воскресенье, 5 июля 2026 г.

А что, если следов взлома нет совсем? Анти-форензика и продвинутые методы скрытия

Продолжение статьи «Кейс "Исчезнувший след"». 

В предыдущей статье мы разобрали сценарий, где вредоносный файл был стёрт, а классические дисковые артефакты (ShimCache, Amcache, MFT) — целенаправленно уничтожены. Мы пришли к выводу, что в современном IR стерильность диска при наличии EDR-сигнала — это не повод сомневаться, а железное доказательство агрессивной анти-форензики. Но что, если противник пошёл ещё дальше и не просто вычистил диск, а сделал это настолько чисто, что даже EDR перестал подавать признаки жизни? В этой статье разберём реальные методы противодействия расследованию, которые используют продвинутые APT-группировки, и покажем, как действовать, когда все традиционные источники (диск, EDR, VSS) — мертвы.

Кейс "Исчезнувший след" или как не потерять улики при триаже Windows

Вводная: почему стандартные логи часто оказываются неполными

В инцидентах, связанных с целевыми атаками или продвинутым вредоносным ПО, злоумышленники активно чистят следы. Папка Downloads пуста, события Security (в частности, 4688 — создание процесса) отсутствуют либо потому что аудит не был включён, либо логи были целенаправленно затёрты. Однако EDR может сработать спустя несколько часов после первоначального заражения — например, при активации C2-канала или попытке повышения привилегий. В таком случае мы имеем лишь сигнал тревоги, но не видим, что именно запускалось.

И тут нам требуется быстрый сбор ключевых артефактов для подтверждения или опровержения гипотезы. Ниже разберём реальный сценарий, где удалось восстановить факт запуска вредоносного файла, даже когда он уже был стёрт с диска.

суббота, 4 июля 2026 г.

Как построить RAG внутри компании и не утечь данными наружу

Поиск по внутренним документам почти всегда начинается одинаково. Сначала вы обнаруживаете хаос в папках, потом попытки «сделать внутренний поисковик», потом загрузка файлов в облачные сервисы типа NotebookLM. На шаге отправки в облако как раз нарушается политика безопасности. И по статистике Gartner так делает 75% сотрудников. Есть ли выход?

Существует такой инструмент как RAG. Он отлично подходит, чтобы решить задачу поиска по вашим корпоративной базе знаний. Данные перестают быть файлами и становятся векторными представлениями. 

Разберём три рабочих подхода без иллюзий и без попыток выдать один инструмент за универсальное решение.