Хакерский подход к расследованию кибератак: Как не пропуститьfileless-шпионаж
1 июля 2025 г.Вступление
Кибербезопасность - это не только защита от внешних угроз, но и внутренних ошибок. В последнее время участились случаи fileless-шпионажа, когда злоумышленники используют легитимные процессы для своих целей. В этом материале мы разберем случай, когда один из наших читателей столкнулся с подозрительной активностью на сервере и рассмотрим, как он мог бы подойти к этому случаю.
«В темноте ночи, когда все спят, я остаюсь на страже» - это японский хокку, который подходит к нашей теме, потому что в кибербезопасности бдительность - это ключ к успеху.
Рассказ от первого лица
Я - один из немногих специалистов в своей компании, и поэтому я отвечаю за безопасность наших систем. В ту ночь, когда я не мог спать, я решил проверить метрики, и вдруг увидел, что один из наших серверов работал на 200% мощности. Никаких предупреждений SIEM, никаких записей в журнале, никаких подозрительных сетевых вызовов. Все было тихо и спокойно.
Я открыл консоль Falcon и увидел подозрительный процесс PowerShell, который я никогда не видел раньше. Он не был помечен как подозрительный, и я не нашел никаких необычных сетевых вызовов. Мое чутье говорило мне, что это файллесс-шпионаж, живущий в памяти и использующий легитимные процессы.
Основные тенденции
Fileless-шпионаж - это новая форма кибератак, которая становится все более популярной. Злоумышленники используют легитимные процессы и живут в памяти, не оставляя следов на диске или в журнале. Это делает их труднообнаружимыми, и только бдительность и внимание к деталям могут помочь обнаружить их.
Детальный разбор
В этом случае мы видим, что злоумышленник использовал PowerShell для своей цели. PowerShell - это мощный инструмент, который может быть использован как для добрых, так и для злых целей. В этом случае мы не знаем, что делает PowerShell, но мы можем предположить, что это файллесс-шпионаж.
Вот что сказал один из комментаторов на Reddit: «Если у вас есть Falcon, то он должен был обнаружить это. Если вы не увидели ничего подозрительного, то, вероятно, это не файллесс-шпионаж».
Но мы не знаем, что делает PowerShell, и мы не знаем, какие еще процессы могут быть связаны с этим. Поэтому мы должны быть бдительными и продолжать исследовать.
Практические примеры
В этом примере мы можем использовать инструменты для анализа памяти, такие как Volatility или Rekall. Мы можем использовать эти инструменты для анализа памяти и поиска подозрительных процессов.
import volatility.plugins.taskmgr as taskmgr
# Открываем файл памяти
mem_file = open("memory.dump", "rb")
# Создаем объект для анализа памяти
mem_obj = taskmgr.TaskManager(mem_file)
# Анализируем память
for task in mem_obj.tasks():
# Проверяем, является ли процесс подозрительным
if task.ImageFileName == "powershell.exe":
print("Подозрительный процесс найден!")
break
В этом примере мы используем инструмент Volatility для анализа памяти и поиска подозрительного процесса PowerShell.
Возможные решения и рекомендации
В этом случае мы видим, что бдительность и внимание к деталям могут помочь обнаружить файллесс-шпионаж. Мы должны использовать инструменты для анализа памяти и поиска подозрительных процессов.
Мы также должны использовать системы обнаружения аномалий и SIEM для обнаружения подозрительных активностей. И, конечно, мы должны быть готовы к тому, что злоумышленники будут использовать новые методы и инструменты.
Заключение
Fileless-шпионаж - это новая форма кибератак, которая требует бдительности и внимания к деталям. Мы должны использовать инструменты для анализа памяти и поиска подозрительных процессов, а также системы обнаружения аномалий и SIEM для обнаружения подозрительных активностей.
Оригинал