Ниже — практический, приоритетный план реагирования и форензики для сценария: злоумышленник получил доступ к рабочей станции, установил обратный shell и начал латеральное перемещение по сети. План разбит по этапам (идентификация → изоляция → сбор артефактов → оценка ущерба → устранение и восстановление → предотвращение повторных атак) с техническими и организационными инструментами и примерными командами/артефактами для сбора.

Ключевой принцип: сначала сохранить и зафиксировать волатильные данные (память, сетевые соединения), потом делать копии дисков; при любом действии документируйте каждое изменение и хэшируйте артефакты.

Немедленные действия (первые минуты — часы)

Цель: минимизировать дальнейшее распространение и сохранить волатильные данные.Что делать (в порядке приоритета):
Активировать IR-команду (ответственный, коммуникации, юридический/комплаенс, HR, ИТ).Зафиксировать состояние события: кто/когда сообщил, первичные IOC (IP, домены, хэши, процесс).Снять волатильные данные с компрометированной станции (память, сетевые соединения, процессы, открытые файлы). Ни в коем случае не перезагружать машину до снятия памяти, если требуется forensic.Изолировать рабочую станцию: перевести в "quarantine VLAN" или физически отключить от сети/интернета, но по возможности сохранить питание и доступ к памяти/процессам для сбора доказательств. (Если есть риск немедленной утечки данных — блокировать на уровне сети, если есть риск растворения доказательств — выявлять компромис).Блокировать C2 IP/домены на периметре и в прокси/файерволах.Захват сетевого трафика (pcap) вокруг времени инцидента с ближайших сетевых точек (taps, span, firewall, proxy).

Изоляция и ограничение распространения (Containment)

Стратегия: «микро» (изолировать хост) + «макро» (защитить критические сервисы/учетные записи).Действия:Перевести хост в изолированную сеть (которую контролируете) или физически отключить от сети;Блокировать порты/протоколы, используемые для латерального перемещения (SMB 445, RDP 3389, WinRM, PsExec);При подозрении на использование учетных данных — временно заблокировать/отключить скомпрометированные учетные записи, но делать это только после оценки воздействия (чтобы сохранить авторизацию для получения артефактов с других систем);Включить/усилить детекцию на периферии и EDR: установить правила обнаружения IOCs, аналогичных TTP.

Сбор артефактов (Forensic acquisition)

Общие правила:Фиксируйте цепочку владельства (chain of custody).Используйте инструменты, которые не изменяют критичные данные (write-blocker для физических дисков).Хэшируйте артефакты (SHA256/SHA1/MD5).Волатильные данные (сначала):Снимок памяти (RAM): winpmem, DumpIt, FTK Imager, LiME (Linux).Список процессов, их хэндлы, DLL: tasklist /V, Process Explorer;Открытые сетевые соединения: netstat -ano, ss/lsof для Linux, TCPView;Список загруженных драйверов/сервисов.Active network connections, ARP cache.Неволатильные (после):Битовый образ диска (dd, FTK Imager, EnCase) — делать только после снятия памяти;Экспорт журналов Windows: System, Security, Application (evtx); Windows Event Forwarding;Sysmon логи (если развернут) — очень полезны (ID 1 процесс, 3 сеть, 7 файл, 10 прокс);Registry hives (SYSTEM, SAM, SECURITY, SOFTWARE, NTUSER.DAT);Prefetch, Amcache, Shimcache, Jump Lists, LNK-файлы, MFT, USN Journal, Shadow Copies;Логи антивируса/EDR, прокси, файервола, VPN, почты, DLP, облачных сервисов.Команды-примеры:Память (Windows): winpmem.exe -o memory.raw; DumpIt.exeОткрытые соединения: netstat -ano > netstat.txtПроцессы: tasklist /V > procs.txtЖурналы: wevtutil epl Security Security.evtxДиск: FTK Imager (GUI) или dd if=\.\PhysicalDrive0 of=image.dd bs=4MДля Linux:Память: LiME модуль для извлечения;Процессы: ps auxww;Сети: ss -tunap; lsof -i;Журналы: /var/log/syslog, auth.log, audit.log.

Сетевая форензика и hunting (корреляция и поиск латерального перемещения)

Соберите и проанализируйте:Firewall и прокси логи, IDS/IPS; ZEEK/Suricata/IDS pcaps;DNS логи (внезапные запросы к динам доменам, TXT запросы);NetFlow/NetMon (какие хосты общались с заражённым хостом);VPN логи, RDP/SMB access логи;SIEM-корреляции (усовершенствованные правила на события: 4624, 4625, 4648, 4672, 4670, 4688, 5140, 5145 и т.д.);Sysmon события (если есть): код 3 (network connect), 8 (dns), 10 (image_load), 11 (file_create), 22 (pipe_event).Поиск «хопов» нападения:Выявите остальные потенциально скомпрометированные машины, на которых наблюдались похожие паттерны (успешные логины с того же аккаунта, PsExec/SMB активности, WMI вызовы);Проверяйте учетные записи Domain Admin, сервисные аккаунты, поведение аномалий входов (час/гео/машина).

Идентификация методов и цели злоумышленника

Что искать:Как установили шелл (через уязвимость в приложении, phishing, RDP, эксплойт);Как сохраняли доступ (backdoor, сервис, scheduled task, WMI persistence, registry autorun, DLL sideloading);Используемые инструменты и шифруемые каналы (обфускация, туннели, DNS tunneling);Были ли привилегии повышены (UAC bypass, token impersonation, Kerberos abuse — golden/silver tickets, DCSync).Логи AD/Domain Controller:Проверить события аутентификации, репликации, доступов к делегированным привилегиям (Event IDs на AD).Проверить запросы LDAP/NTLM/Kerberos.

Эрадикация и восстановление целостности

Стратегия:Переустановка (re-image) компрометированных хостов — предпочтительнее, чем попытки «очистить».Восстановление из чистых, проверенных резервных копий;Централизованная смена паролей/ключей и ротация привилегий (особенно сервисные и админские).Конкретно:Убедиться, что все бэкдоры удалены: services, scheduled tasks, startup items, WMI filters, rogue certificates;Поменять/отозвать скомпрометированные учетные данные, токены, API-ключи; при необходимости принудительный сброс Kerberos keys и перегенерация учетных секретов;Обновить и запатчить систему/ПО;Повторно установить EDR/AV агенты из проверенных источников;Провести валидацию: мониторинг после восстановления в течение повышенного наблюдения (hardened monitoring).Для критичных серверов — предусмотреть staged recovery: сначала тестовая среда, затем production.

Оценка ущерба (Impact assessment)

Источники для оценки:DLP логи и proxy/egress traffic — поиск утечек (объем трафика, подозрительные upload);Файловые логи (какие файлы открывались/копировались), SSO/Cloud лог: доступ к облачным сервисам (GCP/AWS/Azure) и скачивание;Логи почтового сервера (массовая рассылка), утечка персональных данных;Проверка бэкапов на целостность/компрометацию;Юридическая оценка и регуляторные требования (GDPR, локальные правила): есть ли необходимость уведомления.Оцените бизнес-импакт: какие приложения/данные были затронуты, сколько времени доступ был у злоумышленника, возможная утечка данных.

Предотвращение повторных атак и меры улучшения (Lessons learned / Hardening)

Технические:Развернуть/усилить EDR с поведенческим детектом (CrowdStrike, Defender for Endpoint, Carbon Black);Развернуть и поддерживать Sysmon + централизованный логинг в SIEM (Splunk, Elastic, QRadar);Внедрить сегментацию сети / микросегментацию (линия доверия, VLAN, ZTNA);Включить MFA везде, особенно для админов/удаленного доступа и VPN;Минимизировать привилегии (Least Privilege), использовать PAM/LAPS для сервисных аккаунтов;Ограничить RDP/SMB, запретить SMBv1, настроить брандмауэры, deny-by-default для исходящих соединений;Управление патчами и уязвимостями (Vulnerability Management);Принять allowlisting приложений (AppLocker/Windows Defender Application Control);Мониторинг аномалий: UEBA, Netflow/flow анализ, DNS-аналитика.Организационные:Обновить IR-процедуры, runbooks и контакты ответственных;Регулярные tabletop exercises и обучение персонала по phishing;Политики резервного копирования и проверка восстановления (DR drills);Процедуры ротации ключей и управления сертификатами;Контракты с внешней forensic-командой/CSIRT для поддержки на 24/7.

Необходимые инструменты и ресурсы

Forensics / Acquisition:FTK Imager, EnCase, X-Ways, dd, winpmem, LiME, DumpIt.Memory & Malware analysis:Volatility, Rekall, Ghidra, IDA Pro (или подобные), Cuckoo Sandbox.EDR / Endpoint detection:Microsoft Defender for Endpoint, CrowdStrike Falcon, Carbon Black, SentinelOne.SIEM / Лог-аналитика:Splunk, Elastic (ELK), Azure Sentinel, QRadar.Network forensics:Zeek (Bro), Suricata, Wireshark, tcpdump, NetFlow collectors (nfdump).Hunting / Collection:Velociraptor, OSQuery, GRR, Sysinternals Suite (PsExec, ProcDump, Autoruns, Process Explorer).Управление инцидентами / документооборот:Ticketing (ServiceNow, JIRA), IR playbook, цепочка хранения доказательств (COC forms).DLP / Proxy / Firewall / PAM:Symantec/Forcepoint DLP, Zscaler, Palo Alto, Check Point, CyberArk, BeyondTrust, Azure AD Privileged Identity Management.

Примеры артефактов для сбора и их приоритет

Очень высокий приоритет: дамп памяти, netstat/ss, список процессов, открытые порты, журнал безопасности за время компрометации.Высокий приоритет: образ диска, evtx логи, registry hives, amcache/prefetch.Средний: shadow copies, браузерная история, временные файлы, логи приложений.Низкий: старые логи/архивы, если не содержат следов активности.

Документирование и юридические аспекты

Фиксируйте все действия: кто, когда, что сделал и почему.Сохраняйте оригинальные артефакты (не работайте с ними напрямую).Проконсультируйтесь с юристами о требованиях уведомления регуляторов/клиентов и о сохранении доказательств.Если преступление — серьёзно (утечка, существенные убытки), привлеките правоохранительные органы и внешних экспертов.

Пост-инцидентный отчет и улучшения

Проведите «lessons learned» с участием всех заинтересованных сторон:Корень причины (root cause);Что сработало/не сработало;План действий и сроки для внедрения mitigations;Обновление playbooks и обучение персонала.Метрики эффективности: время обнаружения (MTTD), время реагирования (MTTR), число выявленных IOC, уменьшение поверхности атаки.

Краткий чек-лист действий в первые 2 часа

Активировать IR-команду и задокументировать инцидент.Снять память и волатильные данные.Зафиксировать и собрать netstat/процессы/открытые файлы.Изолировать хост (quarantine VLAN), но не перезагружать.Захватить сетевой трафик и логи (firewall, proxy, IDS).Блокировать явные C2 IP/домены, учетные записи при необходимости.Начать расследование латерального движения: SIEM, NetFlow, AD логи.Планировать реимедж и восстановление из проверенных бэкапов после завершения сбора доказательств.

Если нужно, могу:

Сформировать пошаговый playbook с командами/скриптами для Windows и Linux, адаптированный под вашу инфраструктуру.Подготовить шаблон chain-of-custody и шаблон отчета IR.Помочь с подбором правил для SIEM/Sysmon для детекции аналогичных TTP.