воскресенье, 5 июля 2026 г.

А что, если следов взлома нет совсем? Анти-форензика и продвинутые методы скрытия

Продолжение статьи «Кейс "Исчезнувший след"». 

В предыдущей статье мы разобрали сценарий, где вредоносный файл был стёрт, а классические дисковые артефакты (ShimCache, Amcache, MFT) — целенаправленно уничтожены. Мы пришли к выводу, что в современном IR стерильность диска при наличии EDR-сигнала — это не повод сомневаться, а железное доказательство агрессивной анти-форензики. Но что, если противник пошёл ещё дальше и не просто вычистил диск, а сделал это настолько чисто, что даже EDR перестал подавать признаки жизни? В этой статье разберём реальные методы противодействия расследованию, которые используют продвинутые APT-группировки, и покажем, как действовать, когда все традиционные источники (диск, EDR, VSS) — мертвы.


Когда мы видим «чистый диск» одновременно с «мёртвым EDR» мы видим красный флаг

В первой статье мы пришли к выводу: стерильность диска при наличии алертов EDR — это уже доказательство вины. Здесь мы идём дальше. Если вы видите:

  • Полное отсутствие записей в ShimCache и Amcache (даже легитимных, за последние часы).
  • MFT и $UsnJrnl — обнулены или демонстрируют разрывы.
  • Prefetch — пуст или отключён (при том, что в вашей организации он обычно включён).
  • Теневые копии (VSS) — уничтожены (событие vssadmin delete shadows в логах или просто отсутствие снапшотов).
  • Event Logs — либо очищены (событие 1102), либо имеют подозрительные разрывы.
  • EDR-агент — перестал отвечать, телеметрия оборвалась.

Это не «чистый диск» — это агрессивная зачистка в сочетании с ослеплением EDR. И это максимальный уровень уверенности в том, что вы имеете дело с подготовленным противником, который уже получил контроль над системой на уровне ядра.

Ключевое правило анти-форензики: если атакующий затер MFT/USN и Event Logs, он, скорее всего, пытался затереть и ShimCache/Amcache. Однако из-за бинарной структуры этих ключей реестра «хирургическая» чистка часто приводит к краху системы, поэтому атакующие могут оставить их нетронутыми или обнулить целиком. Наша задача — искать не просто отсутствие файла, а несоответствие между тем, что должно быть на рабочей станции (легитимные артефакты), и тем, что мы видим (их полное отсутствие). Это несоответствие — самый сильный сигнал.


Почему VSS — не панацея (и что с этим делать)

В предыдущей статье мы рекомендовали использовать --vss в KAPE. Это правильно, но с важной оговоркой: продвинутые атакующие уничтожают теневые копии в первую очередь.

Типичная команда в скрипте атакующего:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

Если вы видите в логах (или в истории PowerShell) выполнение этих команд — это уже само по себе доказательство анти-форензики. Что делать:

  • Проверяйте наличие VSS перед сбором: vssadmin list shadows. Если снапшотов нет — это аномалия для рабочей станции.
  • Ищите следы выполнения vssadmin в Event Logs (Security, 4688) и в истории PowerShell — если они не были зачищены.
  • Не полагайтесь на VSS как на основной источник — если он уничтожен, переключайтесь на EDR (если жив) и сеть.

BYOVD: когда EDR перестаёт быть «главным защитником»

В предыдущей статье мы назвали EDR «главным защитником». Это верно, но с оговоркой: EDR можно ослепить или убить.

В 2025–2026 годах стандартным приёмом продвинутых APT и даже многих ransomware-групп стал BYOVD (Bring Your Own Vulnerable Driver). Атакующий загружает легитимный, но уязвимый драйвер (например, из числа подписанных, но давно не обновлявшихся) и использует его для:

  • Изменения в работе ядра (отключение callback-ов EDR).
  • Удаления процессов EDR из памяти.
  • Блокировки записи логов.

Как это заметить:

  • Внезапное прекращение телеметрии от EDR-агента на хосте (при этом сам хост жив).
  • Если системные логи не были затерты, вы можете увидеть события загрузки неподписанных или подозрительных драйверов (Event ID 6, 7 в System Log). Если логи затерты — ищите драйверы только в памяти через Volatility (windows.driverscan).
  • Обнаружение в памяти нестандартных драйверов через windows.driverscan.

Что делать: если EDR внезапно «ослеп», а сетевые логи (с DPI) показывают аномальный JA3-отпечаток — это почти стопроцентный признак BYOVD-атаки. Переключайтесь на сетевое расследование и дамп памяти как основные источники.


Fileless и LOLBins: когда файла на диске никогда не было

В предыдущей статье мы искали файл invoice.exe, который был удалён. Но что, если файла вообще не было на диске? Современные атаки всё чаще обходятся без исполняемых файлов:

  • PowerShell с закодированными командами (-EncodedCommand, IEX) — выполняется прямо в памяти, не оставляя файлов.
  • WMI Persistence — создание фильтров событий, которые запускают скрипты без записи на диск.
  • LOLBins (rundll32, mshta, regsvr32, msiexec) — легитимные утилиты, используемые для выполнения вредоносного кода.
  • Угнанные процессы — инъекция в svchost.exe или explorer.exe.

Как это заметить:

  • В EDR-логах (если они доступны) — необычные аргументы командной строки (длинные Base64-строки, javascript: в mshta).
  • В памяти (Volatility) — windows.malfind покажет инъекции, windows.cmdline — подозрительные аргументы.
  • В сетевых логах с DPI — исходящие соединения от процессов, которые обычно не «ходят» в интернет (svchost.exe — исключение, но для других — красный флаг).

Матрица принятия решений (обновлённая для продвинутой анти-форензики)

Вот обновлённая матрица, которая учитывает сценарии, когда EDR мёртв, а диск агрессивно вычищен:

Что видим Интерпретация Уровень уверенности Действие
EDR видит сетевую активность, диск стерилен (MFT обнулена, VSS уничтожен, кэши пусты) Агрессивная анти-форензика, APT-уровень Максимальный Немедленный переход к памяти и сетевым логам с DPI
EDR ослеп (телеметрия прекратилась), диск агрессивно стерилен, сеть (DPI) показывает аномалии Вероятный BYOVD или kernel-level компрометация Очень высокий Расследование через сеть + память, EDR считать скомпрометированным. Изоляция сегмента.
EDR ослеп, диск агрессивно стерилен, сеть (DPI) не показывает аномалий Успешный BYOVD, C2-канал замаскирован (например, через легитимные сервисы) или ещё не активирован Очень высокий (в том, что хост скомпрометирован) Срочный дамп памяти на уровне железа (out-of-band), глубокий анализ сети (полный PCAP), изоляция сегмента
Диск не вычищен, а просто пуст (нет артефактов активности), EDR молчит, сеть чиста Возможно, ложное срабатывание или ошибка сбора Низкий Проверка настроек EDR и политик аудита

Практический чек-лист для «стерильного» хоста 

Если вы столкнулись с ситуацией, где диск выглядит «идеально чистым», а EDR молчит, выполните следующие шаги в строгом порядке:

  1. Изоляция — через EDR (Network Containment), если EDR не отвечает — на уровне сети (firewall/switch).
  2. Проверка статуса EDR — жив ли агент? Если нет — это уже сигнал.
  3. Быстрый запрос EDR-истории (если агент жив) — последние 24 часа. Если история недоступна — EDR считается скомпрометированным.
  4. Сбор дисковых артефактов (KAPE БЕЗ --vss) — задача этого шага не найти следы, а документировать факт уничтожения: собрать обнулённую MFT, пустой Prefetch, отсутствующие кэши и логи очистки (событие 1102, следы vssadmin). Это нужно для подтверждения гипотезы об атаке.
  5. Дамп памяти (WinPmem) — после сбора дисковых «улик» делаем дамп RAM. Это критично, так как память — единственное место, где могут остаться активные инъекции и сетевые сессии.
  6. Анализ памяти (Volatility) — параллельно с анализом дисковых артефактов. Команды: windows.psscan, windows.netscan, windows.malfind, windows.cmdline, windows.driverscan (для поиска BYOVD).
  7. Сетевые логи с DPI (NGFW, NTA, NDR, Zeek, JA3, TLS-отпечатки) — если доступны. Приоритет — после анализа памяти, так как сетевые логи обычно централизованы и не зависят от состояния хоста.

Честный вывод: эпоха «дисковых улик» заканчивается

Мы живём в мире, где диск перестал быть надёжным источником. Продвинутые атакующие не просто удаляют файлы — они целенаправленно уничтожают MFT, USN, теневые копии, кэши реестра и пытаются ослепить EDR. В этой новой реальности сетевая картина и память становятся главными источниками истины, а диск используется только для того, чтобы зафиксировать факт его собственного уничтожения.

Если вы видите «стерильный» диск в сочетании с «мёртвым» EDR — не успокаивайтесь. Это не означает, что атаки не было. Это означает, что атакующий был достаточно профессионален, чтобы замести все следы и вывести из строя вашу основную систему мониторинга. И именно это — ваше главное доказательство.

Помните: отсутствие артефактов — это тоже артефакт. В сочетании с мёртвым EDR — это почти стопроцентное подтверждение компрометации на уровне ядра. Действуйте быстро, берите память, анализируйте сеть.

Статья подготовлена как продолжение материала «Кейс "Исчезнувший след"» и основана на реальных кейсах DFIR-команд, сталкивавшихся с продвинутыми методами анти-форензики.