
Профессиональный IT-подход к форензике, анализу и судебной фиксации скрытых угроз
Привет, коллеги! 👋🖥️ Сегодня мы с вами разбираем одну из самых востребованных и технически сложных тем в области информационной безопасности и компьютерной криминалистики. Речь пойдет о системном, глубоком и методически выверенном поиске и выявлении программ-слежения — от бытовых сталкерских приложений на смартфонах до промышленных имплантов уровня ядра операционной системы и аппаратных закладок в прошивке UEFI. 🧠🔬
Давайте сразу договоримся: мы — команда судебных IT-экспертов, и наша специализация — юридически корректный, процессуально чистый и технически безупречный поиск и выявление программ-слежения на любых цифровых носителях. Мы работаем со смартфонами (Android, iOS), персональными компьютерами (Windows, macOS, Linux), серверными стойками, RAID-массивами, планшетами и даже с промышленными контроллерами. Физический доступ к оборудованию — это краеугольный камень методически верного поиска, особенно когда речь идет о системах, отключение которых недопустимо. 🚁🖥️
В этой статье я расскажу: что такое современное шпионское ПО, как строится профессиональная диагностика, какие инструменты мы используем, приведу реальные кейсы из нашей практики, разберу векторы проникновения и объясню, почему стандартные антивирусные проверки не имеют юридической силы. Мы находимся в Москве, но для сложных дел, для анализа стационарных серверов в изолированном контуре мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Поехали! 🚀⚖️
- Почему обычный антивирус не работает: фундаментальные ограничения 🚫🦠
Начнем с жесткой правды. Если вы считаете, что установка Kaspersky, Dr.Web, ESET или любого другого массового антивирусного решения способна защитить вас от целевого шпионажа — вы глубоко заблуждаетесь. Поиск и выявление программ-слежения профессиональными методами принципиально отличается от обычного сканирования. Почему?
Во-первых, современное шпионское ПО использует методы обфускации и маскировки, делающие его невидимым для сигнатурных сканеров. Вредоносные программы могут быть зашиты в легитимные процессы (инжект в svchost.exe, lsass.exe), работать бесфайлово (fileless malware) — то есть существовать исключительно в оперативной памяти, или даже быть прошитыми в UEFI на аппаратном уровне.
Во-вторых, антивирусы не дают юридически значимого результата. Как я уже упоминал в предыдущих публикациях, результат проверки антивирусом не является доказательством в процессуальном смысле. Почему? Антивирус изменяет временные метки при сканировании, не фиксирует цепочку хранения улик (Chain of Custody), его результат невоспроизводим, а программист, написавший антивирус, не несет уголовной ответственности за свой вывод. Эксперт же предупреждается об ответственности по ст. 307 УК РФ.
В-третьих, стандартное сканирование не работает против сложных целевых атак. Яркий пример — операция «Форумный тролль», где использовалась уязвимость нулевого дня в браузере Chrome (CVE-2025-2783) и шпионское ПО Dante от Memento Labs (бывшая Hacking Team). Этот имплант использовал уникальный метод анализа среды перед выполнением функций, чтобы избежать детекции. Никакой антивирус его не нашел бы.
Поэтому, если вам нужен поиск и выявление программ-слежения для суда, следствия или арбитража — обращайтесь только к сертифицированным экспертам. Мы предоставляем полный пакет документов, включая подписку об уголовной ответственности. 📝
- Таксономия угроз: что мы ищем и почему это сложно 📐
Шпионское ПО (spyware, stalkerware, tracking software) — это класс программ, предназначенных для скрытого сбора, агрегации и передачи информации с зараженного устройства. Сложность поиска и выявления программ-слежения заключается в их маскировке. Современные образцы умеют:
🔹 Обфусцировать свой код (используют упаковщики вроде UPX, VMProtect, Themida).
🔹 Маскироваться под системные процессы (svchost.exe, System, kernel_task).
🔹 Использовать легитимные каналы связи (HTTPS, DNS-over-HTTPS, Telegram Bot API) для эксфильтрации данных.
🔹 Иметь механизмы самоуничтожения при обнаружении отладки или антивируса.
🔹 Работать в режиме загрузчика, загружая основное тело только из C&C-сервера.
Поэтому методика поиска и выявления программ-слежения должна быть многоуровневой: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга. Никакой один инструмент не даст 100% гарантии. 🎯
2.1. Классификация по целевому назначению и функционалу 📂
Понимание архитектуры каждой категории критически важно, так как метод обнаружения напрямую зависит от типа угрозы.
- Кейлоггеры (Keyloggers): Записывают все нажатия клавиш, содержимое буфера обмена, скриншоты экрана. Делятся на аппаратные (встраиваются в кабель или корпус) и программные (драйверы, хуки, руткиты). Исследователи Санкт-Петербургского Федерального исследовательского центра РАН разработали подход, который ищет следы кейлоггеров в сетевом трафике на основе методов искусственного интеллекта. Это позволяет детектировать работу клавиатурных шпионов даже в шифрованном трафике по поведенческим паттернам.
- Трояны удаленного доступа (RAT — Remote Access Trojan): Обеспечивают полный удалённый доступ: просмотр файлов, запуск программ, активацию веб-камеры и микрофона, кражу паролей из браузеров. Часто используют легитимные протоколы (RDP, VNC) для маскировки.
- Информационные сборщики (Data Stealers): Специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров.
- Сетевые снифферы (Sniffers): Перехватывают сетевые пакеты на зараженном хосте. Могут работать в режиме promiscuous mode.
- Стелс-агенты и руткиты: Используют методы сокрытия своего присутствия: хуки системных вызовов, прямой доступ к объектам ядра (DKOM), виртуализацию.
- Буткиты (Bootkits): Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС. Являются наиболее сложными для обнаружения стандартными средствами.
2.2. Мобильные угрозы: Android и iOS 📱
Особый класс представляют шпионские программы для мобильных устройств. Согласно данным исследовательской группы Kaspersky, в 2023 году более 42 000 пользователей столкнулись с подобными угрозами. На мобильных устройствах чаще всего встречаются:
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытого слежения.
- Банковские трояны: Внедряются в процессы банковских приложений, подменяя их интерфейсы для выманивания реквизитов (техника overlay attacks), и перехватывают SMS-сообщения с одноразовыми паролями.
- Эксплойты с физическим доступом: Например, шпионская программа ResidentBat, выявленная «Репортерами без границ», устанавливается только после физического доступа к устройству — это свидетельствует о преднамеренном и целенаправленном использовании технологий слежения.
- IT-методология профессиональной диагностики: многоуровневый подход 🔬
Профессиональный поиск и выявление программ-слежения строится по принципу «от простого к сложному» и обязательно документируется на каждом шагу. Рассмотрим полный алгоритм.
3.1. Этап 0: организационные мероприятия и изъятие объектов 🏢🔒
Требования к инженеру на месте изъятия: ❌ Не выключать компьютер! Выключение уничтожает оперативную память, содержащую следы fileless-вредоносов.
Что делаем:
✅ Отключаем сетевые интерфейсы (физическое отсоединение Ethernet, отключение Wi-Fi в BIOS).
✅ Делаем дамп оперативной памяти (RAM) с помощью winpmem (Windows) или avdump (Linux).
✅ Фотографируем экран с открытыми процессами, сетевыми подключениями.
✅ Создаем посекторную копию (образ) диска в формате E01 или RAW с использованием аппаратного блокиратора записи (write-blocker) — например, Tableau Forensic, Atola Insight — с параллельным вычислением хэша SHA-256.
✅ Упаковываем и опломбируем оригинальный носитель и образы.
3.2. Этап 1: анализ оперативной памяти (RAM Forensics) 🧠
Многие современные импланты работают бесфайлово — они загружаются прямо в память через уязвимости или легитимные средства администрирования (PowerShell, WMI, PsExec). Такие угрозы невозможно обнаружить при сканировании диска, поэтому поиск и выявление программ-слежения обязательно включает RAM-форензик.
Инструментарий: Volatility Framework, Rekall, MemProcFS, FTK Imager.
В ходе анализа ищем:
- Инжектированные DLL в чужие процессы (svchost.exe, explorer.exe, lsass.exe).
- Скрытые процессы и аномальные таймеры.
- Подозрительные сетевые соединения, которые не видны через стандартный netstat.
- Руткиты, перехватывающие системные вызовы (SSDT, IDT).
3.3. Этап 2: статический анализ файловой системы 📁
Выполняется только на образе диска, смонтированном через write-blocker. Никаких изменений оригинального носителя!
Этапы:
- Сверка хешей всех системных файлов с эталонной базой (от чистого образа той же версии ОС).
- Поиск скрытых файлов и каталогов с атрибутами «скрытый», «системный» в пользовательских каталогах.
- Анализ временных меток (MAC-времена) на предмет аномалий: файл с датой создания 2015 год, но с содержимым, ссылающимся на события 2024 года — явный признак подделки.
- Сканирование по YARA-правилам (база из 5000+ сигнатур для spyware).
3.4. Этап 3: динамический анализ в изолированной среде (Sandboxing) 🏜️
Запуск подозрительных файлов в изолированной среде (песочнице) с мониторингом всех действий: попыток записи в реестр, создания процессов, обращения к файловой системе и сетевой активности.
Инструменты: Cuckoo Sandbox, CAPE (современный форк Cuckoo с поддержкой Android), ANY.RUN, Joe Sandbox.
Индикаторы заражения в динамике:
🔹 Попытки доступа к $MFT, SAM, SYSTEM (реестр).
🔹 Вызов SetWindowsHookEx (клавиатурный шпион).
🔹 Чтение буфера обмена (GetClipboardData).
🔹 Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337).
🔹 Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).
Важно: динамический анализ всегда проводим на виртуальных машинах, изолированных от корпоративной сети. Используем VLAN и отдельный физический хост. 🌐
3.5. Этап 4: ручной реверс-инжиниринг — для самых сложных случаев 🧬
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву, или обфусцированный код), применяется reverse engineering. Это требует высокой квалификации и времени, но иногда только так возможен поиск и выявление программ-слежения нулевого дня (zero-day).
Инструментарий: Ghidra (от АНБ — бесплатный дизассемблер с декомпиляцией), IDA Pro (промышленный стандарт), x64dbg, Binary Ninja.
- Сетевой форензик и выявление C&C-серверов 🌐
Любая шпионская программа нуждается в управляющем сервере (C&C, C2) и канале эксфильтрации данных. Поиск и выявление программ-слежения включает анализ сетевых логов.
- Источники: PCAP-логи сетевого оборудования, логи DNS-сервера, логи прокси и межсетевых экранов.
- Индикаторы компрометации (IoC):
- Подозрительные домены (DGA — Domain Generation Algorithm).
- Нестандартные порты (TCP/1443, 8080, 4444).
- Регулярные heartbeat-запросы к C&C-серверам (например, каждые 60 секунд).
- Асимметричный трафик (мало входящего, много исходящего — эксфильтрация).
- Инструменты: Wireshark, NetworkMiner, Zeek (Bro), Suricata с правилами ET PRO, JA3/JA3S — отпечатки TLS-рукопожатий.
- Криминалистический анализ: кейсы из экспертной практики 🗂️
Профессиональный поиск и выявление программ-слежения подтверждает свою состоятельность в ходе работы по конкретным уголовным делам. Рассмотрим несколько показательных кейсов, демонстрирующих разнообразие векторов проникновения.
Кейс №1: Семейная слежка на устройстве Android («Супружеский детектив») 👨👩👦
Сценарий: В лабораторию Федерации судебных экспертов обратилась гражданка с жалобами на аномальное поведение её смартфона под управлением операционной системы Android. Заявительница сообщила о следующих признаках: быстрый разряд аккумуляторной батареи (с 30 часов до 5 часов работы), наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время.
Вектор проникновения: Физический доступ к устройству. Муж получил доступ к смартфону на несколько минут, пока владелица мыла посуду, и установил программу-шпион, замаскированную под подставное приложение-календарь.
Анализ: В ходе поиска и выявления программ-слежения эксперты создали побитовую копию внутренней памяти с помощью аппаратно-программного комплекса. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика ОС. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
Результат: Вредоносный пакет был удалён с сохранением пользовательских данных. Было составлено заключение, которое заявительница использовала в судебном процессе. Супруг признал факт установки шпионского ПО.
Кейс №2: Финансовый троян после перехода по фишинговой ссылке («Роковой клик») 💸
Сценарий: Мужчина случайно перешёл по ссылке в мессенджере якобы от «Почты России». На следующий день с его карт списали 1,2 млн рублей.
Вектор проникновения: Фишинговая атака. Переход по ссылке инициировал загрузку APK-файла (загрузчика), который установил банковский троян с функцией оверлея. Вредоносная программа оказалась трояном-кликером с модулем клавиатурного шпиона. Он не крал пароли мгновенно, а накапливал их неделями.
Анализ: В рамках поиска и выявления программ-слежения эксперты создали побитовую копию внутреннего накопителя смартфона. В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке. Приложение не имело иконки и было скрыто из общего списка установленных программ. Эксперты выполнили дизассемблирование исполняемого файла и выявили функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
Результат: Вредоносный модуль был удалён. Заключение было передано в правоохранительные органы для возбуждения уголовного дела, а также использовано в банке для запуска процедуры страхового возмещения (часть средств удалось вернуть).
Кейс №3: Корпоративный шпионаж на оборонном предприятии (выезд в Московскую область) 🏭
Сценарий: Крупный производитель промышленного оборудования (Московская область, головной офис — Москва) обнаружил, что чертежи новой линейки станков оказались у конкурента. Внутренняя ИБ-служба провела поверхностную проверку, но ничего не нашла.
Постановка задачи: Провести полный поиск и выявление программ-слежения на 35 рабочих станциях конструкторского отдела и 8 серверах с PDM-системой.
Ход работ: Выездная группа создала образы дисков всех критичных машин с использованием write-blocker. Выполнен анализ оперативной памяти трёх серверов, которые нельзя было отключать — использован live-дамп через FTK Imager. Проведена глубокая сверка хешей системных файлов с эталонными образами.
Результат: На одном из серверов обнаружен руткит уровня ядра (Kernel-mode spyware), маскирующийся под драйвер файловой системы. Вредонос перехватывал обращения к файлам с расширениями.dwg,.sldprt,.stp и перед отправкой пользователю отправлял копии на внешний сервер. Имплант работал 7 месяцев, за это время утекло более 500 чертежей. Экспертное заключение передано в арбитражный суд и следственные органы по ст. 183 УК РФ.
Кейс №4: Скрытая установка через EFI (Москва, медицинский центр) 🏥
Сценарий: В частной клинике пропали записи VIP-пациентов. Стандартный поиск и выявление программ-слежения на дисках ничего не дал.
Вектор проникновения: Аппаратный уровень. Вредонос был прошит в EFI-системный раздел (буткит).
Анализ: Эксперты извлекли прошивку EFI через SPI-программатор с использованием flashrom. Внутри была обнаружена внедренная DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей. Анализ в IDA Pro подтвердил функционал перехвата.
Результат: Это уникальный случай в российской практике, демонстрирующий необходимость применения специализированного оборудования для анализа низкоуровневых компонентов. Заключение легло в основу уголовного дела о нарушении врачебной тайны.
Кейс №5: Целевая атака иностранных спецслужб («Операция Форумный тролль») 🌍
Сценарий: В марте 2025 года эксперты Kaspersky GReAT обнаружили сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в браузере Chrome (CVE-2025-2783). Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в форуме «Примаковские чтения».
Внедрение: Достаточно было перейти по ссылке и открыть браузер Chrome — устройство заражалось без каких-либо дополнительных действий. Использовалось шпионское ПО LeetAgent, а также коммерческое ПО Dante от Memento Labs (бывшая Hacking Team). Чтобы избежать обнаружения, Dante использует уникальный метод анализа среды перед выполнением своих функций.
Анализ: Поиск и выявление программ-слежения в данном случае потребовал глубокого реверс-инжиниринга для установления происхождения кода. Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
Результат: Это первый случай обнаружения использования ПО от Memento Labs в реальных кибератаках. Данный случай подтверждает, что даже самые современные антивирусные решения могут быть бессильны перед целевыми атаками с использованием уязвимостей нулевого дня.
- Инструментальный стек и технологический стенд 🛠️
Эффективность поиска и выявления программ-слежения напрямую зависит от используемого инструментария. Ниже представлена систематизация инструментов по этапам анализа.
| Этап анализа | Категория инструментов | Конкретные примеры | Назначение и выходные данные |
| Сбор артефактов | Криминалистические сборщики | FTK Imager, Magnet AXIOM, Belkasoft Live RAM Capturer, Tableau TD3 | Создание посекторной копии диска (dd-образ), дампа оперативной памяти, извлечение ключей реестра. Сохранение целостности и хэш-сумм |
| Статический анализ | Анализаторы памяти | Volatility Framework, Rekall | Парсинг структур данных ОС в дампе памяти для поиска аномалий |
| Анализаторы файловых систем | Autopsy, The Sleuth Kit, analyzeMFT | Построение временной шкалы событий, поиск удаленных файлов, анализ метаданных, MFT-анализ | |
| Анализаторы реестра | Registry Explorer, PECmd | Анализ точек автозагрузки, поиск аномальных записей | |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox, ANY.RUN, Joe Sandbox | Автоматизированный отчет о поведении образца: вызовы API, созданные файлы, сетевые подключения |
| Отладчики и дизассемблеры | IDA Pro, Ghidra, x64dbg, OllyDbg | Графы вызовов функций, строковые константы, алгоритмы обфускации | |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner, Zeek | PCAP-файлы трафика, выделенные файлы, реконструированные сессии, статистика, JA3-отпечатки |
| Вспомогательные | Платформы разведки угроз | VirusTotal, MalwareBazaar, MITRE ATT&CK Navigator | Контекст по образцам (хэши, поведение), сопоставление тактик и техник |
- Выводы и практические рекомендации 📑
Проведённое исследование показывает, что угрозы, исходящие от шпионского ПО и программ хищения денежных средств, носят системный и высокотехнологичный характер. Противодействие данным угрозам невозможно без применения сложных криминалистических методов, объединённых в рамках профессионального поиска и выявления программ-слежения. Только комплексный подход, включающий статический анализ, исследование оперативной памяти, динамическое тестирование в песочнице и анализ низкоуровневых компонентов прошивки, способен гарантировать обнаружение и документирование следов ВПО.
Практические рекомендации для заказчика при подозрении на слежку: 👣
- Не выключайте компьютер — поставьте на паузу работу, отключите сеть (выдернуть патч-корд или включить режим «в самолете»).
- Не запускайте антивирус — он может уничтожить активные трояны и их логи.
- Не копируйте файлы вручную — это изменит временные метки и может быть расценено как уничтожение следов.
- Зафиксируйте всё на фото/видео (экраны, системное время, горящие лампочки на сетевой карте).
- Обратитесь к сертифицированным экспертам для проведения процессуально корректного поиска и выявления программ-слежения с созданием криминалистически корректных образов и формированием доказательной базы.
Практические кейсы демонстрируют разнообразие векторов проникновения — от простого физического доступа до сложных целевых атак с использованием уязвимостей нулевого дня и буткитов. Внедрение научно обоснованной методологии поиска и выявления программ-слежения является критическим фактором обеспечения информационной и финансовой безопасности как для частных лиц, так и для организаций.
Более подробная информация о методологии и примерах экспертных заключений представлена на специализированном ресурсе: https://fse.ms





Задавайте любые вопросы