Процесс выявления источника сетевой атаки и восстановления картины инцидента — это сложная, наукоемкая кропотливая работа, требующая высокой квалификации, опыта и использования специализированных программно-аппаратных комплексов (инструментов компьютерной криминалистики и форензики). Наши эксперты не просто «смотрят логи», а проводят комплексное исследование по нескольким направлениям.

1. 🌐 Анализ IP-адресов и сетевых идентификаторов

Это самый очевидный, но далеко не всегда достаточный метод. Эксперт анализирует:

• Внешние IP-адреса, с которых осуществлялись подозрительные подключения (например, попытки входа в систему, передача данных, отправка команд).
• IP-адреса внутри корпоративной сети, с которых производились несанкционированные действия (чтобы отличить внешнего атаке от внутреннего нарушителя).
• MAC-адреса (уникальные идентификаторы сетевых устройств) — могут помочь идентифицировать конкретное устройство, даже если IP-адрес был динамическим.
• Данные о точках беспроводного доступа (Wi-Fi) и их логи.

Ограничения метода: Злоумышленник может использовать промежуточные серверы, цепочки прокси-серверов, анонимные сети (например, Tor) или поддельные (спуфинговые) IP-адреса. В таких случаях одного IP-адреса недостаточно.

2. 📜 Анализ системных журналов (логов) и метаданных

Логи — это «черные ящики», фиксирующие практически все события в информационной системе. Эксперт анализирует журналы:

• Операционных систем (Windows Event Log, syslog в Linux).
• Серверов баз данных (журналы запросов, авторизаций, изменений данных).
• Веб-серверов и приложений (журналы доступа к страницам, ошибки, переданные параметры).
• Средств защиты: межсетевых экранов, систем обнаружения вторжений (СОВ), антивирусных программ.
• Систем электронной почты (журналы отправки, получения, аутентификации).

Что эксперт ищет в логах:

• Неудачные и успешные попытки входа в нерабочее время, с необычных IP-адресов.
• Изменение привилегий (создание новых пользователей с правами администратора, повышение прав существующих).
• Доступ к критическим файлам и базам данных (кто, когда, откуда обращался).
• Запуск подозрительных процессов или скриптов.
• Передачу данных на внешние адреса (объем, время, адресат).
• Удаление или модификацию логов (попытка злоумышленника замести следы — сам по себе важный индикатор).

3. 📡 Анализ сетевого трафика и дампов пакетов

Этот метод позволяет восстановить картину обмена данными между устройствами даже в том случае, если логи были частично удалены или не велись. Эксперт анализирует:

• Записи о сетевых соединениях (netflow, sflow) с маршрутизаторов и коммутаторов — кто с кем и когда общался.
• Дампы пакетов (PCAP-файлы), если они были сохранены (полная запись всего трафика за определенный период). Это позволяет увидеть не только факт соединения, но и его содержимое (например, передаваемые файлы, команды).

Что можно установить: точное время соединения, протоколы (SSH, RDP, HTTP, FTP), объем переданных данных, фрагменты передаваемой информации, а иногда и уникальные цифровые «отпечатки» (fingerprints) операционной системы или программного обеспечения злоумышленника.

4. 🦠 Анализ вредоносного кода и артефактов атаки

Если атака включала внедрение вредоносного программного обеспечения (троянов, программ-шпионов, шифровальщиков, бэкдоров), эксперты проводят его детальный анализ:

• Статический анализ (изучение кода без запуска).
• Динамический анализ (запуск в изолированной среде-«песочнице» для наблюдения за поведением).

Что можно выявить: Уникальные сигнатуры (хэши) вредоносных файлов, IP-адреса и домены, к которым они обращаются (так называемые «командные центры» — C&C), использованные уязвимости, а иногда и метаданные, оставленные разработчиком вредоноса (например, имя пользователя в системе сборки или путь к проекту). Это может косвенно указать на конкретную хакерскую группу.

5. 🕵️ Восстановление удаленной информации и анализ скрытых данных

Злоумышленники часто пытаются удалить логи, временные файлы или сам вредоносный код после атаки. Эксперты по компьютерной криминалистике могут восстановить удаленную информацию с жестких дисков и других носителей (даже после форматирования), используя специальные программно-аппаратные комплексы. Также анализируются скрытые разделы, область реестра, оперативная память (если был сделан дамп).

🎯 Что именно может установить эксперт по итогам исследования

Конечный результат экспертизы — это не просто «технический отчет», а юридически значимое заключение, которое может быть использовано в суде или следствии. В зависимости от полноты исходных данных и сложности атаки, эксперт может установить:

Важно отметить: Эксперт устанавливает технические факты и делает вероятностные выводы в пределах своей компетенции. Вопрос «кто именно (ФИО) совершил атаку» — это вопрос следствия и суда, но экспертное заключение предоставляет для этого доказательственную базу.

🗂️ Какие исходные данные необходимо предоставить для экспертизы

Для проведения максимально полной, обоснованной и эффективной экспертизы нашим специалистам потребуется доступ к максимально возможному объему информации, собранной с соблюдением правил сохранения цифровых доказательств. Чем быстрее и полнее будут собраны данные, тем выше шанс на успешное выявление источника и обстоятельств атаки. ⏱️

Базовый набор данных (обязательная часть):

• 💾 Образы жестких дисков (или резервные копии) скомпрометированных систем (серверов, рабочих станций). Работа с «образами» (побайтовыми копиями), а не просто с файлами, позволяет сохранить все, включая удаленные и скрытые данные.
• 📜 Журналы событий (логи) операционных систем и прикладного программного обеспечения за период, охватывающий время атаки и некоторое время до и после нее.
• 📡 Записи сетевого трафика (netflow, sflow, pcap-дампы) с маршрутизаторов, коммутаторов, межсетевых экранов и систем обнаружения вторжений.
• ⚙️ Конфигурационные файлы активного сетевого оборудования (маршрутизаторов, коммутаторов, межсетевых экранов, систем балансировки нагрузки).
• 🛡️ Данные систем обнаружения вторжений (СОВ/IDS) и систем предотвращения вторжений (СОВ/IPS) — оповещения, сработавшие правила, сохраненные пакеты.

Расширенный набор (увеличивает шансы на успех):

• 📋 Схема сетевой инфраструктуры компании (какие сегменты есть, где находятся серверы, как организован доступ из интернета).
• 🗂️ Списки учетных записей пользователей и их прав доступа на момент атаки.
• 📄 Отчеты о предыдущих инцидентах информационной безопасности (если они были).
• 💻 Данные об используемом программном обеспечении и его версиях (особенно на серверах, выходящих в интернет).
• 📜 Политики безопасности и регламенты (чтобы понять, какие действия являются штатными, а какие — нарушением).

Крайне важно: Все эти данные должны быть собраны и зафиксированы с соблюдением правил сохранения цифровых доказательств (процессуальный порядок изъятия, составление протоколов, использование не менее двух понятых, применение сертифицированных инструментов для создания образов). Иначе суд может признать эти доказательства недопустимыми.

📖 Раздел с кейсами: как экспертиза помогала найти источник атак

Кейс №1. Внутренний нарушитель — бывший системный администратор. После увольнения системного администратора в компании начались регулярные сбои в работе серверов баз данных. Наша экспертиза логов доступа и дампов памяти серверов показала, что подозрительные действия (удаление таблиц, изменение настроек) происходят с учетной записи, которая принадлежала уволенному администратору, но с IP-адресов, не связанных с его домашним офисом. Более глубокий анализ выявил, что бывший администратор установил на сервере скрытую программу-«закладку», которая запускалась по расписанию, и использовал для доступа свою старую, неотключенную учетную запись. Экспертное заключение помогло привлечь его к уголовной ответственности за неправомерный доступ к компьютерной информации. Подробнее: https://fedexpertiza.ru/konsultacziya/

Кейс №2. Атака через уязвимость веб-приложения. В компанию, занимающуюся интернет-торговлей, был подан иск от имени клиента о списании крупной суммы без его согласия. Компания подозревала взлом, но своими силами не могла его доказать. Наша экспертиза журналов веб-сервера и доступа к базе данных восстановила картину: злоумышленник использовал уязвимость типа «подстановка параметров» в модуле оплаты. Эксперт определил IP-адрес, с которого были отправлены подозрительные запросы (он принадлежал хостеру в другой стране), а также восстановил запросы, которые привели к списанию. Суд, опираясь на заключение, признал действия клиента добросовестными (деньги были ему возвращены), а ущерб отнесен на счет уязвимости, которую разработчик не устранил. История на https://fedexpertiza.ru/konsultacziya/

Кейс №3. DDoS-атака на корпоративный портал. Портал компании был недоступен в течение нескольких часов. Конкуренты утверждали, что это технический сбой. Наша экспертиза проанализировала логи межсетевого экрана и дампы трафика: более 90 процентов входящих запросов приходили с одного и того же пула IP-адресов, зарегистрированных на одного зарубежного хостера, причем запросы были однотипными и отправлялись с высокой частотой (что характерно для DDoS). Эксперт не смог установить личность заказчика атаки (это вне его компетенции), но подтвердил, что это была именно намеренная атака, а не сбой. Это позволило компании требовать компенсацию от страховой по договору киберстрахования.