Что делать, если вас взломали месяцы назад: пошаговый план действий

от

«Это не вопрос, если у тебя чёткий план. Это вопрос, когда тебе становится страшно от понимания, что у тебя его нет, и ты начинаешь метаться между паникой, тихим ужасом и попытками закрыть дыру, из которой уже всё вытекло. Даже хорошие специалисты в этот момент могут наломать два веника поверх руин, потому что действуют по инерции. Задача — сломать эту инерцию, принять, что прошлое исправить нельзя, и работать с будущим. А будущее начинается с протокола, который ты составишь сегодня.»

Шаг 0: Сейчас главное — ничего не ломать

Первая мысль — найти и удалить злоумышленника. Это ошибка. Удаляя следы, ты уничтожаешь улики, по которым можно понять масштаб, цели и методы атаки. Если инцидент уже длится месяцы, спешка не нужна — действовать нужно методично.

Прекрати прямое вмешательство в заражённые системы. Не запускай антивирусы в режиме очистки, не пытайся «вычистить» файлы вручную. Отключи систему от сети, если это критически важный сервер? Нет. Это может быть сигналом для злоумышленника активировать деструктивные механизмы. Переведи её в режим мониторинга: перенаправь логи на внешний защищённый сервер, увеличь детализацию логирования, но не меняй её рабочее состояние резко.

Не меняй пароли на всех системах сразу. Это может заблокировать легитимные сервисы и сбить собственное расследование. Зафиксируй текущее состояние, это основа для дальнейшего анализа.

Шаг 1: Изоляция расследования и формирование группы

Собери минимальную группу из тех, кто может принимать решения (руководство) и кто будет проводить технический анализ (системные администраторы, специалисты по ИБ, возможно, внешние эксперты). Важно: работа должна вестись в условиях конфиденциальности. Обсуждения — только в защищённых каналах, не в корпоративном чате, который может быть скомпрометирован.

В российской регуляторной практике нужно сразу оценить, попадает ли инцидент под критерии обязательного уведомления регуляторов (ФСТЭК, Роскомнадзор) по 152-ФЗ. Если скомпрометированы персональные данные, об этом нужно сообщить в Роскомнадзор в течение 72 часов. Однако, если вы не уверены в полном объёме утечки, сначала проведите внутреннюю оценку. Преждевременное уведомление без понимания сути может создать больше проблем.

Создайте отдельную, «чистую» среду для анализа — виртуальную машину или изолированный компьютер, на который будут копироваться данные для изучения. Никогда не работайте с артефактами атаки на основной рабочей станции.

Шаг 2: Определение границ вторжения и первичный сбор улик

Задача — понять «периметр ущерба». С чего началась атака? Часто это фишинговое письмо, уязвимость в публичном сервисе (VPN, RDP) или компрометация учётной записи стороннего поставщика.

  • Логи входа: Проверьте логи аутентификации (Windows Event Log — события 4624/4625, логи SSH, VPN) на аномалии: входы в нерабочее время, с необычных IP-адресов (включая российские, но из других регионов), множественные неудачные попытки, за которыми следует успешный вход.
  • Сетевые соединения: Используйте netstat или аналоги на подозрительных хостах, чтобы найти установленные или недавние соединения с неизвестными внешними IP. Кэш DNS может показать, к каким доменам обращалась система.
  • Автозагрузка и задачи: Изучите автозагрузку (реестр Windows, папки Startup, cron в Linux), запланированные задачи. Злоумышленники часто создают механизмы для сохранения доступа.
  • Недавно созданные/изменённые файлы: Ищите исполняемые файлы, библиотеки DLL, скрипты в системных каталогах или временных папках с недавними датами изменения.

Цель — не «почистить» это сейчас, а задокументировать. Делайте снимки состояния (скриншоты, дампы команд), сохраняйте сами файлы в изолированное хранилище. Фиксируйте хеши (MD5, SHA256) файлов — они понадобятся для поиска по другим системам и для предоставления в CERT.

Шаг 3: Понять цели и что уже утекло

Атака, длящаяся месяцы, редко бывает актом вандализма. У неё есть цель. Определите её, чтобы понять приоритеты.

Признаки в системе Возможная цель атаки Ваши первоочередные действия
Массовый доступ к файловым хранилищам, базам данных с ПДн, архивам бухгалтерии Кража данных (персональных, финансовых, коммерческой тайны) 1. Определить точный объём данных, к которым был доступ.
2. Оценить необходимость уведомления субъектов ПДн и регулятора (Роскомнадзор).
3. Начать юридическую подготовку.
Установка криптомайнеров, высокий уровень потребления CPU/GPU на серверах Использование ресурсов (майнинг) 1. Оценить финансовый ущерб от перерасхода электроэнергии и износа оборудования.
2. Это часто «шумная», но менее опасная активность, которая могла маскировать другие действия.
Наличие инструментов для горизонтального перемещения (например, Mimikatz, инструменты для перебора паролей), доступ к контроллеру домена Захват контроля над инфраструктурой (кибершпионаж, подготовка к вымогательству) 1. Максимальная изоляция критически важных сегментов сети (финансовые системы, R&D).
2. Начать подготовку к полной смене учётных данных (но только после этапа ликвидации).
3. Самый опасный сценарий.
Шифрование файлов, оставление файлов с требованиями Рансомизация (шифрование данных с целью выкупа) 1. Сразу отключите заражённые системы от сети и от резервных копий, чтобы избежать их шифрования.
2. Проверьте целостность и доступность последних «чистых» резервных копий.
3. Не вступайте в переговоры, не оценив все варианты.

Шаг 4: Сдерживание и предотвращение расширения атаки

Теперь, понимая масштаб, можно действовать точечно, не давая угрозе расползтись.

  • Сегментация сети: Если её не было — срочно изолируйте наиболее важные сегменты (например, сеть разработки, финансовый отдел) от заражённых зон. Используйте правила межсетевого экрана, даже временные.
  • Блокировка на периметре: По найденным IoC (Indicators of Compromise — вредоносные IP, домены, хеши файлов) настройте блокировку на межсетевых экранах, прокси-серверах, DNS-фильтрах. Это перекроет каналы управления зловредами.
  • Отзыв учётных данных: Начните с самых привилегированных учётных записей, к которым был получен доступ (администраторы домена, учётные записи для работы с внешними системами). Меняйте пароли, отключайте компрометированные ключи SSH, сертификаты. Делайте это волнами, начиная с самых критичных.

Стоит помнить: сдерживание не равно очистке. Это создание барьеров, пока идёт подготовка к полному вытеснению злоумышленника.

Шаг 5: Ликвидация и восстановление чистоты

Это самый ресурсоёмкий этап. Вариантов два:

  1. Полная переустановка системы: Самый надёжный способ. Форматирование дисков и установка ОС и ПО с чистых, проверенных носителей. Применимо к серверам и рабочим станциям, где это возможно. После этого настройка восстанавливается из документации, а данные — из резервных копий, созданных до момента компрометации.
  2. Ручная очистка: Если переустановка невозможна, требуется кропотливое удаление всех артефактов: вредоносных процессов, файлов, записей в автозагрузке, изменённых конфигураций. Крайне ненадёжно, так как можно что-то упустить. Требует глубокого анализа памяти и диска с помощью специализированных утилит (например, инструментов от VirusTotal, YARA-правил).

Ключевой момент — восстановление из резервных копий. Проверьте, не были ли затронуты сами резервные хранилища. Восстанавливайте данные только после того, как система, на которую они разворачиваются, гарантированно чиста.

Шаг 6: После восстановления — что дальше?

Возврат к работе — не конец, а начало новой фазы.

  • Усиление мониторинга: Настройте SIEM-систему на детектирование паттернов, которые привели к инциденту. Внедрите расширенное логирование (EDR-решения могут помочь).
  • Пересмотр политик доступа: Внедрите принцип минимальных привилегий. Включите двухфакторную аутентификацию (2FA) везде, где это возможно, особенно для доступа извне и для административных учётных записей.
  • План реагирования:

    На основе пройденного создайте или обновите внутренний регламент действий при инцидентах (Incident Response Plan). Пропишите роли, шаги коммуникации, контакты внешних экспертов и регуляторов.

  • Работа с регуляторами (если требуется): Если инцидент подпадает под обязательное уведомление, подготовьте подробный отчёт для ФСТЭК или Роскомнадзора. Он должен содержать хронологию, IoC, описание ущерба и принятых мер. Честность и оперативность здесь могут смягчить возможные последствия.

Заключение: Взлом, это не конец, а данные для роста

Обнаружение давнего взлома — тяжёлая ситуация, но она даёт беспрецедентные данные о реальных слабостях вашей защиты. Эти данные ценнее любого теоретического аудита. Методичное, а не паническое следование протоколу — от консервации и анализа до сдерживания, ликвидации и усиления — превращает катастрофу в дорогостоящий, но бесценный урок. Фокус смещается с вопроса «Как это произошло?» на «Что мы построим теперь, чтобы это не повторилось?». И построить после этого можно гораздо больше, чем было до.

Оставьте комментарий