Запись, полученная 11 декабря 2025 года в 16:16:02, фиксирует активность узла 93.95.97.28 внутри подсети DMZ компании «NordByte». Сессия инициирована с внешнего хоста к внутреннему сервису на порт 443. Первые 120 миллисекунд обмена свидетельствуют о применении TLS 1.3 без ресайзов окон, что уже намекает на целостный рукопожатный процесс. Подробности на svarnik.ru.
Сводка пакетов
о зафиксировано 914 пакетов, суммарный объём 1,26 МБ. Средний RT составил 34 мс при стабильной дисперсии 2 мс. Клиент запрашивал ресурс «/api/v4/login», сервер отвечал кодами 200 и 302. Повторных открытых соединений не замечено — Keep-Alive продержался на протяжении полной сессии.
Аномалии трафика
Пять пакетов из середины лога выделяются повышенным временем подтверждения — 380 мс. Интервальный анализ показывает корреляцию с всплеском CPU на балансировщике, отражённым в syslog. Среди заголовков ответа обнаружен редкий флаг «Early-Data: 1», обычно присущий попыткам шифрованного предотвращения задержки при авторизации. Подобный признак в сочетании с единичным отклонением RTT намекает на использование автоматизированного клиента, работающего на транспортном уровне PSL.
Меры реагирования
Для сокрытия подобной стохастической сигнатуры поможет динамическое распределение нагрузки пограничным серверам с учётом их текущей очереди. В том же списке профилактических шагов — обновление правила IPS, запрещающего Early-Data при аутентификации. Дополнительный шаг: привязка тайм-аута TLS к медиане RTT плюс двойная дисперсия, что снизит вероятность ложного прерывания потока. Завершающим штрихом станет аудит прав доступа, обращающий вниманиее на автоматические токены.
11 декабря 2025 года в 16:17:16 IPS вывел тревогу «Outbound C2 Beacon». Источник — внутренний хост 10.21.44.32, назначение — 93.95.97.28:443. TTL = 128, размер пакета = 310 байт, сигнатура — MS-HTTPS-Anomaly-42. Для ускорения анализа задействован tcpdump на зеркальном порту, журналы Sysmon, NetFlow, прокси и AD Security. Сводный таймлайн формируется сразу, пока кэш не уничтожил мелкие детали.
Фиксация следов
Raw PCAP снят в течение 90 секунд после оповещения. Объём — 12 МБ. CRC вычисляется и закрепляется в Ticket #45842 для дальнейшего контроля целостности. NetFlow показывает 28 соединений за предшествующие пять минут, интервалы между SYN ≈ 11 секунд. Прокси-данные отсутствуют, что указывает на прямой TLS-туннель, обходящий HTTP-inspect. Sysman Event ID 3 фиксирует outbound-connect из процесса C:\ProgramData\mssecsvc.exe (sha256 67d4…b1a). Этот PE подписан «MSUpdate» поддельным сертификатом Sectigo. Certutil блокирует загрузку сертификата в 16:16:43 из /Temp/tmp.crt.
Корреляция журналов
SIEM связывает событие с предыдущим alert E0109 (Privilege Escalation) на том же хосте в 15:59:51. Через mimikatz passthrough злоумышленник получил NT AUTHORITY\SYSTEM. Task Scheduler создал job «win_net_update» с триггером */5. Процесс mssecsvc.exe – клиент RustyBackdoor v4: шифрованный JSON-heartbeat 176 байт, ответ — 48 байт. Анализ JA3-фингерпринта 771,49,0-0-23 совпадает с наблюдениями Emote-T3 (апрель 2025). Геопозиционирование 93.95.97.28 указывает Amsterdam, провайдер «Hostkey». Abuse-DB — шесть жалоб на C2 деятельность за ноябрь-декабрь.
C2-трафик стартовал после загрузкигрузки вредоносного обновления, подписанного украденным ключом. Компрометация AD произошла благодаря устаревшему LSASS Protection. Хост 10.21.44.32 помещён в VLAN quarantine, ключ API Azure отозван. В IPS введена сигнатура на JA3 771,49,0-0-23 и Server Name «*.telemetry-gate.com». RTBH для префикса 93.95.96.0/23 активирован на периферийных маршрутизаторах. Certutil заблокирован через Applocker, регистр прокси расширен фильтром CONNECT 443. Команда SOC оформляет IOS: IP 93.95.97.28, sha256 67d4…b1a, домен telemetry-gate.com, URL /updates/2025-12-11.dat. Информация передана cert-ru через STIX 2.1. Параллельно развернут Honeypot с аналогичной конфигурацией для изучения дальнейших HTTP.
Дополнительная проверка охватила 19 хостов той же подсети. Один из них (10.21.44.57) демонстрирует ARP-кэш-отравление, направляя трафик к роутеру «R03-Edge». Лог FDR подтверждает, что C2-оператор попытался развернуть lateral-транспорт веб-шела «tiny.asp». Файл перехвачен, сигнатура добавлена в antivirus. GPO запретил WMI remote, SMB-v1 отключён. Практика «Tiering» разделила учётки админов и сервисов, что снижает риск повторной эскалации.
Финальный отчёт хранится в Confluence, раздел IR/2025-12-11-C2. Лог-резюме содержит 20 основных артефактов, дампа PCAP, хэш-список и снимки экрана Splunk-Dashboard. Контрольный анализ спустя 24 часа не показывает повторных обращений к 93.95.97.28. Листы NAC стирают временные исключения, функция EDR «Network Isolation» возвращается в режим «alert-only».
В результате инцидент классифицирован TLP-GREEN для внутренних целей и TLP-AMBER при обмене с партнёрами. SLA по устранению соблюдён, потерь конфиденциальных данных не обнаружено, время простоя — 0.7 % рабочего дня отдела продаж. Предложение по дальнейшему совершенствованию процесса IR: автоматизировать экспорт NetFlow в Zeek, добавить DNS tap и датчик hassh-сервер для раннего обнаружения C2. SOC-руководитель утверждает рекомендации, команда DevSecOps планирует внедрение в Q1-2026.
