Хакерский подход к расследованию кибератак: Как не пропуститьfileless-шпионаж

1 июля 2025 г.

Вступление

Кибербезопасность - это не только защита от внешних угроз, но и внутренних ошибок. В последнее время участились случаи fileless-шпионажа, когда злоумышленники используют легитимные процессы для своих целей. В этом материале мы разберем случай, когда один из наших читателей столкнулся с подозрительной активностью на сервере и рассмотрим, как он мог бы подойти к этому случаю.

«В темноте ночи, когда все спят, я остаюсь на страже» - это японский хокку, который подходит к нашей теме, потому что в кибербезопасности бдительность - это ключ к успеху.

Рассказ от первого лица

Я - один из немногих специалистов в своей компании, и поэтому я отвечаю за безопасность наших систем. В ту ночь, когда я не мог спать, я решил проверить метрики, и вдруг увидел, что один из наших серверов работал на 200% мощности. Никаких предупреждений SIEM, никаких записей в журнале, никаких подозрительных сетевых вызовов. Все было тихо и спокойно.

Я открыл консоль Falcon и увидел подозрительный процесс PowerShell, который я никогда не видел раньше. Он не был помечен как подозрительный, и я не нашел никаких необычных сетевых вызовов. Мое чутье говорило мне, что это файллесс-шпионаж, живущий в памяти и использующий легитимные процессы.

Основные тенденции

Fileless-шпионаж - это новая форма кибератак, которая становится все более популярной. Злоумышленники используют легитимные процессы и живут в памяти, не оставляя следов на диске или в журнале. Это делает их труднообнаружимыми, и только бдительность и внимание к деталям могут помочь обнаружить их.

Детальный разбор

В этом случае мы видим, что злоумышленник использовал PowerShell для своей цели. PowerShell - это мощный инструмент, который может быть использован как для добрых, так и для злых целей. В этом случае мы не знаем, что делает PowerShell, но мы можем предположить, что это файллесс-шпионаж.

Вот что сказал один из комментаторов на Reddit: «Если у вас есть Falcon, то он должен был обнаружить это. Если вы не увидели ничего подозрительного, то, вероятно, это не файллесс-шпионаж».

Но мы не знаем, что делает PowerShell, и мы не знаем, какие еще процессы могут быть связаны с этим. Поэтому мы должны быть бдительными и продолжать исследовать.

Практические примеры

В этом примере мы можем использовать инструменты для анализа памяти, такие как Volatility или Rekall. Мы можем использовать эти инструменты для анализа памяти и поиска подозрительных процессов.


import volatility.plugins.taskmgr as taskmgr

# Открываем файл памяти
mem_file = open("memory.dump", "rb")

# Создаем объект для анализа памяти
mem_obj = taskmgr.TaskManager(mem_file)

# Анализируем память
for task in mem_obj.tasks():
    # Проверяем, является ли процесс подозрительным
    if task.ImageFileName == "powershell.exe":
        print("Подозрительный процесс найден!")
        break

В этом примере мы используем инструмент Volatility для анализа памяти и поиска подозрительного процесса PowerShell.

Возможные решения и рекомендации

В этом случае мы видим, что бдительность и внимание к деталям могут помочь обнаружить файллесс-шпионаж. Мы должны использовать инструменты для анализа памяти и поиска подозрительных процессов.

Мы также должны использовать системы обнаружения аномалий и SIEM для обнаружения подозрительных активностей. И, конечно, мы должны быть готовы к тому, что злоумышленники будут использовать новые методы и инструменты.

Заключение

Fileless-шпионаж - это новая форма кибератак, которая требует бдительности и внимания к деталям. Мы должны использовать инструменты для анализа памяти и поиска подозрительных процессов, а также системы обнаружения аномалий и SIEM для обнаружения подозрительных активностей.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE