По горячим следам. Как Dr.Web FixIt! помогает реконструировать картину атаки

По горячим следам. Как Dr.Web FixIt! помогает реконструировать картину атаки

В информационной безопасности не существует инструмента, способного решать любые задачи. Защита инфраструктуры складывается из множества элементов: технологий, настроек системного ПО, организационных мер и процедур реагирования.

Антивирусный вендор рассматривает кибербезопасность прежде всего через призму противодействия действиям злоумышленников. Когда речь идет о вредоносном ПО, фундаментом защиты остается антивирус. Он чаще всего предотвращает запуск вредоносных программ, блокирует заражение и мешает злоумышленнику закрепиться в системе.

Однако использование вредоносного ПО — лишь один из способов компрометации. Атаки могут эксплуатировать уязвимости в веб-приложениях, ошибки конфигурации систем, слабую защиту удаленного доступа, неудачные решения в архитектуре инфраструктуры или человеческий фактор. Часть рисков нейтрализуется специализированными средствами защиты, некоторые — настройками штатного ПО, а другие требуют изменения рабочих процессов.

На практике даже в организациях с выстроенной защитой возникают инциденты, поскольку атакующие используют разные классы техник: эксплуатацию уязвимостей, компрометацию цепочек поставок, ошибки конфигурации и социальную инженерию.

Далее события развиваются по-разному:

• некоторые, если позволяют резервные копии, просто восстанавливают системы и продолжают работу;
• другие пытаются разобраться, что произошло, как злоумышленник проник в инфраструктуру и какие лазейки использовал.

Для выяснения причин инцидента необходимо восстановить последовательность событий — шаг за шагом реконструировать действия злоумышленника по цифровым следам на компьютерах и серверах. Эта деятельность относится к области форензики и реагирования на инциденты (DFIR).

Есть мнение, что для решения подобных задач не обойтись без Endpoint Detection and Response (EDR)-систем. Выглядят они внушительно, но потребляют много ресурсов и требуют внимания специалистов. Распространенная картина: несколько месяцев компания тратит деньги и человекочасы для внедрения EDR. В результате эксплуатация требует значительных ресурсов и зрелых процессов обработки событий, среди шума которых практически невозможно разглядеть реальные инциденты. А ведь далеко не каждая организация способна внедрить EDR-решение или использовать его постоянно. При этом задача расследовать инциденты и анализировать состояние инфраструктуры остается.

На помощь приходят инструменты, которые позволяют точечно исследовать конкретные системы, собрать артефакты и выстроить хронологию событий на уровне хоста. Для этих задач специалисты «Доктор Веб» используют сервис Dr.Web FixIt!

Что такое Dr.Web FixIt!

Инструмент предназначен для детального анализа состояния компьютеров и устранения выявленных угроз безопасности. Сервис управляется через веб-интерфейс и не требует установки ПО на компьютеры клиента.

Dr.Web FixIt! активно применяется специалистами «Доктор Веб» в расследованиях и выручает в случаях, когда невозможно применить тяжелое решение типа EDR. С помощью веб-интерфейса генерируется индивидуальная утилита FixIt!, параметры которой задаются в зависимости от задачи. Утилита запускается на проверяемой системе, собирает данные и, при необходимости, выполняет процедуры очистки.

Ключевые преимущества Dr.Web FixIt!:

• работает без установки,
• совместим с антивирусными продуктами других производителей,
• может использоваться в инфраструктурах с решениями других вендоров.

Помимо обнаружения активного вредоносного ПО, сервис позволяет выявлять следы уже удаленных программ — остаточные элементы закрепления, измененные системные настройки, артефакты активности злоумышленников и другое.

Сервис решает разные задачи: например, анализ и лечение после заражения, или исследование подозрительной активности на конкретной машине. Мы часто используем его для поиска следов компрометации, особенно после целевых атак. Иногда в процессе исследования выясняется, что целевая атака разворачивается именно сейчас! Dr.Web FixIt! даже способен выявлять уязвимости и небезопасную конфигурацию — но для таких задач его стоит комбинировать с другими специализированными инструментами.

Помимо расследования инцидентов, Dr.Web FixIt! подходит для регулярных проверок состояния компьютерных систем — это коррелирует с регуляторными требованиями. В частности, приказ ФСТЭК России №117, вступивший в силу с 01.03.2026 года, закрепляет риск-ориентированный подход к обеспечению безопасности и требует периодической оценки защищенности информационных систем.

На практике такая оценка включает анализ конфигурации систем, поиск следов компрометации и выявление нарушений политик безопасности — именно те задачи, для решения которых используется Dr.Web FixIt!.

Пример практического применения Dr.Web FixIt!

Чтобы продемонстрировать возможности Dr.Web FixIt!, поделимся деталями одного показательного инцидента на российском машиностроительном предприятии. В конце июня 2025 года представители одной компании обратились к нам с запросом, не являются ли периодические срабатывания антивируса на одном из компьютеров следствием сбоя.

Проверка показала, что антивирус реагировал корректно, а за срабатыванием скрывалась целевая атака. Краткая хронология:

1. Первое заражение — 12 мая 2025 года. Начальная точка компрометации — компьютер без антивируса, через который злоумышленники получили первоначальный доступ в сеть предприятия. На устройство попал троян Trojan.Updatar.1, его запустил пользователь при открытии вложения в письме. На момент заражения эта модификация уже около недели находилась в вирусных базах Dr.Web. Подчеркнем еще раз ключевой момент инцидента: заражение началось на корпоративном компьютере без антивируса. Комментарии излишни.
2. Через час троян загрузил дополнительные компоненты — Trojan.Updatar.2 и Trojan.Updatar.3, которые продолжили атаку.
3. 14 мая злоумышленники использовали один из модулей для создания задачи службы BITS, через которую был загружен файл shell.exe. Он содержал шеллкод для установки бэкдора Meterpreter. Затем был установлен компонент FileManager.exe для удаленного управления файлами и выгрузки данных.
4. Для получения учетных данных пользователя Windows использовалась утилита Tool.HandleKatz. Классическая ситуация: при отсутствии антивируса защищать память процесса LSASS некому, поэтому пароли извлекаются стандартными инструментами (HandleKatz). Такие случаи в нашей практике встречаются с разочаровывающей регулярностью.
5. Атакующие установили RDP Wrapper, чтобы упростить доступ к системе через удаленный рабочий стол, а также инструменты туннелирования Chisel и FRP.
6. Компрометация второго компьютера началась 14 мая. Злоумышленники использовали учетные данные с первого устройства, и удаленно выполняли команды в сети предприятия.
7. 23 мая — попытка установить Trojan.Updatar.1 на второй компьютер, однако антивирус Dr.Web на нем заблокировал запуск. Но 29 мая атакующие снова получили доступ к системе и вручную установили другое вредоносное ПО. 3 июня через службу BITS был загружен бэкдор Meterpreter.
8. Третья система была скомпрометирована через учетные данные RDP. Начиная с 23 июня, злоумышленники подключались через удаленный рабочий стол и пытались закрепиться в системе с помощью инструментов из набора Metasploit. Была попытка выполнить вредоносный PowerShell-скрипт, однако, антивирус Dr.Web обнаружил и заблокировал его как DPC:BAT.Starter.613.

Итоги расследования

Случай хорошо иллюстрирует, что расследование инцидента — это не поиск одного вредоносного файла, а восстановление полной картины. Важно понять, где первая точка входа, как злоумышленник закрепился в системе, какие инструменты использовал, как перемещался по сети и где именно дыры в защите.

Расследование при помощи Dr.Web FixIt! позволило проанализировать атаку, выявить инструменты и определить слабые места в инфраструктуре. И обратите внимание — задача решена без сложных систем постоянного мониторинга.

Когда инцидент уже произошел и нужно быстро разобраться в причинах без развертывания сложной инфраструктуры мониторинга, подобные инструменты оказываются крайне полезны и практичны.

С помощью Dr.Web FixIt! инцидент полностью расследован, ущерб определен, работа над ошибками сделана — и все это без развертывания систем массового сбора телеметрии и штата аналитиков Security Operations Center (SOC).

Реклама. ООО «ДОКТОР ВЕБ», ИНН: 7714533600, Erid: 2Vfnxw32cu8