Гид по compromise assessment

48311
Гид по compromise assessment

Рассказываем, как устроен compromise assessment — процесс, помогающий обнаружить скрытого в инфраструктуре злоумышленника.

image
Владимир Гришанов
Автор
Владимир Гришанов
Руководитель BI.ZONE
Compromise Assessment

А на сайте BI.ZONE даем инструкцию для самопроверки.

Введение

Compromise assessment (CA) представляет собой глубокую проверку инфраструктуры, нацеленную на поиск реальных следов атак: подозрительных процессов, артефактов вредоносного ПО, нетипичного поведения учетных записей и записей в журналах. В отличие от классического аудита, CA фокусируется не на уязвимостях, а на фактических признаках компрометации. Методология выросла из DFIR, но расследование инцидентов запускается по факту атаки, а CA работает как превентивный инструмент. Попутно решается задача инвентаризации: формируется реальная картина IT-ландшафта. Провести полноценную проверку силами самой организации сложно из-за необходимости сбора и корреляции данных из множества систем. Привлечение внешних экспертов исключает предвзятость и снижает риск ложных выводов. CA работает как рентген инфраструктуры: выявляет скрытые угрозы, очерчивает масштаб проблемы и дает основу для плана «лечения».

Когда инструмент особенно актуален

CA дает максимальную ценность в сценариях, где нужна быстрая и достоверная оценка текущего состояния кибербезопасности.

При смене CISO или руководства по кибербезопасности. Новому руководителю нужна не просто унаследованная отчетность, а объективная картина. CA позволяет быстро понять, есть ли в инфраструктуре скрытые угрозы, которые могут аукнуться в будущем, а также с чего начинать построение защиты.

В процессе due diligence при M&A‑сделках. При слияниях и поглощениях киберриски напрямую влияют на стоимость актива. Скрытая компрометация может стать неприятным сюрпризом. Проверка на следы взлома снимает эту неопределенность, делая инвестиционное решение более взвешенным.

При восстановлении после инцидента. Даже после качественного расследования и устранения последствий атаки остается риск, что часть точек закрепления злоумышленника не выявлена. В таких случаях CA выступает в роли «второго взгляда», подтверждая, что инфраструктура действительно очищена и атакующий не сохранил доступ.

Всегда — в отраслях с повышенными рисками. Финансовые структуры, ритейл, организации с критической информационной инфраструктурой и операторы больших массивов персональных данных — в приоритете у атакующих. Для таких компаний регулярное проведение CA — не опция, а необходимость для раннего обнаружения вторжений.

Как проводят compromise assessment: подход BI.ZONE

В отличие от расследования инцидентов, где фокус сужен до конкретного события и ограниченного пула систем, CA предполагает проверку всей IT-инфраструктуры. Цель — убедиться в отсутствии незамеченной активности злоумышленника.

Мы используем методологию, сочетающую автоматизированную обработку данных (более 3800 правил детектирования) с ручной верификацией аномалий экспертами. Это исключает ложные срабатывания и дает достоверные подтверждения компрометации.

Такой подход применим в инфраструктурах с десятками тысяч устройств без потери глубины анализа, в отличие от классического «ручного» метода, характерного в основном для DFIR.

Ключевые принципы этого подхода к compromise assessment:

  • Скорость без ущерба бизнесу. Среднее время проекта — две недели с минимальным влиянием на бизнес‑процессы.
  • Минимизация ложноположительных срабатываний. Все подозрительные события проверяют аналитики.
  • Постоценка. Результат — не просто список угроз, а детальные рекомендации по их устранению и укреплению защиты в целом.
  • Бесшовный переход к реагированию. При обнаружении активной атаки процесс без паузы переводится в режим DFIR.

Именно такая комбинация позволяет в короткие сроки получить уверенность в том, что злоумышленник отсутствует в инфраструктуре.

Что анализируют в процессе

Процесс логически делится на три направления, каждое из которых фокусируется на конкретной части инфраструктуры.

Конечные устройства (рабочие станции, серверы)

Что включает в себя исследование:

  • Установка EDR‑агентов на все хосты. Ключевая часть CA — полное покрытие инфраструктуры средствами мониторинга. В отличие от DFIR, где изучаются образы лишь значимых систем, здесь важно стремиться к максимальному покрытию. Если установка агента невозможна, данные собираются специализированными утилитами (например, BI.ZONE Triage). Такой широкий охват позволяет выявлять даже те атаки, о которых никто не подозревал. В практике встречались случаи, когда один CA обнаруживал две независимые группы злоумышленников в инфраструктуре (об этом — ниже). Точечная проверка неминуемо оставила бы одну из атак незамеченной.
  • Ручной анализ критических узлов. На платформах виртуализации ищутся подозрительные сервисы, процессы и сетевые подключения. Контроллеры домена проверяются на артефакты, указывающие на использование инструментов для получения хешей. Вручную анализируются и те системы, где EDR‑агент установить нельзя: это могут быть как сильно устаревшие ОС, так и закрытые аттестованные системы, в которые запрещено вносить изменения. Такой адресный подход помогает найти следы взлома на критических узлах уже на этапе развертывания агентов.
  • Анализ журналов работы СЗИ. Изучаются логи антивирусов и EDR‑решений на предмет подозрительных сигнатур и попыток обхода защиты.
  • Сбор и анализ ретроспективных данных. Изучаются логи, системные журналы, данные со средств защиты за длительный период. Полный список собираемых артефактов (более 70) позволяет увидеть не только факты наличия вредоносных файлов, но и факты их запуска в прошлом.
  • Мониторинг в реальном времени. Параллельно с ретроанализом ведется наблюдение за текущими событиями. Это позволяет выявлять подозрительную активность по мере ее возникновения и собирать информацию о «летучих» артефактах, которые не записываются в долгосрочные журналы (например, сетевые соединения с серверами управления вредоносным ПО). Помимо этого, фиксируются попытки эскалации привилегий, запуск подозрительных процессов, сетевая активность, характерная для горизонтального перемещения, использование встроенных утилит Windows (living‑off‑the‑land) и другие индикаторы компрометации. Такой подход помогает не просто констатировать факт атаки, но и активно пресекать ее развитие.
  • ·Поиск мисконфигураций. Значительная часть атак эксплуатирует не уязвимости в ПО, а ошибки администрирования. Поэтому отдельно выявляются слабые или устаревшие пароли, неправильно настроенные политики Active Directory, привилегированные учетные записи без контроля, избыточные привилегии и прочие ошибки конфигурации.

Вся телеметрия с конечных точек или из журналов обогащается данными BI.ZONE Threat Intelligence (IP‑адреса, домены и хеши файлов). Ежедневно на портал поступает 30–50 тысяч новых индикаторов, а их суммарный объем превышает 40 миллионов. Обогащение всей доступной телеметрии этими данными позволяет выявлять обращения к управляющим серверам и обнаруживать известное вредоносное ПО даже в тех случаях, когда вредоносный файл уже неактивен, но сохранился на диске.

Постоянный мониторинг конечных точек обеспечивает высокую прозрачность происходящего в инфраструктуре. Фиксация событий в реальном времени дает возможность выявлять как уже состоявшиеся действия злоумышленника, так и ранние признаки атаки. Это снижает вероятность скрытого присутствия и повышает скорость реагирования.

Периметр компании (внешние IP‑адреса, DNS‑записи, сайты, VPN и почтовые шлюзы, NGFW)

Что включает в себя исследование:

  • Сканирование внешнего периметра. Открытые управляющие порты и уязвимые сервисы — одни из самых частых векторов атак. Анализ проводится поэтапно:

1. Дискавери‑сканирование

Реализуется активное и пассивное сканирование по IP‑адресам и доменным именам, включая обход подстраниц и параметризованных URL, сбор баннеров, анализ сертификатов TLS, определение версий сервисов, идентификацию веб‑фреймворков и CMS. Уже на этом этапе можно заметить нежелательные порты управления, экспонированные напрямую в интернет.

2. Сканирование на уязвимости

Автоматизированное сканирование охватывает найденные открытые сервисы и веб‑страницы. Обнаруженные уязвимости ранжируются в соответствии с CVSS, а отдельно маркируются те, которые, по данным BI.ZONE Threat Intelligence, уже активно эксплуатируются. При анализе веб‑приложений и CMS дополнительно выполняется автоматический обход страниц для поиска доступных админ‑панелей, незащищенных механизмов загрузки файлов и устаревших компонентов — потенциальных векторов проникновения.

3. Обработка результатов

Важно, что клиенту не просто предоставляют информацию об уязвимостях, но и проверяют, не воспользовался ли ими злоумышленник. При возможности на уязвимые хосты оперативно устанавливается EDR‑агент, а также проводится ручной анализ. Если установить агент нельзя (например, на сетевых устройствах), выполняется только ручной разбор.

  • Анализ сетевых подключений. Изучение данных NGFW и исходящего трафика позволяет выявлять соединения с подозрительными ресурсами — от командных центров до адресов, связанных с майнингом. Это критически важно для проприетарных и сетевых устройств, куда нельзя установить EDR‑агент и которые сложно анализировать вручную. Сетевая телеметрия частично закрывает это слепое пятно: аномальные исходящие подключения сигнализируют о возможной компрометации и запускают дополнительные проверки. Однако по глубине и надежности доказательств сетевой анализ уступает прямому исследованию самих систем.
  • Анализ почтовых вложений и отправителей. Вложения и отправители проверяются в связке с актуальными источниками BI.ZONE Threat Intelligence: базами фишинговых доменов, сведениями о вредоносных файлах и фишинговых кампаниях различных группировок. Это позволяет находить следы атак, пришедших по электронной почте. Особая угроза — BEC‑атаки (business email compromise). Они опасны своей незаметностью: не оставляют следов на конечных устройствах и в сетевых журналах. Выявить подставного отправителя и предотвратить такую атаку способен только детальный разбор почтового трафика.

Анализ внешнего периметра позволяет определить, насколько компания устойчива к атакующим, не имеющим внутренних привилегий. Чем точнее оценивается периметр, тем ниже риск компрометации через публично доступные сервисы.

Глобальная сеть (публичные источники, теневые ресурсы, доменные имена)

Что включает в себя исследование:

  • Сбор данных на теневых ресурсах. Мониторятся площадки вне поля зрения обычных поисковых систем: onion‑сервисы, специализированные чаты, публичные и закрытые каналы в Telegram. Отслеживаются любые упоминания компании, ее юридических лиц и доменов. Важен как сам факт упоминания, так и контекст: не выставляются ли на продажу базы данных, не обсуждаются ли проведенные или планируемые атаки. Все найденные сигналы тщательно проверяются, и при подтверждении атаки или утечки начинается исследование инфраструктуры с поиском следов злоумышленников.
  • Проверка ресурсов для обмена данными. Ищется чувствительная информация о компании на публичных платформах, доступных через обычный браузер: GitHub, Pastebin, Trello и других аналогичных сервисах. Анализируются упоминания корпоративных данных с ключевыми словами типа password, api, token. Найденные сведения передаются заказчику для верификации — насколько они актуальны и действительно ли относятся к компании. При подтверждении запускается целевое расследование: целенаправленно анализируются журналы и системы, чтобы понять, не воспользовались ли злоумышленники этими данными.
  • Проверка сторонних баз данных. Сторонние базы данных и коллекции утечек проверяются на наличие упоминаний компании, доменов, сотрудников и конфиденциальной информации. При обнаружении совпадений информация передается клиенту для подтверждения, после чего при необходимости инициируется расследование по выявленному вектору.
  • Проверка публичных интернет‑сканеров. Данные публичных сканеров (Shodan, Censys, crt.sh и других) анализируются для поиска потенциальных уязвимостей во внешних активах организации. Такие сервисы помогают выявить открытые порты, устаревшие сервисы, некорректно настроенные облачные ресурсы, а также утечки, связанные с доменами и IP‑адресами. Это дает полную картину внешних сервисов и определяет возможные векторы атак еще до развертывания EDR‑агентов.

Актуальное состояние инфраструктуры оценивается в первую очередь через активное сканирование. Но публичные сканеры также позволяют увидеть уязвимости, которые уже закрыты к моменту проекта, но могли использоваться ранее. Такие находки обрабатываются по стандартной процедуре: верификация, приоритизация и, если необходимо, целевое расследование — так же, как и в случае с уязвимостями, найденными при активном сканировании.

  • Анализ баз зарегистрированных доменных имен. Проверяются базы доменов на наличие записей, которые включают название компании или похожи на него, но зарегистрированы без ведома организации. Подобные домены — популярный инструмент для фишинга и атак, мимикрирующих под легитимные ресурсы. Особое внимание уделяется доменам, пригодным для BEC‑кампаний, когда злоумышленники от имени компании атакуют партнеров или клиентов. Каждый обнаруженный домен оценивается по уровню риска, при необходимости направляется на верификацию и инициируются меры реагирования.

Такой комплексный анализ внешних источников позволяет системно обнаруживать упоминания компании, потенциальные уязвимости, несанкционированные домены и факты утечек данных.

Что обычно находят в ходе compromise assessment

Отчет по CA редко содержит фразу «ничего подозрительного не обнаружено». Даже в зрелых компаниях встречаются артефакты, представляющие собой прямые признаки компрометации или забытые инструменты пентестеров. Среди характерных находок:

Прокси‑туннели вроде Gsocket и Localtonet. Такие инструменты позволяют выбрасывать внутренние сервисы наружу в обход корпоративного периметра и средств мониторинга. Их используют как разработчики для тестирования, так и злоумышленники для закрепления доступа.

Легитимный софт для удаленного доступа. Атакующие могут использовать AnyDesk, TeamViewer, PsExec. CA выявляет случаи несанкционированного использования таких приложений и подсвечивает риски от неконтролируемого доступа.

Майнеры и нежелательное ПО. На уже скомпрометированных хостах злоумышленники нередко размещают скрытые майнеры. Это не только создает избыточную нагрузку на инфраструктуру, но и служит сигналом о том, что атака могла иметь более серьезный характер. CA позволяет находить такие процессы, работающие порой годами.

Следы пентестеров. Часто обнаруживаются артефакты, оставшиеся после проектов по анализу защищенности или тестированию на проникновение. На хостах, включая пользовательские, остаются инструменты для проведения атак, отключенные средства защиты, а иногда и действующие туннели от подрядчиков, сотрудничество с которыми уже завершено.

Учетные записи с устаревшими или слабыми паролями. Классическая проблема — пароли, не менявшиеся годами. Часто встречается и переиспользование одного и того же пароля для обычной и административной учетных записей сотрудника, что упрощает злоумышленнику перемещение по сети и повышение привилегий.

Неправильно настроенный Active Directory. AD остается ядром инфраструктуры во многих организациях, и ошибки в его конфигурации — настоящий подарок для атакующего. Слабые парольные политики, неограниченное делегирование, открытый SID‑History, устаревшие протоколы аутентификации — все это открывает дорогу атаке.

Неотключенные учетные записи бывших сотрудников. Регулярная находка — десятки «мертвых душ» в домене: учетные записи уволенных сотрудников или подрядчиков, которые никто не деактивировал. Особую опасность представляют старые аккаунты администраторов, нередко с правами доменного администратора и без требований смены пароля.

Что получает компания в результате

Итогом CA становится развернутый отчет с объективной картиной состояния инфраструктуры. В него входят:

  • Выявленные признаки компрометации с описанием артефактов, тактик и техник MITRE ATT&CK, а также сведения о предпринятых мерах.
  • Мисконфигурации и уязвимости, повышающие риск проникновения или развития атаки.
  • Приоритизированные рекомендации: срочные шаги для закрытия критических брешей и стратегические меры для долгосрочного повышения зрелости защиты.

В отчете фигурируют не общие риски, а конкретные угрозы: системы и учетные записи с признаками компрометации, скриншоты, логи, идентификаторы процессов и хеши файлов. Это позволяет видеть реальные, а не гипотетические проблемы. Таким образом, CA не просто отвечает на вопрос «Взломаны ли мы прямо сейчас?», но и дает дорожную карту для существенного снижения вероятности успешной атаки в будущем.

Примеры из практики

Compromise assessment всегда приносит неожиданные результаты, даже если компания уверена в безопасности. Вот три реальных кейса, которые показывают, почему эта практика критически важна.

Кейс 1. Gsocket в «чистой» сети

Компания готовилась к внешнему аудиту. Внутренние проверки были пройдены, уязвимости закрыты, от специалистов ждали лишь формальное подтверждение безопасности. Однако в ходе CA были обнаружены два активных туннеля через Gsocket, обеспечивавших злоумышленнику доступ в закрытый контур инфраструктуры. Никаких разрушительных действий не производилось: атакующий просто закрепился и спокойно выгружал данные с зараженных хостов. При этом организация жила с полной уверенностью, что защищена.

Кейс 2. Cobalt Werewolf внутри инфраструктуры

Новый руководитель службы кибербезопасности начал работу с проверки инфраструктуры. CA выявил артефакты, указывающие на присутствие группировки Cobalt Werewolf. В системе были найдены образцы ВПО с характерными признаками CobInt и следы утилит для эксфильтрации данных. Атака не была доведена до конца, и компания избежала остановки бизнес‑процессов. Сам факт, что злоумышленники уже находились внутри и готовились к краже данных, стал решающим аргументом для внедрения постоянного мониторинга.

Кейс 3. Параллельные компрометации

Один из наиболее показательных случаев связан с крупной государственной организацией. В процессе анализа выяснилось, что в инфраструктуре действовали сразу две независимые группы. Первая, APT‑группировка, занималась шпионажем: действовала очень долго, применяла тихие техники, использовала кастомные импланты Mythic для постоянного присутствия и сбора данных. Вторая группа, ориентированная на хактивизм, вела себя шумно и быстро: получив доступ к хосту, сразу запускала дамп lsass и пыталась двигаться дальше без предварительной разведки. Активность второй группы заметили сами специалисты компании на ранних этапах установки EDR‑агентов.

Этот случай отлично иллюстрирует, насколько важно анализировать всю инфраструктуру целиком. Если бы организация ограничилась реактивным реагированием на хактивистов, шпионская APT‑группировка осталась бы незамеченной.

Заключение

Compromise assessment — не разовая формальность, а отправная точка к построению зрелой кибербезопасности. Исследование дает объективный диагноз и позволяет провести полноценную инвентаризацию инфраструктуры. Чтобы разовый результат не остался просто констатацией фактов, на основе полученных данных выстраивается постоянный мониторинг и системная работа с инцидентами: внедряются EDR-решения, усиливается SOC, настраивается контроль конфигураций. Такой подход стратегически укрепляет доверие партнеров и инвесторов, а также кратно снижает вероятность будущих атак.

Реклама. Рекламодатель ООО «БИЗон», ИНН: 9701036178, erid:2SDnjc4WyjG

Реклама. 18+ ООО «Секъюритм» ИНН 7820074059
Бесплатный вебинар
КАК СТАТЬ CISO:
КАРТА РОСТА
Бесплатный вебинар 9 июля в 11:00 для тех, кто хочет развиваться в ИБ.
Записаться →