Разбираем ДНК атаки с экспертами PT NAD: реальное расследование вместо теории

В условиях современных киберугроз классического мониторинга сетевого периметра уже недостаточно. Злоумышленники используют шифрованные каналы, легитимные инструменты администрирования и тактику «Горизонтального перемещения» (Lateral Movement), чтобы оставаться незамеченными. Как ИБ-специалисту увидеть атаку в огромном потоке сетевого трафика и, главное, как правильно её провалидировать?
В рамках вебинара эксперты Positive Technologies разобрали реальную цепочку атаки — от эксплуатации уязвимости до продвижения внутри сети.

Материал будет полезен как руководителям отделов ИБ для понимания стратегии защиты, так и практикующим аналитикам SOC.

Пересказ вебинара

Мы добавили структурированный саммари вебинара. Это текстовая расшифровка с выделением самого важного — основные тезисы, структура и выводы для тех, кто предпочитает читать.

TL; DR: краткое резюме

• Гибридная экспертиза: современная атака не ловится одним методом. PT NAD сочетает классику (сигнатуры), глубокий анализ (ленты активностей) и ML (аномалии).
• Детект в шифрованном трафике: PT NAD обеспечивает поиск угроз в шифрованном трафике, анализируя «побочные каналы». Например, фреймворк постэксплуатации Sliver детектируется именно благодаря этому методу.
• Выявление техник Pivoting: модули ленты активностей находят скрытое перемещение внутри сети через нестандартные именованные каналы SMB.
• Революция в IoC: репутационные списки получили строгую нотацию (manual/auto), цветовую индикацию и подробный контекст по группировкам и техникам.

Фундамент экспертизы: три класса методов обнаружения

В начале выступления Виктор Еременко подчеркнул критически важную мысль: невозможно обнаружить настоящую современную атаку, полагаясь только на один тип экспертизы. Именно поэтому в PT NAD реализовано многообразие методов, которое дает уверенность в обнаружении злоумышленника.

Классическая экспертиза

Классические методы по-прежнему актуальны. Они включают:

• Сигнатурный анализ: поиск известных паттернов атак.
• Репутационные списки (IoC): выявление связей с вредоносными адресами, доменами, хэшами файлов, URL.
• Интеграция с песочницами: автоматическая передача файлов на анализ.

Глубокая экспертиза (Модули ленты активности)

Это уникальный компонент PT NAD. Модули позволяют сопоставлять сетевые сессии, которые на первый взгляд не связаны между собой. Это необходимо для выявления сложных техник, которые не детектируются обычными сигнатурами.

Машинное обучение (ML)

Алгоритмы ML в продукте направлены на поиск аномалий, в частности, механизм пользовательских правил профилирования позволяет находить релевантные для конкретной инфраструктуры угрозы.

Алгоритм валидации сработок: от алерта до инцидента

Виктор Еременко подробно остановился на том, что должен делать аналитик, когда система генерирует оповещение. Процесс валидации состоит из трех четких шагов:

1. Сбор контекста: анализ типа детектора (сигнатура, репсписок или модуль активности), его критичности, времени срабатывания и протокола.
2. Анализ сетевого поведения: изучение «физики» сессии: какой был размер данных, частотность соединений, использовались ли стандартные порты или нестандартные протоколы.
3. Верификация успешности: главная задача — понять, достигла ли атака цели и каков потенциальный ущерб.

Виктор подчеркнул, что практически для каждого типа экспертизы в продукте есть плейбуки — готовые инструкции по реагированию, которые помогают даже начинающему аналитику правильно интерпретировать событие.

Практический разбор атаки: Анатомия кейса в интерфейсе PT NAD

Далее эксперты перешли к самой важной части — демонстрации реального инцидента. Андрей Тюленев начал с обзора дашборда атак.

В этом фрагменте вебинара (рекомендуем посмотреть видео с 04:10) спикер наглядно показывает интерфейс системы и то, как среди тысяч алертов найти действительно критические события с помощью фильтрации.

Обнаружение фреймворка Sliver

Андрей продемонстрировал критическую («красную») сработку на использование Sliver. Эксперт особо отметил, что детект сработал на утилиту, которая использовала mTLS. Это стало возможным благодаря анализу «побочных каналов» — в частности, длин TLS-пакетов в сессии. Это позволяет PT NAD видеть угрозу в зашифрованном трафике без его расшифровки.

Анализ техник Pivoting и модули активности

После обнаружения Sliver аналитики перешли к изучению продвижения злоумышленника внутри сети.

Рекомендуем посмотреть фрагмент вебинара (с 07:20), где демонстрируется работа с модулями ленты активности для поиска скрытых связей.

Андрей Тюленев увидел срабатывание модуля на неизвестный именованный канал SMB с подозрительным названием hackerpipe. Виктор Еременко пояснил, что такие модули решают три задачи:

• Поиск аномалий.
• Анализ несвязанных сессий.
• Информирование о важных изменениях в сети.

Использование именованных каналов позволяет злоумышленнику осуществлять Pivoting — передавать данные от изолированных узлов через скомпрометированный сервер к командному центру (C2).

Разбор репутационных списков и IoC

При анализе узлов система подсветила срабатывание по репутационному списку с пометкой manual. Это означает, что индикатор был отобран экспертами вручную и обладает высочайшей достоверностью.

На таймкоде 14:00 Виктор Еременко подробно объясняет новую логику именования и цветовой индикации репутационных списков.

Виктор Еременко отметил ключевые изменения в работе с IoC:

• Нотация нейминга: в названии списка четко указано, сформирован он автоматически (auto) или сформирован вручную (manual). Метка new указывает на впервые прилетевшие индикаторы.
• Цветовая индикация: красные списки требуют немедленной реакции, желтые — предупреждают о подозрительной активности (например, DGA), синие — носят информационный характер (IP-чекеры и т. д.).
• Контекст и описание: теперь каждый список имеет «Описание», в котором содержится информация о группировке или вредоносном ПО и рекомендациях по защите.

Поиск точки входа: threat hunting в действии

Андрей Тюленев задался вопросом: как злоумышленник изначально попал на сервер? Аналитики перешли к изучению статистики использования прикладных протоколов на узле.

Рекомендуем посмотреть этот фрагмент вебинара (с 19:00), где показан процесс скачивания дампа трафика (PCAP) и его анализа.

При анализе дампов трафика было обнаружено выполнение команд: злоумышленник запускал команды id, ls, что характерно для открытого шелла.

Также было обнаружено:

1. Использование Chisel: хакер пытался обойти сигнатуры, подменив характерный HTTP-заголовок (User-Agent) для туннеля Chisel. Однако PT NAD сохраняет метаданные, что позволило аналитикам найти эту сессию вручную в ходе хантинга.
2. Эксплуатация уязвимости: была найдена сработка на уязвимость React to Shell (CVE), которая и стала точкой входа.

Итоги расследования: Цепочка Kill Chain

Виктор Еременко подвел итог: критическая сработка на Sliver произошла ровно посередине атаки. Если бы оператор своевременно провалидировал алерт, он смог бы остановить хакера до того, как тот осуществил энумерацию домена, что впоследствии на более поздних стадиях могло бы нанести ущерб. Атака стала возможной из-за мисконфигурации инфраструктуры: один хост имел одновременный доступ в интернет и доступ по административным протоколам внутрь сети. В этом кейсе успешно сработали все типы экспертизы: сигнатуры, репсписки и модули активности.

Блок вопросов и ответов (Q&A)

Вопрос от Павла: Какой период исследования для хоста вы оставляете по умолчанию при валидации сработки? Андрей Тюленев: При валидации стоит ориентироваться на весь период, за который доступны метаданные. Действия злоумышленников могут растягиваться во времени (закладки, возвращение спустя месяц). Стоит смотреть минимум на несколько суток назад и вперед от момента детекта.

Вопрос от Николая: Как исключить сработки на IP внешних прокси, которые часто фонят? Виктор Еременко: Это обычно репсписки синего цвета. Если они нерелевантны для вашей инфраструктуры и отвлекают от анализа, их целесообразно просто отключить в настройках продукта.

Вопрос от Андрея: Если трафик шифрованный (например, mTLS), видит ли его продукт? Андрей Тюленев: Да, сигнатура Sliver была определена по побочным каналам (длинам TLS-чанков). Даже если команды шифрованы, имена пайпов SMB остаются открытыми. Кроме того, в Client Hello (TLS) часто встречаются адреса в открытом виде (SNI). Методов обнаружения в шифрованном трафике множество.

Вопрос: Какие правила использовать для изолированного сегмента без доступа в интернет? Виктор Еременко: Мы рекомендуем оставить всю экспертизу «из коробки». Если возникнут ложные срабатывания (FP), их лучше убрать через исключения. Продукт содержит достаточно экспертизы, чтобы увидеть злоумышленника даже в изолированной сети.

Вопрос: Почему RDP/SSH между внутренними узлами имеет Middle приоритет, а не High? Андрей Тюленев: В данном кейсе признаком атаки стал специфичный SNI 127.0.0.1 в RDP-сессии, что указывало на туннелирование. Приоритет зависит от контекста и типичности такого поведения для конкретной сети.

Вопрос: Контролируется ли трафик через DNS в TXT-записях? Андрей Тюленев: Да, все записи сохраняются в Elastic Search и доступны для поиска. У нас есть специальный модуль активности, который ищет DNS-туннелирование. Он анализирует количество запросов к корневому домену и содержимое пакетов. Это не сигнатурный метод, он выявляет саму аномалию передачи данных через DNS.

Заключение и планы развития

Виктор Еременко поделился дорожной картой развития продукта. Сегодня грань между NTA и NDR стирается, и PT NAD уже сейчас позволяет расследовать и реагировать на инциденты.

• Релиз 13.0 (лето 2026): появление функционала активного реагирования через интеграцию с PT EDR.
• Конец 2026 года: реализация реагирования посредством NGFW.

Эксперты призвали не только внедрять инструменты, но и выстраивать процессы вокруг них, а также использовать обучающие курсы Positive Technologies для повышения квалификации команд безопасности.

👉  Рекомендуем посмотреть полную запись вебинара для детального изучения интерфейса и живого разбора дампов трафика

FAQ

• Может ли PT NAD обнаружить атаку в зашифрованном трафике? Да, система использует анализ побочных каналов (длины пакетов) и метаданные сессий для детекта угроз (например, Sliver) без расшифровки TLS.
• Что такое модули ленты активности? Это экспертные модули, которые коррелируют данные между разрозненными сетевыми сессиями для поиска аномалий и сложных техник продвижения хакеров.
• Когда в PT NAD появится активное реагирование? Полноценный функционал NDR с блокировкой сессий через PT EDR запланирован на лето 2026 года в релизе 13.0.