Продолжение статьи «Кейс "Исчезнувший след"».
В предыдущей статье мы разобрали сценарий, где вредоносный файл был стёрт, а классические дисковые артефакты (ShimCache, Amcache, MFT) — целенаправленно уничтожены. Мы пришли к выводу, что в современном IR стерильность диска при наличии EDR-сигнала — это не повод сомневаться, а железное доказательство агрессивной анти-форензики. Но что, если противник пошёл ещё дальше и не просто вычистил диск, а сделал это настолько чисто, что даже EDR перестал подавать признаки жизни? В этой статье разберём реальные методы противодействия расследованию, которые используют продвинутые APT-группировки, и покажем, как действовать, когда все традиционные источники (диск, EDR, VSS) — мертвы.
Когда мы видим «чистый диск» одновременно с «мёртвым EDR» мы видим красный флаг
В первой статье мы пришли к выводу: стерильность диска при наличии алертов EDR — это уже доказательство вины. Здесь мы идём дальше. Если вы видите:
- Полное отсутствие записей в ShimCache и Amcache (даже легитимных, за последние часы).
- MFT и $UsnJrnl — обнулены или демонстрируют разрывы.
- Prefetch — пуст или отключён (при том, что в вашей организации он обычно включён).
- Теневые копии (VSS) — уничтожены (событие
vssadmin delete shadowsв логах или просто отсутствие снапшотов). - Event Logs — либо очищены (событие 1102), либо имеют подозрительные разрывы.
- EDR-агент — перестал отвечать, телеметрия оборвалась.
Это не «чистый диск» — это агрессивная зачистка в сочетании с ослеплением EDR. И это максимальный уровень уверенности в том, что вы имеете дело с подготовленным противником, который уже получил контроль над системой на уровне ядра.
Ключевое правило анти-форензики: если атакующий затер MFT/USN и Event Logs, он, скорее всего, пытался затереть и ShimCache/Amcache. Однако из-за бинарной структуры этих ключей реестра «хирургическая» чистка часто приводит к краху системы, поэтому атакующие могут оставить их нетронутыми или обнулить целиком. Наша задача — искать не просто отсутствие файла, а несоответствие между тем, что должно быть на рабочей станции (легитимные артефакты), и тем, что мы видим (их полное отсутствие). Это несоответствие — самый сильный сигнал.
Почему VSS — не панацея (и что с этим делать)
В предыдущей статье мы рекомендовали использовать --vss в KAPE. Это правильно, но с важной оговоркой: продвинутые атакующие уничтожают теневые копии в первую очередь.
Типичная команда в скрипте атакующего:
vssadmin delete shadows /all /quiet & wmic shadowcopy delete
Если вы видите в логах (или в истории PowerShell) выполнение этих команд — это уже само по себе доказательство анти-форензики. Что делать:
- Проверяйте наличие VSS перед сбором:
vssadmin list shadows. Если снапшотов нет — это аномалия для рабочей станции. - Ищите следы выполнения
vssadminв Event Logs (Security, 4688) и в истории PowerShell — если они не были зачищены. - Не полагайтесь на VSS как на основной источник — если он уничтожен, переключайтесь на EDR (если жив) и сеть.
BYOVD: когда EDR перестаёт быть «главным защитником»
В предыдущей статье мы назвали EDR «главным защитником». Это верно, но с оговоркой: EDR можно ослепить или убить.
В 2025–2026 годах стандартным приёмом продвинутых APT и даже многих ransomware-групп стал BYOVD (Bring Your Own Vulnerable Driver). Атакующий загружает легитимный, но уязвимый драйвер (например, из числа подписанных, но давно не обновлявшихся) и использует его для:
- Изменения в работе ядра (отключение callback-ов EDR).
- Удаления процессов EDR из памяти.
- Блокировки записи логов.
Как это заметить:
- Внезапное прекращение телеметрии от EDR-агента на хосте (при этом сам хост жив).
- Если системные логи не были затерты, вы можете увидеть события загрузки неподписанных или подозрительных драйверов (Event ID 6, 7 в System Log). Если логи затерты — ищите драйверы только в памяти через Volatility (
windows.driverscan). - Обнаружение в памяти нестандартных драйверов через
windows.driverscan.
Что делать: если EDR внезапно «ослеп», а сетевые логи (с DPI) показывают аномальный JA3-отпечаток — это почти стопроцентный признак BYOVD-атаки. Переключайтесь на сетевое расследование и дамп памяти как основные источники.
Fileless и LOLBins: когда файла на диске никогда не было
В предыдущей статье мы искали файл invoice.exe, который был удалён. Но что, если файла вообще не было на диске? Современные атаки всё чаще обходятся без исполняемых файлов:
- PowerShell с закодированными командами (
-EncodedCommand,IEX) — выполняется прямо в памяти, не оставляя файлов. - WMI Persistence — создание фильтров событий, которые запускают скрипты без записи на диск.
- LOLBins (
rundll32,mshta,regsvr32,msiexec) — легитимные утилиты, используемые для выполнения вредоносного кода. - Угнанные процессы — инъекция в
svchost.exeилиexplorer.exe.
Как это заметить:
- В EDR-логах (если они доступны) — необычные аргументы командной строки (длинные Base64-строки,
javascript:в mshta). - В памяти (Volatility) —
windows.malfindпокажет инъекции,windows.cmdline— подозрительные аргументы. - В сетевых логах с DPI — исходящие соединения от процессов, которые обычно не «ходят» в интернет (
svchost.exe— исключение, но для других — красный флаг).
Матрица принятия решений (обновлённая для продвинутой анти-форензики)
Вот обновлённая матрица, которая учитывает сценарии, когда EDR мёртв, а диск агрессивно вычищен:
| Что видим | Интерпретация | Уровень уверенности | Действие |
|---|---|---|---|
| EDR видит сетевую активность, диск стерилен (MFT обнулена, VSS уничтожен, кэши пусты) | Агрессивная анти-форензика, APT-уровень | Максимальный | Немедленный переход к памяти и сетевым логам с DPI |
| EDR ослеп (телеметрия прекратилась), диск агрессивно стерилен, сеть (DPI) показывает аномалии | Вероятный BYOVD или kernel-level компрометация | Очень высокий | Расследование через сеть + память, EDR считать скомпрометированным. Изоляция сегмента. |
| EDR ослеп, диск агрессивно стерилен, сеть (DPI) не показывает аномалий | Успешный BYOVD, C2-канал замаскирован (например, через легитимные сервисы) или ещё не активирован | Очень высокий (в том, что хост скомпрометирован) | Срочный дамп памяти на уровне железа (out-of-band), глубокий анализ сети (полный PCAP), изоляция сегмента |
| Диск не вычищен, а просто пуст (нет артефактов активности), EDR молчит, сеть чиста | Возможно, ложное срабатывание или ошибка сбора | Низкий | Проверка настроек EDR и политик аудита |
Практический чек-лист для «стерильного» хоста
Если вы столкнулись с ситуацией, где диск выглядит «идеально чистым», а EDR молчит, выполните следующие шаги в строгом порядке:
- Изоляция — через EDR (Network Containment), если EDR не отвечает — на уровне сети (firewall/switch).
- Проверка статуса EDR — жив ли агент? Если нет — это уже сигнал.
- Быстрый запрос EDR-истории (если агент жив) — последние 24 часа. Если история недоступна — EDR считается скомпрометированным.
- Сбор дисковых артефактов (KAPE БЕЗ --vss) — задача этого шага не найти следы, а документировать факт уничтожения: собрать обнулённую MFT, пустой Prefetch, отсутствующие кэши и логи очистки (событие 1102, следы vssadmin). Это нужно для подтверждения гипотезы об атаке.
- Дамп памяти (WinPmem) — после сбора дисковых «улик» делаем дамп RAM. Это критично, так как память — единственное место, где могут остаться активные инъекции и сетевые сессии.
- Анализ памяти (Volatility) — параллельно с анализом дисковых артефактов. Команды:
windows.psscan,windows.netscan,windows.malfind,windows.cmdline,windows.driverscan(для поиска BYOVD). - Сетевые логи с DPI (NGFW, NTA, NDR, Zeek, JA3, TLS-отпечатки) — если доступны. Приоритет — после анализа памяти, так как сетевые логи обычно централизованы и не зависят от состояния хоста.
Честный вывод: эпоха «дисковых улик» заканчивается
Мы живём в мире, где диск перестал быть надёжным источником. Продвинутые атакующие не просто удаляют файлы — они целенаправленно уничтожают MFT, USN, теневые копии, кэши реестра и пытаются ослепить EDR. В этой новой реальности сетевая картина и память становятся главными источниками истины, а диск используется только для того, чтобы зафиксировать факт его собственного уничтожения.
Если вы видите «стерильный» диск в сочетании с «мёртвым» EDR — не успокаивайтесь. Это не означает, что атаки не было. Это означает, что атакующий был достаточно профессионален, чтобы замести все следы и вывести из строя вашу основную систему мониторинга. И именно это — ваше главное доказательство.
Помните: отсутствие артефактов — это тоже артефакт. В сочетании с мёртвым EDR — это почти стопроцентное подтверждение компрометации на уровне ядра. Действуйте быстро, берите память, анализируйте сеть.
Статья подготовлена как продолжение материала «Кейс "Исчезнувший след"» и основана на реальных кейсах DFIR-команд, сталкивавшихся с продвинутыми методами анти-форензики.