Мы часто слышим фразу: «Identity – это новый периметр». Это правда, но лишь отчасти. Периметр размылся, но сеть осталась единственной средой, которую злоумышленник не может «выключить».
Можно отключить EDR. Можно очистить Windows Event Logs (wevtutil cl). Можно использовать rootkit, чтобы скрыть процесс в диспетчере задач. Но невозможно передать данные с хоста А на хост Б (или на C2-сервер), не создав сетевые пакеты.
Если хостовая телеметрия –это то, что хост говорит о себе (и он может врать), то сетевая телеметрия – это физический факт.
В этой части разбираем, как перестать быть слепым на сетевом уровне, даже если весь трафик зашифрован.
1. Проблема шифрования (TLS 1.3)
Главный аргумент против NTA (Network Traffic Analysis) сегодня: «Всё в HTTPS, мы ничего не видим». Действительно, классические DLP и IDS, которые пытаются грепать контент пакетов, умирают. Делать MitM (SSL Inspection) на весь трафик – дорого, сложно и ломает приложения (Certificate Pinning).
Решение: Анализ метаданных и JA3 Нам не нужно читать содержимое письма, чтобы понять, что оно отправлено в 3 часа ночи на сервер в Северной Корее. В эпоху TLS 1.3 нашим главным оружием становится JA3 Fingerprinting.
Как это работает? Когда клиент (браузер или малварь) начинает TLS-соединение, он отправляет пакет Client Hello. В нем содержится набор параметров: версия TLS, поддерживаемые шифры, расширения и т.д. Этот набор уникален для каждого клиента.
- У Google Chrome – свой отпечаток (хэш).
- У Tor Browser – свой.
- У PowerShell скрипта – свой.
- У Cobalt Strike Beacon – свой.
Что делать: Настраивать сбор JA3-хэшей (например, через Zeek/Suricata). Если вы видите JA3-хэш, характерный для WinNet (библиотека Windows для запросов), исходящий от процесса calc.exe – это 100% индикатор компрометации, даже если трафик зашифрован.
2. DNS – «Телефонная книга» хакера
DNS – самый недооцененный источник данных в SOC. 90% вредоносного ПО используют DNS для связи с командным центром (C2). Почему? Потому что DNS-трафик разрешен почти везде.
Что искать в логах DNS:
- DGA (Domain Generation Algorithms): Малварь не зашивает один домен (его заблокируют). Она генерирует их сотнями:
asdfg123.com,qwer567.net.* Индикатор:* Большое количество запросов NXDOMAIN (домен не найден) с одного хоста. - DNS Tunneling: Хакер передает данные внутри TXT-записей DNS.* Индикатор:* Аномально длинные DNS-запросы и ответы (более 200 байт), высокая энтропия в именах поддоменов.
- Newly Registered Domains (NRD): Запросы к доменам, которые были зарегистрированы менее 24 часов назад. Легитимный бизнес редко живет на доменах-однодневках.
3. Lateral Movement (Боковое перемещение)
Самая большая ошибка при построении SOC – смотреть только на трафик «Север-Юг» (из интернета и в интернет). Но самое интересное происходит внутри (Восток-Запад).
Взломав компьютер секретаря, хакер не сразу лезет наружу. Он сканирует сеть, ищет файловые шары, пробует RDP.
Красные флаги внутри сети:
- Workstation to Workstation RDP/SMB: В здоровой сети компьютер HR не должен подключаться по RDP к компьютеру бухгалтера. Рабочие станции должны общаться только с серверами, но не друг с другом.
- Скан портов: Один хост пытается постучаться на 445 порт ко всей подсети за 1 секунду.
- Использование WinRM/PSExec: Если это делает не админская учетка и не с Jump-хоста – это атака.
Инструментарий инженера (Open Source)
Вам не обязательно сразу покупать дорогие коробки NDR. Начать можно с Open Source стека:
- **Zeek **(бывший Bro): Де-факто стандарт для NTA. Превращает сырой трафик в структурированные логи (conn.log, dns.log, http.log). Умеет считать JA3 из коробки.
- Suricata: IDS/IPS движок. Пишем сигнатуры, ловим известные атаки (ET Open Ruleset).
- RITA (Real Intelligence Threat Analytics): Отличный инструмент для поиска «маячков» (Beacons) — регулярных коннектов к C2.
- **Arkime **(бывший Moloch): Если нужно писать полный PCAP (Full Packet Capture) для форензики.
Мониторинг конечных точек (EDR) дает вам контекст (какой процесс). Мониторинг сети (NDR) дает вам правду (что реально произошло). Только комбинация Logs + Network дает ту самую «Вторую Линию» обороны, которую невозможно обойти незаметно.