ZeroTrace — типичный представитель инфостилеров нового поколения: удобный интерфейс для оператора, «актуальная» поддержка браузеров и набор сценариев, который превращает пользовательский профиль в каталог трофеев. Маркетинговая легенда про «исследовательский инструмент» не скрывает сути: цель — извлечь секреты из браузеров и системной среды и отправить их на управляемый сервер. Если говорить по-деловому, это не «лабораторная игрушка», а готовая сборка из известных техник в аккуратной упаковке.
Ниже — сжатый, но полный обзор, которому доверит и SOC-аналитик, и практик по защите рабочих станций. Без лишней романтики, только то, что важно для оценки риска и планирования детектов. Исходный репозиторий: ZeroTrace на GitHub.
Что это за инструмент и как он выглядит
ZeroTrace — открытый проект под Windows (.NET 4.8+) с клиент-серверной архитектурой. Клиент собирает артефакты на машине жертвы, сервер принимает подключения, сортирует данные по «клиентам» и показывает их в GUI. Это «панель» с разделами вроде Dashboard, Password Manager, Client Manager, проводником по файлам и простым терминалом — всё, чтобы оператор не страдал от командной строки и рутинных выгрузок.
Есть «Client Builder»: конструктор, где задают адрес сервера, набор собираемых категорий и поведение (архивация, расписание, что именно тянуть из профилей). Системные требования нейтральные: Windows 8/10/11, желательно админ-права, .NET, немного памяти. Иными словами, такой двоичный файл не вызывает подозрений «сам по себе», пока не смотреть на активность.
Как устроена кража данных и почему упоминают «Chrome v20»
Главная добыча — браузерные секреты: сохранённые пароли, куки/сессии, автозаполнение (включая адреса и карты), история, закладки, список загрузок и расширений. Критический момент — работа с современной схемой шифрования Chrome (условно «v20»): данные в SQLite защищены AES-GCM, а мастер-ключ хранится в «Local State» и на Windows расшифровывается через DPAPI в контексте пользователя. Запустили клиент под пользователем — получили ключ к его секретам.
Отдельный риск — куки и токены сессий. Импорт такого «cookie-jar» в нужный инструмент даёт оператору готовую аутентификацию без пароля и MFA-прогона. Поэтому инциденты со стилерами редко заканчиваются «заменой пароля»: компрометация тянется до отзыва всех активных сессий в облаках и админках.
Помимо браузеров, ZeroTrace собирает сводки об ОС, оборудовании, сетевых параметрах и установленном ПО — оператору это помогает сегментировать «клиентов», а защитникам даёт маркеры рекогносцировки и подготовки к дальнейшим действиям. По тактикам это легко мапится на MITRE ATT&CK: T1555.003 (доступ к учётным данным из браузеров) и в дальнейшем T1041 (эксфильтрация поверх C2-канала).
Как данные утекают и какие следы остаются
Связь — обычные TCP-подключения клиента к серверу/панели. С точки зрения наблюдаемости это «эксфильтрация по управляемому каналу» с шифрованием (часто заявляют AES-256 и валидацию сертификата), то есть DPI по строкам почти бесполезен. Но «поведение» — ваш лучший друг: пачки исходящего трафика синхронизируются с локальной упаковкой собранных данных.
Файловая активность предсказуемая: нетипичные процессы открывают «Local State», «Login Data», «Cookies», «Web Data», «History» в профилях Chrome/Edge/Brave; идут характерные блокировки/чтения SQLite, затем появляются временные архивы. На «холодной» машине, где пользователь не работает в браузере, такие операции особенно заметны.
Процессы часто выглядят как .NET-хосты, у которых за минуту-две выстраивается цепочка: доступ к профилям → извлечение и расшифровка → упаковка → исходящее соединение. Если это повторяется по расписанию, в телеметрии виден понятный пульс. Именно так ловят «живущие» клиенты, а не только разовый дроппер.
На серверной стороне «панель» хранит и агрегирует поступившее: IP-адрес, «клиента», «first/last seen», объёмы и категории. Для расследования это значит, что у злоумышленника удобный интерфейс наведения порядка в трофеях; для защиты — что одних сигнатур по бинарю мало, важнее ловить сам сценарий работы.
Как минимизировать риск: практические шаги
Сократите ценность профилей. Запретите браузерам хранить пароли корпоративных сервисов политиками, переведите сотрудников (и особенно админов) на менеджеры секретов с аппаратной привязкой и MFA. Меньше «вкусных» артефактов — ниже стимул эксплуатации и короче цепочка пост-эксплуатации.
Детектируйте доступ к профилям. Ставьте правила на чтение «Local State» и SQLite-баз Chrome/Edge/Brave нестандартными процессами, особенно в нерабочие часы. Это не «шум»: как показывает практика, именно такой триггер опережает захват сессий и неожиданные логины в облака.
Связывайте диск с сетью. Коррелируйте: (1) нетипичный доступ к профилям → (2) создание ZIP/временных файлов → (3) исходящее шифрованное соединение к новому хосту. Это прямая обвязка вокруг T1555.003 и T1041 и лучший формат для плейбуков в SIEM/SOAR с быстрым отзывом токенов.
Жёстче относитесь к расширениям. Внедрите allow-list, отключите сторонние магазины, инвентаризируйте установленные расширения и регулярно выгружайте перечень — это уменьшает поверхность для фиксации токенов и куки на стороне браузера. Учитывайте, что ZeroTrace сам собирает список расширений — значит, оператор видит, где «легче» закрепиться.
Разнесите чувствительные контуры. Админские задачи и разработка — в «стерильных» профилях/учётках без автосохранений и лишних расширений; ежедневная рутина — отдельно. Такой «санитарный кордон» лишает стилер эффекта домино, когда одна компрометация открывает путь сразу в несколько доменов.
Заключение
ZeroTrace — не магия, а аккуратная реализация давно известных приёмов с акцентом на UX для злоумышленника. Сильные стороны инструмента — актуальная поддержка Chrome-шифрования, сбор сессий и удобная «панель» — одновременно и ваши точки детекта: доступ к профилям, пульс эксфильтрации, корреляция действий на диске и в сети. В выигрыше окажется команда, у которой эти маркеры уже превращены в правила, дашборды и плейбуки инцидент-реакции.
Полезно иметь под рукой: исходный код ZeroTrace, описания техник ATT&CK T1555.003 и ATT&CK T1041, а также внутренние инструкции по отзыву сессий и сбросу MFA-связок в критичных облачных сервисах — они пригождаются не реже, чем сигнатуры.
Дисклеймер: информация приведена для исследовательских целей. Не запускайте и не распространяйте вредоносные программы. Любые эксперименты — только в изолированной среде и в рамках закона.
