещения 0 и занимает 4 байта. Настоящий журнал USN должен иметь длину от 60 байт (минимальный размер структуры) до 512 байт (большинство имен файлов не такие большие).
              2. MajorVersion и MinorVersion всегда будут одинаковыми — для Windows 10 в настоящее время это 2 и 0. Эти 4 байта должны быть 02 00 00 00
              3. Следующее интересное поле — метка времени. Это отметка времени в формате Windows FileTime (64 бита). Временные метки являются хорошим правилом, потому что обычно они должны быть действительными в узком диапазоне, чтобы иметь смысл.
              4. Имя файла также сохраняется в записи с указанными длиной и смещением. Для разумного файла длина должна быть меньше, скажем, 255 байт. Поскольку само имя файла следует за концом структуры, смещение имени файла должно быть ровно 60 байт (0x36 — размер структуры).

              Давайте посмотрим на метку времени выше. Я буду использовать CyberChef, чтобы преобразовать шестнадцатеричный код в удобочитаемую временную метку.

              Какое минимальное время разумно? Последний байт (самый старший байт), вероятно, должен быть 01, следующий байт должен быть больше 0xd0.Я могу быстро проверить самое раннее время, заканчивающееся на 0xd0 0x01, с помощью CyberChef — это после 2015 года, поэтому этого, вероятно, достаточно для любых расследований, проводимых в 2021 году. Аналогичная логика показывает, что мы хороши до 2028 года с шаблоном «d? 01”

              Разработка запроса VQL для резчика

              Хороший резчик быстр и точен. Так как нам нужно просканировать огромное количество данных за разумное время (большинство жестких дисков больше 100Гб), нам необходимо быстро удалить заведомо неверные данные.

              Обычный подход заключается в использовании быстрого, но грубого сопоставления для сита первого уровня — это позволит исключить большую часть явно неверных данных, но может иметь высокий уровень ложноположительных результатов (т.е. может соответствовать недопустимым данным, которые на самом деле вообще не являются записью USN).

              Затем мы можем применить более тщательную проверку соответствия, используя более точный синтаксический анализатор, чтобы устранить эти ложные срабатывания. Если частота ложных срабатываний остается достаточно низкой, мы не будем тратить слишком много циклов ЦП на их устранение и будем поддерживать высокую скорость вырезания, сохраняя при этом высокую точность.

              Когда мне нужен механизм сопоставления двоичных образов, я сразу же думаю о Yara — швейцарском армейском ноже двоичного поиска! Давайте придумаем хорошее правило Yara для идентификации записей журнала USN.Вы можете прочитать больше о синтаксисе правила Yara здесь, но я буду использовать правило двоичного соответствия, чтобы определить шаблон байта, который мне нужен.

              Как обычно в Velociraptor, я создам блокнот и наберу запрос в ячейку. В качестве первого шага я остановлюсь после одного попадания (ОГРАНИЧЕНИЕ 1) и просмотрю некоторый контекст, связанный с попаданием. Доступ к необработанному диску с использованием обозначения его устройства ( \\. \C: ) и драйвера NTFS обеспечивает доступ к необработанному логическому диску из версий Velociraptor после 0.6.0.

              Правило будет соответствовать RecordLength меньше 512 байт, Версия должна соответствовать 2.Поле метки времени должно заканчиваться на D? 01 (т. е. 0xD0–0xDF, за которым следует 0x01). Наконец, длина имени файла должна быть меньше 256, а смещение файла должно быть ровно 60 (0x36).

              Как вы можете видеть выше, я сразу идентифицирую попадание, и оно очень похоже на одну из записей USN, которые я извлек ранее.

              Разбор записи USN

              Подпись Yara найдет подходящих кандидатов для нашего резчика. Теперь нам нужно правильно разобрать запись. Для этого я буду использовать бинарный парсер Velociraptor.Сначала я напишу профиль для описания структуры USN и применю анализатор для извлечения идентификатора записи MFT из записи. Затем я могу использовать встроенный в Velociraptor анализатор NTFS для преобразования идентификатора записи MFT в полный путь на диске.

              Здесь вы можете просмотреть полную информацию об артефакте, но собрать этот артефакт с конечной точки несложно — просто создайте новую коллекцию и выберите артефакт Windows.Carving.USN.

              Поскольку вырезание обычно занимает много времени, оно, вероятно, превысит установленный по умолчанию 10-минутный тайм-аут сбора.Для этого артефакта рекомендуется увеличить время ожидания в панели мастера «Указать ресурсы» (в моей системе этот артефакт сканирует около 1 Гб в минуту, поэтому для диска 60 Гб будет достаточно часа).

              Через некоторое время резчик выдаст много интересных хитов, некоторые из которых могут быть задолго до того, что обычно можно найти в журнале USN (даже несколько месяцев!). Если нам повезет, мы можем увидеть что-то из временных рамок нашего инцидента.

              Мы можем опубликовать результаты обработки, чтобы попытаться определить сроки компромисса.Например, я напишу запрос постобработки, чтобы найти все файлы предварительной выборки, которые были удалены (удаление файлов предварительной выборки — распространенный метод защиты от судебной экспертизы).

              Я вижу два случая, когда файлы предварительной выборки удалялись. Я вижу метку времени на основе записи USN, а также смещение на диске, где найдено попадание (около 3 Гб на диске).

              Обратите внимание, что в случае удаленных файлов имя файла, хранящееся в записи USN, может полностью отличаться от полного пути, отображаемого артефактом.FullPath получается путем синтаксического анализа файловой системы NTFS с использованием идентификатора записи MFT, на который ссылается запись USN.

              Для удаленных файлов запись MFT может быть быстро повторно использована для несвязанного файла. Единственное свидетельство, оставшееся на диске нашего удаленного файла предварительной выборки, находится в журнале USN или во фрагментах записей USN, которые мы восстановили после обновления журнала.

              Выводы

              Вырезание — полезная техника для поиска новых следственных связей или улик. Поскольку вырезание не зависит от синтаксического анализа файловой системы, оно может восстановить старые удаленные записи, сделанные давным-давно, или из ранее отформатированной файловой системы.

              Обратной стороной является то, что резьба не очень надежна. Трудно предсказать, будут ли найдены какие-либо полезные данные. Кроме того, если злоумышленник хочет действительно запутать нас, он может подбросить данные, которые выглядят как запись USN — без контекста мы действительно не можем быть уверены, представляют ли эти данные настоящую находку или анти-криминалистическую приманку. Распространенной проблемой является обнаружение попаданий в том, что в конечном итоге является образами дисков виртуальной машины, которые просто когда-то были сохранены в системе, поэтому попадания даже не относятся к исследуемой нами системе.

              С недоверием относитесь ко всем находкам и подкрепляйте их другими методами.

              В этой статье продемонстрирована общая методология написания эффективного карвера — использовать быстрый сканер для быстрого извлечения попаданий, несмотря на потенциально более высокий уровень ложных срабатываний (при использовании такого движка, как Yara). Затем используйте более тщательные методы синтаксического анализа, чтобы устранить ложные срабатывания и отобразить результаты (например, встроенный двоичный анализатор Velociraptor). Наконец, примените условия VQL для хирургического нацеливания результатов только на записи, относящиеся к нашему расследованию.

              Чтобы самому поиграть с этой новой функцией, попробуйте Velociraptor! Он доступен на GitHub под лицензией с открытым исходным кодом. Как обычно, сообщайте о проблемах в системе отслеживания ошибок или задавайте вопросы в нашем списке рассылки [email protected] . Вы также можете общаться с нами напрямую в Discord https://www.velocidex.com/discord

              Journals — Biblioteket USN

              Просмотрите доступные электронные журналы или найдите название журнала в окне поиска Oria. Впоследствии вы можете уточнить результаты поиска, воспользовавшись ссылками в правой части списка результатов.Сузить, выбрав тип ресурса Журналы печати или Электронные журналы . Библиотека USN выполняет поиск в коллекциях библиотеки USN. Норвежские академические библиотеки поиск по коллекциям всех других высших учебных заведений Норвегии.

              Печатные журналы

              В Oria выберите Печатать журналы из результатов поиска. Доступно в Университете Юго-Восточной Норвегии показывает кампусы, в которых находится журнал, и количество доступных томов.

              Электронные журналы

              Просмотрите доступные электронные журналы или найдите журнал по определенному названию, выбрав Журналы из результатов поиска. Выберите Fulltext available для ссылки на базу данных, содержащую журнал.

              Если вы не можете найти журнал

              Если в библиотеке нет доступа к журналу, вы все равно можете заказать нужные вам статьи. Библиотека подписывается на онлайн-журналы либо напрямую, либо через подписку на базу данных.Некоторые издатели добавили временные блокировки в свои выпуски, которые могут охватывать от месяца до нескольких лет. Иногда отдельный материал или статья могут быть изъяты из публикации. Это определяется издателем.

               

               

               

               

               

              Hvordan finne ut om tidsskriftet er vitenskapelig?
              Når дю хар funnet ан соответствующих artikkel кан дет være lurt å finne ут ом tidsskriftet ден эр publisert я эр faglig anerkjent. Dette кан дю sjekke Ved å søke я Norsk samfunnsvitenskapelige datatjeneste. База данных Nasjonalbibliotekets для norske og nordiske tidsskriftartikler (NORART) har laget en oversikt over nordiske vitenskapelige tidsskrifter.

              Om du ikke finner det her, søk opp hjemmesiden til tidsskriftet через Google.

               

               

              UsnJrnl Forensic Extraction для эффективного расследования

              Начиная с Windows 7, Windows поддерживает (по умолчанию) журнал изменений файловой системы для тома в специальном метафайле NTFS в $Extend\$UsnJrnl.Этот файл имеет 2 альтернативных потока данных (ADS) — $Max, который содержит такие данные, как максимальный размер, и $J, который содержит данные об изменениях.

              В основном этот файл используется приложениями резервного копирования, чтобы определить, какие файлы были изменены с момента последней операции резервного копирования.

              В этом сообщении блога мы объясним использование UsnJrnl в DFIR, рассмотрим процесс эффективного извлечения для целей судебной экспертизы и предоставим сообществу наш собственный инструмент.

              Зачем это нужно?

              Записи USN содержат ценную информацию:

              • Timestamp — Отметка времени изменения файла
              • Имя файла — имя измененного файла.
                • Атрибут
              • — в основном используется для определения между файлом и каталогом
              • Причина — произошедшее действие, примеры: 
                • ЗАКРЫТЬ
                • ДАННЫЕ_EXTEND 
                • ПЕРЕЗАПИСЬ ДАННЫХ
                • DATA_TRUNCATION
                • ФАЙЛ_СОЗДАТЬ
                • ФАЙЛ_УДАЛИТЬ 
                • ПЕРЕИМЕНОВАНИЕ_НОВОЕ_ИМЯ
                • ИЗМЕНЕНИЕ БЕЗОПАСНОСТИ

              Использование криминалистики

              Во время работы DFIR эти данные могут нам пригодиться по-разному:

              • Иногда злоумышленники знакомы с различными методологиями криминалистики и могут попытаться саботировать улики, например, удалив файлы предварительной выборки. В этом случае запись в usnjrnl может быть ориентировочной и раскрывать время смены.
              • Этот файл можно использовать для обнаружения файлов, сброшенных на диск, что полезно при построении временной шкалы событий.
              • Злоумышленники могут попытаться удалить свои инструменты, чтобы избежать обнаружения. Хотя файл не появится в файловой системе, запись об удалении появится в файле UsnJrnl.

              Дополнительные данные о USN можно найти на следующих ресурсах:

              Отлично, как мы можем получить этот файл?

              Поскольку этот файл является метафайлом файловой системы NTFS, его нельзя получить так же, как любой другой файл.

              Существует много инструментов, которые можно использовать для извлечения этого файла из образа диска, но недостаточно инструментов для извлечения его из работающей системы.

              Существует отличный инструмент, написанный на autoit Йоакимом Шихтом — ExtractUsnJrnl (https://github. com/jschicht/ExtractUsnJrnl), который можно использовать для извлечения в реальном времени. Еще одной интересной особенностью является размер извлечения — размер извлеченного файла составляет всего несколько МБ, в то время как другие инструменты извлекают его до размера файла в ГБ.

              К сожалению, его инструмент распознается многими антивирусными программами как вредоносный файл, поэтому мы не можем рисковать, что он будет обнаружен как вредоносное ПО.Важно, чтобы пользователь чувствовал себя в безопасности и не получал предупреждений из-за судебных действий, а что касается команды DFIR, важно, чтобы сбор не сорвался из-за подделки AV/EDR.

               

              Обнаружения VT (32-битной версии)

              Это была интересная возможность понять внутреннюю структуру NTFS, разобравшись в коде и внедрив нашу собственную версию.

              Наша версия написана на python3, который является более популярным языком, и большим преимуществом является то, что для него есть удобный современный отладчик, поэтому другие исследователи смогут учиться на нем, динамически проходя код.

               

              Давайте разбираться!

              Поскольку файл не может быть получен штатными средствами, наша цель — найти смещения файла под томом и пересобрать его самостоятельно.

              В NTFS небольшие файлы могут храниться как часть самой MFT, а большие файлы хранятся в разных местах на диске, а MFT содержит только сопоставление с этими фрагментами.

              Эти сопоставления называются DataRun s. Каждый DataRun ограничен фрагментами, называемыми Run s.Каждый прогон имеет заголовок, длину и смещение относительно предыдущего смещения.

              Пример из: https://flatcap.org/linux-ntfs/ntfs/concepts/data_runs.html

              Итак, как нам найти этот набор данных?

              Прежде всего мы начинаем с доступа к тому, из которого мы хотим извлечь usnjrnl. Мы можем сделать это, открыв дескриптор \\.\C: или \\.\PhysicalDisk (обычно 0). Для этого требуются административные привилегии, поскольку простой пользователь не может получить прямой доступ к физическому диску.

              Это можно сделать, просто используя команду python open :

               ручка = открытая  (  r"\\.\c:", "rb"  )

              В начале тома мы можем найти загрузочный сектор, который содержит информацию о размерах, используемых в томе, таких как количество байтов на сектор, количество секторов на кластер, количество кластеров для достижения MFT и многое другое. Мы будем использовать эти размеры в различных вычислениях, чтобы найти физические адреса частей файла.

              Изображение из: https://slide-finder.com/view/NTFS-Structure—Excellent.306294.html#slide5

              В NTFS все данные об объектах файловой системы сохраняются в MFT, эти данные включают в себя ссылки на записи файлов в системе, в которую входит datarun. Он также включает данные о метафайлах, таких как UsnJrnl, который является нашей целью.

              Первая запись в MFT относится к самому файлу MFT. Используя данные записи MFT, мы сможем найти ссылки на другие объекты, используемые в процессе.

              Как уже упоминалось, UsnJrnl находится в \$Extend\$UsnJrnl, что означает, что нам нужно найти ссылки на предыдущие части пути.

              Изображение из: https://en.wikipedia.org/wiki/NTFS#Master_File_Table

              Первая часть — это корневой каталог (.), из таблицы видно, что ссылка на него — 5.

              Используя данные MFT, мы можем найти местоположение и получить фактическую запись MFT корневого каталога.

              Каждая запись MFT состоит из множества атрибутов, как показано на следующем рисунке  

              Изображение из: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-fscc/a82e9105-2405-4e37-b2c3-28c773902d85

              Используя атрибут index_allocation, который содержит данные корневого каталога, мы можем найти запись INDX, которая используется для отслеживания содержимого каталога.

              В записи INDX есть много записей, представляющих файлы в каталоге.Частичный список файлов, находящихся в корневом каталоге:

               0 $MFT 
               1 $MFTMirr 
               2 $LogFile 
               3 $Volume 
               4 $AttrDef 
               5 .  
               6 $Bitmap 
               7 $Boot 
               8 $BadClus 
               9 $Secure 
               10 $UpCase 
               11 $Extend 
               20 bootTel.dat 
               37 $Recycle.Bin 
               9281 pagefile.sys 
               
               . 
               . 
               27821 PerfLogs 
               27822 Program Files 
               27822 PROGRA~1 
               37990 Program Files (x86) 
               37990 PROGRA~2 
               47534 ProgramData 
               47534 PROGRA~3  509014 Пользователи
               . 
               .

              Используя эти данные, мы можем найти следующую часть пути, каталог $Extend — запись 11.

              В качестве каталога он будет иметь атрибут $I30, который содержит каждый каталог в файловой системе.

              После нахождения каталога $Extend мы найдем его собственную запись, и поскольку это место, в котором существует $UsnJrnl, мы проверим атрибут index_root, чтобы получить запись INDX, и из него мы получим ссылку на $UsnJrnl сам.

               29 $Deleted 
               25 $ObjId 
               24 $Quota 
               26 $Reparse 
               27 $RmMetadata 
               62744 $UsnJrnl

              Используя эту ссылку, мы можем найти запись $UsnJrnl в MFT.

              На этом этапе мы можем выгрузить весь файл, но мы будем использовать тот же (очень крутой) метод, который использовал Йоаким, мы найдем фактические физические смещения файла и выгрузим только их. У этого метода много преимуществ:

              • Меньше шансов на неудачное извлечение из-за нехватки места на целевом диске.
              • Как команда DFIR мы собираем данные и анализируем их в наших серверных системах. Чем меньше доказательств, тем быстрее завершится процесс сбора, и мы будем хранить меньше пустых данных в нашем хранилище.

              Способ, которым мы находим только релевантные физические смещения, заключается в анализе списка $Attribute_list, если он доступен, или путем анализа атрибута $Data.

              Разбор $Data выполняется прямолинейно, так как данные представляют собой набор данных, который можно использовать для получения смещений кластеров.

              С другой стороны, $Attribute_list требует некоторой доработки. $Attribute_list — это список ссылок на дополнительные записи на диске, которые не помещаются в текущую запись MFT. Последняя запись использует данные из предыдущей, чтобы получить размер атрибута, необходимый для расчета каждого необработанного размера смещения в файле.

              Умножив каждое из смещений в datarun на количество байтов на кластер, мы получим количество байтов от начала тома текущего кластера.

              Когда у нас есть все соответствующие смещения, мы будем искать каждое из них в томе и выгружать его содержимое на диск.

               Def dump_to_file  ( Raw_offsets, dest ) :
              9 с открытым  ( dest, "WB" )  Как вывод:
              9 для Raw_offset в Raw_offsets  [ 1: ] : 
               ручка.Искать  ( Raw_offset.offset )                        ( Raw_offset.bytes_Per_Run )       написано = Optement.Write  ( Data ) 8
               После завершения процесса UsnJrnl извлекается. Теперь вы можете использовать различные синтаксические анализы, чтобы преобразовать его в удобочитаемый формат, такой как csv. Для этого есть несколько инструментов, таких как UsnJrnl2Csv (https://github.com/jschicht/UsnJrnl2Csv) от Joakim, который также может обрабатывать меньшую версию.
               Вы можете найти наш инструмент на github: https://github.com/otoriocyber/UsnExtractor
                
               И помните, вы никогда не будете DFIR в одиночку!
                
               << ВЕРНУТЬСЯ К РЕСУРСАМ
               Где ты был всю мою жизнь 
               
               Одной из целей IR-операций является обнаружение исходного вектора инфекции и/или нулевого пациента. Чтобы определить это, критически важным становится анализ временной шкалы, а также определение того, когда вредоносное ПО было создано и/или запущено в системе.
               Время создания этого файла может стать чрезвычайно важным, если вы имеете дело с несколькими или даже сотнями систем и пытаетесь определить, когда и где вредоносное ПО впервые попало в среду.
               Но что происходит, когда вредоносное ПО уже было устранено системным администратором, удалено злоумышленником или были вытеснены новые антивирусные сигнатуры, в результате чего вредоносное ПО было удалено?
               Многие из остаточных артефактов демонстрируют выполнение, однако очень немногие действительно документируют   когда   файл был создан в системе. Вот где USN Journal недавно помог мне в одном деле. Журнал USN ни в коем случае не нов... но я просто хотел рассказать об одном конкретном случае и поделиться своим опытом работы с ним, так как мне кажется, что это артефакт, который часто упускают из виду.
               Для демонстрационных данных я загрузил и заразил виртуальную машину Windows 7 вредоносным ПО. Эта вредоносная программа была получена из фишингового письма, содержащего zip-файл voice#5734223.zip. Этот zip-файл содержал полезную нагрузку voice.exe. Дополнительные сведения об этом образце вредоносного ПО см. на странице http://malware-traffic-analysis.net/2015/01/27/index.html 
                 
               Итак, давайте пробежимся по некоторым типичным артефактам, которые демонстрируют выполнение вместе с доступными временными метками, и посмотрим, что они делают, и ничего нам не говорят...
                MFT  
               MFT содержит информацию о файловой системе — даты изменения, доступа и создания, размер файла и т. д. Однако запись MFT удаленного файла может быть
перезаписано. Если вам повезет, в вашем удаленном файле вредоносного ПО все еще будет запись
 в MFT - впрочем, в моем случае этому не суждено было быть.
                The ShimCache  
               Я не буду вдаваться в подробности, так как у Mandiant есть отличный технический документ по этому артефакту. По сути, в большинстве систем этот артефакт содержит информацию о файлах, которые были выполнены, включая путь, размер файла и дату последнего изменения. Я проанализировал этот раздел реестра с помощью RegRipper и нашел запись для тестовой вредоносной программы voice.exe:
               C:\Users\user1\Downloads\voice#5734223\voice.exe 
               ModTime: среда, 28 января, 15:28:46 2015 Z 
               Executed
               Что это мне говорит? Тот голос.exe находился в пути для загрузки, был выполнен и имеет дату последнего изменения 28.01.2015 —  нет даты создания . 
                 
                UserAssist  
               User Assist — еще одна замечательная клавиша... она отображает последний раз, когда файл
 был выполнен вместе с подсчетом запусков. Еще раз, используя RegRipper для анализа этого, я обнаружил запись для тестовой вредоносной программы:
               {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} 
               Пн, 23 февраля, 02:33:34 2015 Z C:\Users\user1\Downloads\ голос#5734223\голос.exe(2)*
               Глядя на этот артефакт, я вижу, что файл запускался дважды - один раз 23 февраля, правда, когда это было в первый раз, я не знаю. Это могли быть минуты, часы или дни раньше. Это по-прежнему очень мало, чтобы сообщить мне, когда файл был создан в системе, хотя я знаю, что это должно быть где-то до этой отметки времени.
                Файл предварительной выборки  
               Это отличный артефакт, который может показать выполнение и даже многократное выполнение. Но что, если система является сервером, где предварительная выборка не может быть включена? В моем случае предварительная выборка была включена, но файла предварительной выборки для рассматриваемой вредоносной программы не было — по крайней мере, я так думал, пока не проверил журнал USN. И, опять же, он не содержит информации о том, когда файл был создан в системе.
               Итак, я рассмотрел пару типичных артефактов, которые продемонстрировали выполнение вредоносного ПО   (дополнительные артефакты, связанные с выполнением, см. в этом блоге Mandiant «Выполнялось ли это») С анализом временной шкалы я могу даже получить представление о том, когда этот файл, скорее всего, был представлен в системе, однако было бы неплохо иметь окончательную дату создания. Это тоже приносит мне.....Журнал USN.
                USN Journal  
               Есть несколько инструментов, которые я использую для разбора USN Journal. Быстрый и простой в использовании скрипт usnj.pl доступен на странице Harlan Carvey в GitHub.
               Анализируя USN Journal и ища рассматриваемое вредоносное ПО, я вижу несколько интересных записей для voice.exe, выделенных красным ниже:
               
               Сладкий! Теперь у меня есть временная метка File_Create для voice.exe, которую я могу использовать на своей временной шкале. Я также вижу, что voice.exe был удален относительно быстро ~ через 30 секунд после его создания.Это удаление произошло примерно в то же время, когда для него был создан файл предварительной выборки. Это может указывать на то, что вредоносная программа удалила себя после запуска.
               Также интересно отметить, что примерно в то же время, когда был создан файл предварительной выборки для voice.exe, был создан и запущен файл с именем testmem.exe (выделен желтым цветом)..хммм.
               Пора копать глубже. Чтобы получить более подробную информацию о USN Journal, воспользуйтесь инструментом TriForce. Этот инструмент обрабатывает три файла: $MFT, $J и $Logfile.Затем он делает перекрестные ссылки на эти три файла, чтобы построить некоторые дополнительные отношения. По моему опыту, этот инструмент работает немного дольше. Как видно из приведенного ниже вывода, теперь у меня есть полные пути к файлам, которые могут помочь добавить немного больше контекста:
               
               Этот testmem.exe стал еще более подозрительным из-за его местоположения - временной папки.
               Просмотрев файл USN Journal, я смог установить дату создания вредоносного ПО. Эта дата создания, указанная в журнале USN, дала мне дополнительную опорную точку для работы.Эта поворотная точка привела к некоторым дополнительным находкам — подозрительному файлу testmem.exe. (Чтобы узнать больше о повороте временной шкалы  , ознакомьтесь с постом Харлана здесь). Дата создания не только помогла найти дополнительные артефакты, но также помогла мне определить, какие системы могут быть нулевым пациентом. Вредоносное ПО может попасть в систему задолго до его выполнения. 
                 
               То, что его нет, не означает, что его не было. В случае, когда я работал, у меня не было файлов предварительной выборки для вредоносного ПО.Однако, когда я проанализировал журнал USN, я увидел файл предварительной выборки для
вредоносное ПО создается и удаляется в течение 40 минут. Я также видел, как создавались и удалялись некоторые дополнительные временные файлы, некоторых из которых не было в MFT.
               Увы, как ни печально, мои отношения с USN Journal имеют некоторые недостатки (и это не моя  вина). Поскольку это файл журнала, он «прокручивается». Журнал USJ может быть ограничен объемом данных, которые он содержит — иногда кажется, что все, что я вижу в нем, — это файлы Центра обновления Windows.Если система интенсивно используется и если файл был удален несколько месяцев назад, его может больше не быть в журнале USN. Тем не менее, не все еще потеряно, ходят слухи, что некоторые файлы журнала USN могут быть расположены в теневых копиях тома, так что надежда еще есть. Кроме того, Дэвид Коуэн указывает, что файл журнала не циклический (как я когда-то думал), а просто освобождает старые страницы на диск:
               «После разговора с Троем Ларсоном я теперь понимаю, что такое поведение связано с тем, что журнал не круговой, а страницы распределяются и освобождаются по мере роста журнала"
               Это означает, что вы можете вырезать записи USN Journals! Проверьте его сообщение в блоге здесь для получения дополнительной информации.
               Удачной охоты!
                Дополнительная литература в USN Journal 
               http://journeyintoir. blogspot.com/2013/01/re-introduction-usnjrnl.html
               http://forensicsfromthesausagefactory.blogspot.com/2010/08/usn -change-journal.html
               https://msdn.microsoft.com/en-us/library/windows/desktop/aa363798%28v=vs.85%29.aspx
               * Число запусков изменено с 1 на 2 на этом выводе, чтобы проиллюстрировать точку.
               Солнечное испарение для одновременного производства пара и электроэнергии 
               Быстрое развитие фототермических материалов и их интегрированных систем способствовало недавним технологическим прорывам в области солнечного испарения для производства пара и электроэнергии.Здесь мы обсуждаем эту новую и развивающуюся область, которая направлена ​​на прямое соединение фототермических материалов и солнечных паровых устройств с чистой водой и производством электроэнергии. Впервые были описаны физика фототермического преобразования и инженерные стратегии солнечных поглотителей. Рассматриваемые механизмы производства электроэнергии включают трибоэлектрические, пироэлектрические, пьезоэлектрические, термоэлектрические, термоэлектрохимические эффекты и эффекты градиента солености. Затем различные системы систематически изучались и обсуждались с целью улучшения сбора и преобразования солнечной энергии.Были описаны принципы работы и уточнены требования к производительности вместе с преимуществами и ограничениями. Для таких разработанных систем дополнительно были проведены сравнения характеристик солнечного испарения и электричества. Наконец, были выделены будущие направления исследований систем, а также потенциал для новых приложений и гибридных подходов в развитии Synergy City.
               У вас есть доступ к этой статье
               Подождите, пока мы загрузим ваш контент. .. 
 Что-то пошло не так. Попробуй снова?
               Инженер-ядерщик ВМС США пытался шпионить, ФБР Говорит 
               ВАШИНГТОН. Согласно судебным документам, обнародованным в воскресенье, инженеру-ядерщику ВМС США и его жене было предъявлено обвинение в попытке поделиться некоторыми из самых сокровенных секретов Соединенных Штатов о технологиях подводных лодок с другой страной.
               Инженера Джонатана Тоеббе обвинили в попытке продать информацию о ядерной двигательной установке ударных подводных лодок класса «Вирджиния» — технологии, лежащей в основе недавней сделки, заключенной Соединенными Штатами и Великобританией с Австралией.
               В то время как соперники, такие как Россия и Китай, давно добивались подробностей о силовой установке подводных лодок США, основываясь на деталях в судебных документах, некоторые эксперты полагали, что непрошеное предложение могло быть направлено дружественной стране, а не противнику.
               Никаких заявлений от ФБР нет. или Министерство юстиции, что иностранное государство получило какую-либо секретную информацию. Но г-н Тёббе имел допуски высокого уровня в ядерной инженерии, а его послужной список показал, что в качестве члена резерва ВМФ он проработал 15 месяцев в должности начальника военно-морских операций, старшего офицера ВМФ.
               ФБР В показаниях под присягой описывалось, что Тоббс использовали несколько изощренные методы шифрования, но крайне небрежно общались с теми, кого они считали представителями иностранной державы, но оказались Ф.Б.И. агенты. Они настаивали на осторожном использовании криптовалюты и шифровали свои сообщения, но их заманивали размещать информацию, обычно на небольших цифровых картах, на сайтах, где ее можно было легко наблюдать.
               Г-н Тоеббе работает в армии в качестве гражданского лица с 2017 года. Он был призван на флот и дослужился до звания лейтенанта, прежде чем перейти в резерв ВМС, который он покинул в декабре 2020 года — месяце, когда ФБР объявило об увольнении. стал связываться с ним.
               Согласно судебным документам, с 2012 года он работал над морскими атомными двигателями, в том числе над технологиями, разработанными для снижения шума и вибрации подводных лодок, факторов, которые могут выдать их местонахождение.В публичных записях ВМФ не так много подробностей. Он работал над морскими реакторами в Арлингтоне, штат Вирджиния, с 2012 по 2014 год. Затем он учился в школе военно-морских реакторов в Питтсбурге, прежде чем вернуться в Арлингтон, чтобы снова работать над реакторами.
               Рассматриваемый секретный материал включал проекты, которые могли быть полезны многим странам, строящим подводные лодки. В австралийском соглашении Соединенные Штаты и Великобритания помогут стране развернуть атомные подводные лодки, оснащенные ядерными силовыми установками, обеспечивающими неограниченную дальность действия и при некоторых обстоятельствах могут работать очень тихо, так что их трудно обнаружить.
               Информация о ядерных силовых установках является одной из наиболее тщательно охраняемых ВМС США, отчасти потому, что реакторы работают на высокообогащенном уране, который также может быть преобразован в топливо для бомб для ядерного оружия. Создание компактных и безопасных корабельных реакторов также является сложной инженерной задачей. До сделки с Австралией Соединенные Штаты делились технологиями только с Великобританией, начиная с 1958 года.Б.И. получил пакет, отправленный в другую страну, с инструкциями по эксплуатации, техническими подробностями и предложением установить тайные отношения. Пакет был перехвачен в почтовой системе другой страны и отправлен в ФБР. атташе по правовым вопросам. Агентство имеет таких атташе в 63 странах.
               «Пожалуйста, перешлите это письмо в вашу военную разведку», — гласила записка в посылке. «Я верю, что эта информация будет иметь большое значение для вашей нации. Это не обман».
               Посылка была получена зарубежной страной в апреле 2020 года, хотя F.Б.И. не получил к нему доступ до декабря. Причина задержки была неясна. В документах не сказано, передала ли страна, получившая посылку, ФБР. или бюро получило его через секретный источник.
               ФБР последовал инструкциям в пакете и начал зашифрованный разговор, в котором отправитель предложил секреты ВМФ в обмен на 100 000 долларов в криптовалюте.
               После серии обменов сообщениями ФБР. убедил отправителя оставить информацию в тайнике в обмен на платежи в криптовалюте.ФБР затем наблюдал за г-ном Тоббе и его женой Дианой Тоббе в месте падения в Западной Вирджинии.
               Под присмотром г-жи Тоеббе г-н Тоеббе оставил SD-карту, спрятанную внутри половины бутерброда с арахисовым маслом в пластиковом пакете, согласно судебным документам. После того, как агент под прикрытием забрал бутерброд, мистеру Тёббе отправили 20 000 долларов.
               Затем агенты установили еще один тайник в Пенсильвании и третий в Вирджинии, где, по их словам, мистер Тоеббе спрятал SD-карту в упаковке жевательной резинки.
               Работая в Лаборатории атомной энергии Беттиса, малоизвестном государственном исследовательском центре в Уэст-Миффлине, штат Пенсильвания, г-н Тоеббе должен был иметь доступ к документам, в передаче которых его обвиняют секретному ФБР. офицер.
               Многие детали обменов были отредактированы в судебных документах, но были ссылки на чертежи в масштабе и детали технического обслуживания. ФБР процитировал записку, которая, как следует из показаний под присягой, была написана одним из Тоббов, в которой говорилось, что информация «отражает десятилетия жизни У.«Извлеченные уроки» S. Navy, которые помогут обеспечить безопасность ваших моряков».
               Секреты подводных лодок были предметом шпионских игр на протяжении поколений. Хотя холодная война давно закончилась, технологии важнее, чем когда-либо, особенно сейчас, когда Соединенные Штаты усиливают патрулирование в Тихом океане.
               Повсеместное распространение спутников для съемки и распространение ракет для уничтожения кораблей заставили страны уделять больше внимания судам, которые могут перемещаться незамеченными и наносить внезапные удары.Это стало ключевым фактором для принятия Австралии в небольшой клуб стран, которые могут размещать атомные подводные лодки.
               Дизельные подводные лодки могут оставаться под водой максимум несколько недель, прежде чем они должны всплыть для дозаправки; их ядерные эквиваленты могут оставаться под водой в течение нескольких месяцев. Первоначально Австралия согласилась в 2016 году купить у Франции флот дизельных подводных лодок. Но проект отставал от графика и превысил бюджет, и Соединенные Штаты и Великобритания переманили Австралию присоединиться к ним в воспроизведении их атомных подводных лодок.Однако, по словам представителей администрации Байдена, пройдут годы, прежде чем они будут развернуты.
               ФБР и военно-морская служба уголовных расследований арестовала Джонатана и Дайану Тоббе в субботу. Они предстанут перед федеральным судом в Мартинсбурге, штат Западная Вирджиния, во вторник.
               Семья Тоббов живет в районе среднего класса в Аннаполисе, штат Мэриленд. Соседи сказали, что около дюжины черных внедорожников выехали на их улицу вскоре после 13:15. в субботу. Агенты высыпали и постучали в дверь многоэтажного дома Тоббсов.В итоге присутствовало около 30 агентов.
               Некоторые из них часами обыскивали Mini Cooper Тоббса, снимая его сиденья и другие компоненты. Агенты также прервали соседку, которая устраивала вечеринку по случаю дня рождения через улицу, чтобы спросить о паре.
               Соседи сказали, что агенты оставались в доме примерно до 9 или 10 часов вечера, видимо, фотографируя; в окна можно было увидеть вспышки.
               Немногие соседи хотели говорить о семье под запись, но некоторые говорили, что Тоббс держались сдержанно, скорее игнорируя волны, чем отвечая на них.
               Джерри ЛаФлер, который делит забор на заднем дворе с парой, сказал, что время от времени он махал мистеру Тоббе, но единственный раз, когда они разговаривали, был, когда мистер Лафлер попросил разрешения подстричь сорняки со стороны забора мистера Тоеббе.
               «Он казался милым, обычным парнем, ничего такого, что заставило бы меня дважды задуматься», — сказал мистер Лафлер.
               По словам соседей, у Toebbes есть двое детей, которые ненадолго вернулись в свой дом в воскресенье, чтобы собрать вещи. Г-жа Тоеббе работает учителем гуманитарных наук в Key School, частной школе по соседству, известной своей прогрессивной философией.В воскресенье школа заявила, что ее отстранили от занятий на неопределенный срок.
               Джулиан Э. Барнс сообщил из Вашингтона, Дэвид Э. Сэнгер из Вермонта и Бренда Уинтроуд из Аннаполиса, доктор медицины Адам Голдман и Эрик Шмитт предоставили репортаж из Вашингтона.
               Журнал морских инженеров 
                
               ASNE — ведущее профессиональное инженерное общество для инженеров, ученых и смежных специалистов, которые проектируют, проектируют, разрабатывают, испытывают, строят, оснащают, эксплуатируют и обслуживают сложные военно-морские и морские корабли, подводные лодки и самолеты, а также связанные с ними системы и подсистемы.ASNE также обслуживает педагогов, которые готовят специалистов, исследователей, разрабатывающих соответствующие технологии, и студентов, готовящихся к профессии. Деятельность общества обеспечивает поддержку ВМС США; Береговая охрана США; Корпус морской пехоты США; Торговый флот США и армия США.
               ASNE — седьмое старейшее техническое общество в США. Он был основан в 1888 году группой пионеров морской инженерии, большинство из которых были офицерами инженерного корпуса ВМС США, которые стремились к единому подходу к своей профессии, чтобы максимально использовать новые достижения в области технологий. Цели ASNE:           
              •  для расширения знаний и практики военно-морской техники в государственных и частных приложениях и операциях,
              •  для повышения профессионализма и благополучия участников, и
              • , чтобы продвигать военно-морскую инженерию как область карьеры.
               В течение 125 лет цели Общества укреплялись и сохранялись, чтобы соответствовать меняющимся потребностям проверенной временем профессии. Сегодня ASNE проводит различные технические встречи и симпозиумы, публикует высоко оцененный  Журнал морских инженеров  и ряд других технических трудов и публикаций, а также способствует профессиональному развитию и обмену технической информацией через технические комитеты, деятельность местных секций и совместные усилия с правительством. организаций и других профессиональных обществ.
               Ежегодное собрание Общества, День ASNE, обычно проводится в феврале каждого года в Вашингтоне, округ Колумбия. На встрече представлены основные выступления высокопоставленных представителей отрасли и правительства, а также панельные дискуссии с участием ведущих представителей профессии. Он также включает презентацию и обсуждение технических документов по различным актуальным темам военно-морской техники, вручение престижных ежегодных наград Общества и большую экспозицию с государственными и отраслевыми экспонатами, охватывающими весь спектр технологий военно-морской техники.День ASNE отмечен ежегодным гала-вечером с отличием Общества, на котором присутствуют сотни руководителей и старших менеджеров как из правительства, так и из промышленности.
               Наш веб-сайт предназначен не только для обслуживания наших членов, но и для поддержки ученых, студентов и других лиц, интересующихся различными областями военно-морской техники. Мы приветствуем ваши предложения о том, как мы можем улучшить ваш опыт.
               .
              Добавить комментарий 
              Ваш адрес email не будет опубликован. Обязательные поля помечены *