⚔️ Attacker Actions vs Analyst Response
Схема действий злоумышленника и соответствующих действий SOC аналитика
🎯 Действия атакующего
-
OSINT Gathering
Сбор информации из открытых источников: LinkedIn, сайт компании, GitHub
-
Port Scanning
Сканирование портов через Nmap, Masscan для выявления сервисов
-
DNS Enumeration
Zone transfer попытки, subdomain брутфорс, DNS записи
-
Email Harvesting
Сбор email адресов для phishing через theHarvester, Hunter.io
🛡️ Действия аналитика
-
Мониторинг внешнего периметра
Алерты на port scanning, многократные DNS запросы
-
Threat Intelligence проверка
Проверка IP сканеров в TI feeds, Shodan, GreyNoise
-
Honeypot анализ
Проверка активности на honeypot системах
-
Блокировка источников
Добавление подозрительных IP в blacklist на firewall
🎯 Действия атакующего
-
Phishing Email
Отправка вредоносных вложений или ссылок сотрудникам
-
Exploit Public-Facing Application
Эксплуатация уязвимостей веб-приложений (SQL injection, RCE)
-
Valid Accounts
Использование украденных или подобранных учетных данных
-
Supply Chain Compromise
Атака через скомпрометированное ПО третьих сторон
🛡️ Действия аналитика
-
Email Gateway алерты
Анализ подозрительных писем, sandbox detonation
-
WAF/IPS мониторинг
Детекция попыток эксплуатации, аномальный трафик
-
Authentication анализ
Failed logons, brute-force попытки, unusual locations
-
EDR алерты
Suspicious process creation, malware detection
🎯 Действия атакующего
-
PowerShell/CMD
Выполнение obfuscated скриптов, download cradles
-
Scheduled Tasks
Создание задач для persistence и выполнения payload
-
WMI Event Subscription
Использование WMI для скрытого выполнения кода
-
DLL Side-Loading
Загрузка вредоносных DLL через легитимные процессы
🛡️ Действия аналитика
-
Process monitoring
Анализ command line arguments, parent-child relationships
-
Script block logging
Проверка PowerShell logs на подозрительные команды
-
Scheduled tasks audit
Event ID 4698, новые или измененные задачи
-
Memory analysis
Поиск injected code, process hollowing
🎯 Действия атакующего
-
Registry Run Keys
Добавление записей в HKLM\...\Run для автозапуска
-
Service Creation
Создание вредоносных Windows служб
-
Account Creation
Создание backdoor учетных записей
-
Web Shell
Размещение веб-шеллов на веб-серверах
🛡️ Действия аналитика
-
Registry monitoring
Sysmon Event ID 13, изменения ключей автозапуска
-
Service audit
Event ID 4697, 7045 - новые службы
-
Account monitoring
Event ID 4720, 4722 - создание/включение учеток
-
Web logs analysis
POST запросы к новым файлам, аномальные URL
🎯 Действия атакующего
-
Credential Dumping
Mimikatz, ProcDump для извлечения паролей из LSASS
-
Token Impersonation
Кража и использование токенов привилегированных процессов
-
Kerberoasting
Запрос service tickets для offline взлома
-
UAC Bypass
Обход User Account Control через различные техники
🛡️ Действия аналитика
-
LSASS access monitoring
Sysmon Event ID 10, доступ к процессу lsass.exe
-
Privilege use audit
Event ID 4672, 4673 - использование привилегий
-
Kerberos monitoring
Event ID 4769 - TGS запросы с RC4 шифрованием
-
Process integrity
Процессы с high integrity от medium integrity parent
🎯 Действия атакующего
-
Pass-the-Hash
Использование NTLM хешей для аутентификации
-
RDP/SMB Movement
Перемещение через RDP сессии и SMB shares
-
WMI/PSExec
Удаленное выполнение команд через WMI или PSExec
-
Golden/Silver Ticket
Создание поддельных Kerberos билетов
🛡️ Действия аналитика
-
Logon monitoring
Event ID 4624 Type 3, 10 - сетевые и RDP входы
-
Network connections
Аномальные SMB/RDP соединения между системами
-
Service creation
Event ID 7045 на удаленных системах
-
Ticket anomalies
TGT с аномальным lifetime, encryption downgrade
🎯 Действия атакующего
-
Data Staging
Сбор и архивирование данных перед отправкой
-
C2 Exfiltration
Отправка данных через C2 каналы (HTTP/DNS)
-
Ransomware Deployment
Шифрование файлов и требование выкупа
-
Data Destruction
Удаление логов, shadow copies, backup
🛡️ Действия аналитика
-
Data movement detection
Большие файловые операции, архивирование
-
Network monitoring
Outbound traffic spikes, DNS tunneling
-
File system monitoring
Mass file modifications, encryption indicators
-
Backup monitoring
VSS deletion, backup corruption attempts
🔍 Ключевые индикаторы для мониторинга
🖥️
Process Indicators
- PowerShell с encoded commands
- Процессы из temp директорий
- Unsigned executables
- Процессы с network connections
🌐
Network Indicators
- Beaconing behavior
- DNS requests to new domains
- Large data transfers
- Non-standard ports usage
📁
File System Indicators
- New files in startup folders
- Modified system binaries
- Suspicious scheduled tasks
- Web shell patterns
🔐
Authentication Indicators
- Failed logon spikes
- Logons from new locations
- Service account interactive logons
- Pass-the-hash indicators
📊
Registry Indicators
- Run key modifications
- New services in registry
- Debugger attachments
- Security settings changes
💾
Memory Indicators
- Process injection artifacts
- Suspicious DLL loads
- Modified process memory
- Rootkit behaviors