Compromise assessment своими силами: инструкция
В каких ситуациях требуется compromise assessment (CA) и какой подход использует команда BI.ZONE Compromise Assessment, мы разобрали в подробном материале. Обычно исследование инфраструктуры на предмет компрометации доверяют внешним экспертам по кибербезопасности. Однако, если в компании есть зрелые IT‑отдел и служба кибербезопасности, налажена функция мониторинга и имеются компетенции в расследовании инцидентов, провести CA можно и собственными силами.
Какие ресурсы понадобятся
Для качественного проведения CA своими силами потребуются:
- Специалисты по threat hunting и threat prediction.
- Набор корреляционных правил (можно использовать собственные наработки SOC или опираться на открытые исследования, например Threat Zone 2026).
- EDR-решение. Как альтернатива — сбор телеметрии с помощью бесплатной утилиты BI.ZONE Triage.
- Инструмент для обработки событий.
- Централизованное хранилище телеметрии (data lake).
- Источник данных киберразведки, например портал BI.ZONE Threat intelligence.
Какие данные собирать
Для анализа конечных точек необходим обширный набор артефактов. Для типичной инфраструктуры под управлением Windows потребуется более 60 различных источников, для Linux — более 40. Ниже приведены подробные списки: что именно нужно получить и для чего.
| Категория собираемых данных | Данные | Описание категории | |
|---|---|---|---|
| 1 |
Системный реестр Windows |
Registry hive DEFAULT Registry hive SAM Registry hive SECURITY Registry hive SOFTWARE SYSTEM hive variations NTUSER.DAT UsrClass.dat Amcache.hve |
Содержит ключевые файлы системного и пользовательского реестра Windows. Они позволяют изучить конфигурацию ОС, параметры пользователей, сведения об установленных компонентах, подключенных устройствах, активности программ и изменениях системы. Используется для поиска следов закрепления вредоносного ПО (ВПО), анализа установок ПО и прав пользователей |
| 2 |
Журналы Windows и приложений |
Event logs (EVTX) Windows Setup logs Windows update logs Application logs (general) Notepad++ logs Third-party antivirus logs Windows Error Reporting (WER) Generic .log files in Windows folder |
Содержит системные журналы событий Windows, обновлений, установки и логи приложений. Журналы позволяют восстановить хронологию действий в системе: запуск служб и процессов, входы пользователей, ошибки приложений, события безопасности. Используется для построения таймлайна активности в системе |
| 3 |
Исполняемые файлы и потенциальные точки размещения вредоносного кода |
Executable files in system directories Executables in ProgramData Executables in Temp directories Executables in user profile folders DLL files (libraries) Scripts files (PowerShell, BAT, VBS, etc.) Installer files (MSI/EXE installers) |
Содержит исполняемые файлы, библиотеки, скрипты и установочные пакеты, размещенные в системных и пользовательских каталогах. Эти данные позволяют выявлять подозрительные бинарные файлы, внедренные библиотеки, инструменты злоумышленников |
| 4 |
Автозагрузка операционной системы и закрепление |
Startup folders in profiles Startup folder shortcuts Scheduled tasks (Task Scheduler artifacts) Services configuration Drivers configuration Registry Run/RunOnce keys (в рамках Registry hive SOFTWARE/NTUSER.DAT) BITS jobs WMI persistence artifacts |
Содержит артефакты, связанные с автоматическим запуском компонентов системы и пользовательских программ при старте Windows или входе пользователя. Эти артефакты позволяют выявлять закрепление злоумышленника в системе через службы, драйверы, планировщик задач, startup‑каталоги, автозапуск, WMI‑подписки и фоновые задания BITS |
| 5 |
Слепок текущего состояния системы (runtime) |
Running processes list Network connections snapshot Active user sessions Loaded services list |
Содержит данные о состоянии системы на момент сбора: активные процессы, сетевые соединения, пользовательские сессии и работающие службы. Они позволяют зафиксировать текущую активность злоумышленника, определить вредоносные процессы, подозрительные подключения, запущенные утилиты и активные учетные записи |
| 6 |
Следы активности процессов и программ в прошлом |
Shimcache (AppCompatCache) SRU database Prefetch files Jump Lists Recent files list Amcache artifacts |
Содержит артефакты, фиксирующие запуск программ и активность процессов в прошлом. Артефакты позволяют определить факт выполнения подозрительных бинарных файлов, временные метки активности и привязку к пользователям. Используются для ретроспективного анализа и построения таймлайна выполнения вредоносного кода |
| 7 |
Артефакты сетевой активности и коммуникаций |
DNS cache artifacts Browser history artifacts Network configuration data Network-related logs |
Содержит сведения о сетевой активности системы, которые в некоторых случаях включают историю браузеров, DNS‑артефакты, сетевые настройки и связанные логи. Эти сведения позволяют выявлять обращения к подозрительным доменам и IP‑адресам, загрузку ВПО, использование прокси или туннелей |
| 8 |
Артефакты пользовательской активности и работы с файлами |
User profile artifacts Shellbags Recent documents and file access traces Search index artifacts Windows temp cache artifacts Thumbcache.db Browser cache Application cache artifacts |
Содержит данные, связанные с пользовательскими действиями: открытием папок, работой с файлами и документами, артефактами навигации в проводнике, результатами поиска и другими. Данные позволяют восстановить действия пользователей или злоумышленников в системе, определить доступ к критичным документам и подготовку данных к эксфильтрации |
| 9 |
Файловая система и служебные структуры хранения |
Master File Table (MFT) USN Journal File system metadata artifacts |
Содержит низкоуровневые артефакты файловой системы NTFS, позволяющие восстановить историю создания, удаления и изменения файлов, даже если они уже удалены с диска |
| 10 |
Следы установки и изменения ПО |
Installation traces Windows Installer artifacts Setup-related artifacts |
Содержит данные, указывающие на установку ПО и изменения системной конфигурации. Данные позволяют определить факт появления нового ПО (включая потенциально вредоносные компоненты), дату установки и связанные с этим изменения |
| 11 |
Антивирусные и защитные события |
Windows Defender logs Third-party antivirus logs |
Содержит журналы работы встроенного и стороннего антивирусного ПО, включая события обнаружения угроз, карантина, блокировок и реакций защитных механизмов. Эти события позволяют выявлять попытки запуска вредоносных файлов или отключение защитных компонентов |
| Категория собираемых данных | Данные | Описание категории | |
|---|---|---|---|
| 1 |
Слепок текущего состояния системы (runtime) |
process list service status logged in users list lsof output |
Содержит сведения о состоянии системы на момент сбора. Они позволяют выявить активные процессы и сервисы, подозрительные бинарные файлы, активные пользовательские сессии |
| 2 |
Сетевое состояние системы (runtime) |
netstat output route table arp cache |
Содержит данные о сетевой активности системы на момент сбора. Они позволяют выявлять подозрительные соединения, прослушиваемые порты, туннели, reverse-shell-активность, а также факты взаимодействия с другими хостами в сегменте |
| 3 |
Журналы ОС и приложений |
auth.log syslog messages kern.log boot.log dmesg journald logs /var/log directory nginx logs Apache logs docker_container_logs_%line% auditd logs SELinux logs iptables logs ufw logs openvpn logs mail logs (postfix и др.) application logs |
Содержит журналы ОС, сервисов и приложений. Журналы используются для построения таймлайна событий, выявления подозрительных действий, эксплуатации уязвимостей, попыток входа, ошибок сервисов |
| 4 |
Конфигурационные файлы ОС и сервисов |
/etc application config files ssh_config sshd_config resolv.conf hosts file interfaces config grub config fstab file |
Содержит конфигурационные файлы системы и сервисов. Файлы позволяют выявлять изменения параметров безопасности, подмену DNS, изменения в настройках загрузки и конфигурации сервисов |
| 5 |
Учетные записи и права доступа |
passwd file shadow file group file sudoers file |
Содержит данные об учетных записях, хешах паролей, группах и sudo‑политиках. Данные позволяют выявлять создание скрытых пользователей, повышение привилегий, добавление в административные группы |
| 6 |
SSH и удаленный доступ |
authorized_keys known_hosts ssh logs |
Содержит артефакты удаленного доступа и SSH‑аутентификации. Они позволяют выявлять нелегитимные SSH‑ключи и входы с подозрительных адресов |
| 7 |
Автозагрузка операционной системы и закрепление |
systemd services systemd timers user systemd units init scripts rc.local crontab /etc/cron.d /etc/cron.daily /etc/cron.hourly /etc/cron.weekly /etc/cron.monthly at jobs |
Содержит артефакты автоматического выполнения задач и механизмов закрепления в Linux. Эти артефакты позволяют выявлять закрепления ВПО через systemd, cron, at, init‑скрипты и пользовательские unit‑файлы. Используются для обнаружения скрытых механизмов запуска вредоносных команд |
| 8 |
История команд и пользовательская активность |
bash_history .zsh_history .bash_sessions .viminfo nano history less history .bashrc .profile .bash_profile .zshrc |
Содержит историю выполнения команд и пользовательские конфигурации оболочек. Она позволяет восстановить действия злоумышленника, выявить выполненные команды, факты скачивания файлов и изменения окружения |
| 9 |
Установленные пакеты и следы установки ПО |
installed packages list apt cache yum cache installer traces |
Содержит сведения об установленных пакетах и артефакты пакетных менеджеров. Эти сведения позволяют выявлять появление новых инструментов и утилит злоумышленника |
| 10 |
Файловая система и подозрительные каталоги |
/tmp /var/tmp /opt /bin /sbin /usr/bin /usr/sbin |
Содержит критичные директории и типовые места размещения вредоносных файлов. Все это используется для выявления подмены системных утилит и проверки типовых мест расположения ВПО |
| 11 |
Домашние каталоги пользователей |
/home |
Содержит пользовательские данные и артефакты активности. Они используются для поиска следов злоумышленника, скриптов, ключей доступа, украденных данных |
| 12 |
Контейнеризация и виртуализированная среда |
docker config docker images list docker volumes docker_container_logs_%line% |
Содержит артефакты Docker‑инфраструктуры: конфигурации, образы, тома (volumes) и журналы контейнеров. Они позволяют выявлять компрометацию контейнеров и подозрительные образы |
| 13 |
Слепок оперативной памяти |
avml |
Содержит дамп оперативной памяти, который используется для выявления скрытых процессов, активных сетевых соединений и артефактов выполнения команд |
Как обработать данные
Для проведения CA в масштабе всей инфраструктуры необходим автоматизированный пайплайн обработки DFIR‑артефактов. Его задача — централизованно преобразовать собранные с конечных хостов данные в унифицированный формат и провести их дальнейший анализ с применением правил корреляции, threat Intelligence и методов threat hunting.
Все собранные данные передаются в централизованное хранилище, откуда автоматически экспортируются в систему обработки. На этапе обработки выполняются следующие действия:
- Парсинг и нормализация данных, чтобы привести их к единой модели событий.
- Приведение временных меток и атрибутов к общему формату.
- Обогащение контекста дополнительными сведениями из Active Directory, сетевых журналов и с портала киберразведки.
После обработки данные в data lake становятся частью общей базы телеметрии. На этом этапе к ним применяются правила корреляции вашего SOC. Также проверяются события по базе известных индикаторов компрометации для выявления аномалий.
Самостоятельный ручной compromise assessment — крайне трудоемкая задача. Она требует сбора сотен разрозненных артефактов из десятков, сотен или даже тысяч систем. Данные поступают в разных форматах, с различными временными метками и в неодинаковых кодировках. Их нужно нормализовать и корректно сопоставить между собой.
Без достаточного опыта и специализированных инструментов высок риск пропустить ключевые следы атак или, наоборот, принять легитимные действия за признаки компрометации. Кроме того, невозможно качественно оценить результаты, не понимая, как именно реализуются современные атаки и какие следы они оставляют в инфраструктуре. Поэтому попытка провести CA своими силами без должной подготовки и зрелых процессов часто приводит к неточным или неполным выводам.
