КАРТА РОСТА
КАРТА РОСТА
Рассказываем, как устроен compromise assessment — процесс, помогающий обнаружить скрытого в инфраструктуре злоумышленника.

А на сайте BI.ZONE даем инструкцию для самопроверки.
Compromise assessment (CA) представляет собой глубокую проверку инфраструктуры, нацеленную на поиск реальных следов атак: подозрительных процессов, артефактов вредоносного ПО, нетипичного поведения учетных записей и записей в журналах. В отличие от классического аудита, CA фокусируется не на уязвимостях, а на фактических признаках компрометации. Методология выросла из DFIR, но расследование инцидентов запускается по факту атаки, а CA работает как превентивный инструмент. Попутно решается задача инвентаризации: формируется реальная картина IT-ландшафта. Провести полноценную проверку силами самой организации сложно из-за необходимости сбора и корреляции данных из множества систем. Привлечение внешних экспертов исключает предвзятость и снижает риск ложных выводов. CA работает как рентген инфраструктуры: выявляет скрытые угрозы, очерчивает масштаб проблемы и дает основу для плана «лечения».
CA дает максимальную ценность в сценариях, где нужна быстрая и достоверная оценка текущего состояния кибербезопасности.
При смене CISO или руководства по кибербезопасности. Новому руководителю нужна не просто унаследованная отчетность, а объективная картина. CA позволяет быстро понять, есть ли в инфраструктуре скрытые угрозы, которые могут аукнуться в будущем, а также с чего начинать построение защиты.
В процессе due diligence при M&A‑сделках. При слияниях и поглощениях киберриски напрямую влияют на стоимость актива. Скрытая компрометация может стать неприятным сюрпризом. Проверка на следы взлома снимает эту неопределенность, делая инвестиционное решение более взвешенным.
При восстановлении после инцидента. Даже после качественного расследования и устранения последствий атаки остается риск, что часть точек закрепления злоумышленника не выявлена. В таких случаях CA выступает в роли «второго взгляда», подтверждая, что инфраструктура действительно очищена и атакующий не сохранил доступ.
Всегда — в отраслях с повышенными рисками. Финансовые структуры, ритейл, организации с критической информационной инфраструктурой и операторы больших массивов персональных данных — в приоритете у атакующих. Для таких компаний регулярное проведение CA — не опция, а необходимость для раннего обнаружения вторжений.
В отличие от расследования инцидентов, где фокус сужен до конкретного события и ограниченного пула систем, CA предполагает проверку всей IT-инфраструктуры. Цель — убедиться в отсутствии незамеченной активности злоумышленника.
Мы используем методологию, сочетающую автоматизированную обработку данных (более 3800 правил детектирования) с ручной верификацией аномалий экспертами. Это исключает ложные срабатывания и дает достоверные подтверждения компрометации.
Такой подход применим в инфраструктурах с десятками тысяч устройств без потери глубины анализа, в отличие от классического «ручного» метода, характерного в основном для DFIR.
Ключевые принципы этого подхода к compromise assessment:
Именно такая комбинация позволяет в короткие сроки получить уверенность в том, что злоумышленник отсутствует в инфраструктуре.
Процесс логически делится на три направления, каждое из которых фокусируется на конкретной части инфраструктуры.
Что включает в себя исследование:
Вся телеметрия с конечных точек или из журналов обогащается данными BI.ZONE Threat Intelligence (IP‑адреса, домены и хеши файлов). Ежедневно на портал поступает 30–50 тысяч новых индикаторов, а их суммарный объем превышает 40 миллионов. Обогащение всей доступной телеметрии этими данными позволяет выявлять обращения к управляющим серверам и обнаруживать известное вредоносное ПО даже в тех случаях, когда вредоносный файл уже неактивен, но сохранился на диске.
Постоянный мониторинг конечных точек обеспечивает высокую прозрачность происходящего в инфраструктуре. Фиксация событий в реальном времени дает возможность выявлять как уже состоявшиеся действия злоумышленника, так и ранние признаки атаки. Это снижает вероятность скрытого присутствия и повышает скорость реагирования.
Что включает в себя исследование:
1. Дискавери‑сканирование
Реализуется активное и пассивное сканирование по IP‑адресам и доменным именам, включая обход подстраниц и параметризованных URL, сбор баннеров, анализ сертификатов TLS, определение версий сервисов, идентификацию веб‑фреймворков и CMS. Уже на этом этапе можно заметить нежелательные порты управления, экспонированные напрямую в интернет.
2. Сканирование на уязвимости
Автоматизированное сканирование охватывает найденные открытые сервисы и веб‑страницы. Обнаруженные уязвимости ранжируются в соответствии с CVSS, а отдельно маркируются те, которые, по данным BI.ZONE Threat Intelligence, уже активно эксплуатируются. При анализе веб‑приложений и CMS дополнительно выполняется автоматический обход страниц для поиска доступных админ‑панелей, незащищенных механизмов загрузки файлов и устаревших компонентов — потенциальных векторов проникновения.
3. Обработка результатов
Важно, что клиенту не просто предоставляют информацию об уязвимостях, но и проверяют, не воспользовался ли ими злоумышленник. При возможности на уязвимые хосты оперативно устанавливается EDR‑агент, а также проводится ручной анализ. Если установить агент нельзя (например, на сетевых устройствах), выполняется только ручной разбор.
Анализ внешнего периметра позволяет определить, насколько компания устойчива к атакующим, не имеющим внутренних привилегий. Чем точнее оценивается периметр, тем ниже риск компрометации через публично доступные сервисы.
Что включает в себя исследование:
Актуальное состояние инфраструктуры оценивается в первую очередь через активное сканирование. Но публичные сканеры также позволяют увидеть уязвимости, которые уже закрыты к моменту проекта, но могли использоваться ранее. Такие находки обрабатываются по стандартной процедуре: верификация, приоритизация и, если необходимо, целевое расследование — так же, как и в случае с уязвимостями, найденными при активном сканировании.
Такой комплексный анализ внешних источников позволяет системно обнаруживать упоминания компании, потенциальные уязвимости, несанкционированные домены и факты утечек данных.
Отчет по CA редко содержит фразу «ничего подозрительного не обнаружено». Даже в зрелых компаниях встречаются артефакты, представляющие собой прямые признаки компрометации или забытые инструменты пентестеров. Среди характерных находок:
Прокси‑туннели вроде Gsocket и Localtonet. Такие инструменты позволяют выбрасывать внутренние сервисы наружу в обход корпоративного периметра и средств мониторинга. Их используют как разработчики для тестирования, так и злоумышленники для закрепления доступа.
Легитимный софт для удаленного доступа. Атакующие могут использовать AnyDesk, TeamViewer, PsExec. CA выявляет случаи несанкционированного использования таких приложений и подсвечивает риски от неконтролируемого доступа.
Майнеры и нежелательное ПО. На уже скомпрометированных хостах злоумышленники нередко размещают скрытые майнеры. Это не только создает избыточную нагрузку на инфраструктуру, но и служит сигналом о том, что атака могла иметь более серьезный характер. CA позволяет находить такие процессы, работающие порой годами.
Следы пентестеров. Часто обнаруживаются артефакты, оставшиеся после проектов по анализу защищенности или тестированию на проникновение. На хостах, включая пользовательские, остаются инструменты для проведения атак, отключенные средства защиты, а иногда и действующие туннели от подрядчиков, сотрудничество с которыми уже завершено.
Учетные записи с устаревшими или слабыми паролями. Классическая проблема — пароли, не менявшиеся годами. Часто встречается и переиспользование одного и того же пароля для обычной и административной учетных записей сотрудника, что упрощает злоумышленнику перемещение по сети и повышение привилегий.
Неправильно настроенный Active Directory. AD остается ядром инфраструктуры во многих организациях, и ошибки в его конфигурации — настоящий подарок для атакующего. Слабые парольные политики, неограниченное делегирование, открытый SID‑History, устаревшие протоколы аутентификации — все это открывает дорогу атаке.
Неотключенные учетные записи бывших сотрудников. Регулярная находка — десятки «мертвых душ» в домене: учетные записи уволенных сотрудников или подрядчиков, которые никто не деактивировал. Особую опасность представляют старые аккаунты администраторов, нередко с правами доменного администратора и без требований смены пароля.
Итогом CA становится развернутый отчет с объективной картиной состояния инфраструктуры. В него входят:
В отчете фигурируют не общие риски, а конкретные угрозы: системы и учетные записи с признаками компрометации, скриншоты, логи, идентификаторы процессов и хеши файлов. Это позволяет видеть реальные, а не гипотетические проблемы. Таким образом, CA не просто отвечает на вопрос «Взломаны ли мы прямо сейчас?», но и дает дорожную карту для существенного снижения вероятности успешной атаки в будущем.
Compromise assessment всегда приносит неожиданные результаты, даже если компания уверена в безопасности. Вот три реальных кейса, которые показывают, почему эта практика критически важна.
Кейс 1. Gsocket в «чистой» сети
Компания готовилась к внешнему аудиту. Внутренние проверки были пройдены, уязвимости закрыты, от специалистов ждали лишь формальное подтверждение безопасности. Однако в ходе CA были обнаружены два активных туннеля через Gsocket, обеспечивавших злоумышленнику доступ в закрытый контур инфраструктуры. Никаких разрушительных действий не производилось: атакующий просто закрепился и спокойно выгружал данные с зараженных хостов. При этом организация жила с полной уверенностью, что защищена.
Кейс 2. Cobalt Werewolf внутри инфраструктуры
Новый руководитель службы кибербезопасности начал работу с проверки инфраструктуры. CA выявил артефакты, указывающие на присутствие группировки Cobalt Werewolf. В системе были найдены образцы ВПО с характерными признаками CobInt и следы утилит для эксфильтрации данных. Атака не была доведена до конца, и компания избежала остановки бизнес‑процессов. Сам факт, что злоумышленники уже находились внутри и готовились к краже данных, стал решающим аргументом для внедрения постоянного мониторинга.
Кейс 3. Параллельные компрометации
Один из наиболее показательных случаев связан с крупной государственной организацией. В процессе анализа выяснилось, что в инфраструктуре действовали сразу две независимые группы. Первая, APT‑группировка, занималась шпионажем: действовала очень долго, применяла тихие техники, использовала кастомные импланты Mythic для постоянного присутствия и сбора данных. Вторая группа, ориентированная на хактивизм, вела себя шумно и быстро: получив доступ к хосту, сразу запускала дамп lsass и пыталась двигаться дальше без предварительной разведки. Активность второй группы заметили сами специалисты компании на ранних этапах установки EDR‑агентов.
Этот случай отлично иллюстрирует, насколько важно анализировать всю инфраструктуру целиком. Если бы организация ограничилась реактивным реагированием на хактивистов, шпионская APT‑группировка осталась бы незамеченной.
Compromise assessment — не разовая формальность, а отправная точка к построению зрелой кибербезопасности. Исследование дает объективный диагноз и позволяет провести полноценную инвентаризацию инфраструктуры. Чтобы разовый результат не остался просто констатацией фактов, на основе полученных данных выстраивается постоянный мониторинг и системная работа с инцидентами: внедряются EDR-решения, усиливается SOC, настраивается контроль конфигураций. Такой подход стратегически укрепляет доверие партнеров и инвесторов, а также кратно снижает вероятность будущих атак.
Реклама. Рекламодатель ООО «БИЗон», ИНН: 9701036178, erid:2SDnjc4WyjG