18.06.2025 14:54
Andrey_Biryukov 0 770 Источник

Профессию аналитика SOC наряду с профессией пентестера, пожалуй, можно назвать наиболее интересной в области информационной безопасности. Возможность постоянно практиковаться в поисках злоумышленников позволяет быть в тренде новейших угроз ИБ.

Центр управления безопасностью (Security Operations Center, SOC) является ядром системы кибербезопасности в организации, на него возложена ответственность за защиту от несанкционированных действий в цифровом пространстве. SOC специализируется на таких видах деятельности, как мониторинг, обнаружение, анализ, реагирование и восстановление.

Аналитик SOC является по сути мозгом Security Operations Center. В его основные обязанности входит мониторинг оповещений о нарушениях безопасности. На практике этот специалист в реальном времени получает уведомления о различных инцидентах, выявленных системами мониторинга ИБ, такими как SIEM, EDR, SOAR и других.

На основании получаемых уведомлений об инцидентах, аналитик должен реагировать на них. То есть проводить расследование инцидентов безопасности и принятие мер по их локализации, минимизации ущерба и устранению. Эти действия могут включать в себя изоляцию зараженных систем, анализ вредоносного ПО и координацию действий с другими командами для эффективного реагирования.

Помимо реагирования на уже обнаруженные инциденты, в обязанности аналитика SOC входит также проактивный поиск потенциальных угроз, которые не были обнаружены автоматическими инструментами, путем анализа трендов в сети и необычной активности.

Еще одна важная задача аналитика SOC которую многие не любят, это отчетность и документирование. В обязанности аналитика входит создание отчетов об инцидентах безопасности, уязвимостях и рисках, а также документирование их результатов для последующего анализа или соблюдения требований.

И наконец, аналитик должен взаимодействовать с другими подразделениями безопасности, такими как Blue Team, для совместного решения проблем, укрепления защиты и внедрения политик безопасности и лучших практик.

Теперь, разобравшись с тем, что делает аналитик SOC рассмотрим несколько сценариев из реальной жизни.

Сценарий 1: старый добрый фишинг

Фишинг остается одной из самых популярных атак у злоумышленников. В этом сценарии пользователю присылают фишинговое письмо, которое содержит вложение в виде ярлыка Windows (.lnk). Классика, которой уже много лет, но пользователи все‑равно на это попадаются.

Это вложение после открытия выполняет серию команд PowerShell приводящих к компрометации целевой системы. Письмо было отправлено сотруднику логистической компании, который и переслал его аналитикам SOC.

Здесь аналитику необходимо проанализировать заголовок самого письма и вложенные в него файлы. В заголовке можно найти адрес отправителя письма. Как правило это адрес бота с которого оно было отправлено. Но письма, отправленные с обычных пользовательских узлов системы антиспама блокируют, так как видят, что IP адрес с которого было отправлено не принадлежит почтовому серверу, а используется для доступа к сети конечных пользователей.

Поэтому здесь все было немного интереснее. В письме использовался сторонний сервис ретрансляции почты (Elastic Email), чтобы казаться легитимным и обходить спам‑фильтры.

Вложенный LNK тоже довольно интересен.

Внутри LNK файла находится вызов интерпретатора powershell с некоторыми параметрами. Фактически, в качестве параметров передается обфусцированный набор команд.

Анализ обфусцированного кода показал, что команды PowerShell обращается к серверу Command‑and‑Control (C2) для загрузки дополнительных вредоносных файлов. Аналитики раскрыли домен C2 и расшифровали полезную нагрузку в кодировке Base64.

Нельзя сказать, что это очень сложный кейс, но на практике аналитикам очень часто приходится сталкиваться с подобными ситуациями. Посмотрим другой вариант вредоносных файлов присылаемых по электронной почте.

Сценарий 2: документ Word с макросом VBA

Во втором сценарии в качестве транспорта также используется электронная почта, но фишинговое письмо содержит документ Word со встроенным макросом VBA. Для того, чтобы обойти антивирус на почтовом сервере здесь использовалась социальная инженерия: в самом письме говорилось, что это информация о премии полагающейся сотруднику, но так как эти сведения конфиденциальны, документ заархивирован с паролем. При этом, пароль от архива также был указан в письме (большинство пользователей это обстоятельство совершенно не смущает). Также, для просмотра документа просят разрешить макросы.

Кстати, в качестве альтернативы последнее время мошенники часто присылают «уникальное предложение по ипотеке».

Пользователь, которому естественно очень интересно узнать про свою «премию» послушно делает все, о чем его попросили и в результате заражает свою систему вредоносом.

При открытии файла макрос вызывает сервер C2 для получения исполняемой полезной нагрузки. Эта полезная нагрузка прописывается в реестр на компьютере жертвы, позволяя получить постоянный контроль над системой.

Изначально данная атака была выявлена сетевыми средствами защиты, когда в трафике были обнаружены попытки соединения с сервером C2.

Для соединения с сервером вредонос использовал алгоритм DGA (Domain Generation Algorithm, DGA). Такие алгоритмы используются вредоносным ПО для создания большого количества псевдослучайных доменных имён, для связи с серверами управления. Злоумышленник заранее регистрирует множество бессмысленных доменных имен, алгоритм генерации имен сохраняется в коде вредоноса и после активации тот начинает обращаться по этим именам, до тех пор пока не получит ответ от DNS сервера.

В поисках вредоноса аналитики исследовали почту пользователя, чей аккаунт был скомпрометирован и нашли письмо с файлом.

Далее, получив образец письма вместе с прикрепленным файлом аналитики использовали различные инструменты для извлечения и анализа артефактов, например песочницу, инструменты реверс‑инжиниринга, и т. д. Их конечной целью было выявление принципов работы вредоноса для того, чтобы затем другие специалисты могли настроить средств защиты на обнаружение данной угрозы.

Сценарий 3: Компрометация с помощью HTA-файла

Третья атака связана с HTA‑файлом (HTML Application), который при открытии получает вредоносную полезную нагрузку из Интернета. Здесь файлы к письмам не прикреплялись, а вместо этого фишинговые письма содержали ссылки на вредоносный сайт, с которого загружался HTA файл.

После загрузки полезная нагрузка выполняет ряд действий, в зависимости от тех прав, которые имеются у запустившего пользователя. В принципе, пейлоад может реализовать даже, компрометацию главного контроллера домена организации.

Здесь аналитики выявили угрозу благодаря правилам корреляции системы SIEM. Когда вредонос проникнув на машину пользователя начал инжектировать свои протоки в чужие процессы, то в SIEM стали создаваться инциденты, о том, что на машине пользователя выявлены подозрительные активности. Например, процесс notepad.exe завел поток cmd.exe и тому подобные странности, что само по себе является подозрительным.

Сценарий 4: Социнженерия

И снова пользователи создают проблемы. На этот раз пользователю тоже пришло письмо, но в нем не было никаких прикрепленных файлов или ссылок. Но это письмо было подделано под ответ от руководителя и в нем требовалось выполнить пересылку определенных файлов, содержащих конфиденциальную информацию на внешний почтовый адрес.

Подозрительная активность была выявлена, когда пользователь попытался обойти систему DLP, использовавшуюся в компании. Попытки отключения агента DLP на хосте зафиксировала система EDR, благодаря которой аналитики узнали о подозрительной активности.

Заключение

Мы рассмотрели несколько сценариев, с которыми приходится сталкиваться аналитикам SOC. Стоит отметить, что здесь приведены не самые сложные, но наиболее часто встречающиеся сценарии атак. Так, большое число вредоносных файлов и ссылок на подозрительные ресурсы приходит по электронной почте. Хотя для атак социальной инженерии последнее время активно используются мессенджеры.

Однако для аналитиков SOC важен не столько канал с помощью которого осуществляется атака, сколько то, как эту атаку можно выявить. В наших кейсах мы выявляли атаки с помощью анализа сетевого трафика, систем EDR и SIEM. Так что, для эффективной работы аналитикам необходимо использовать различные инструменты, позволяющие автоматизировать выявление подозрительных активностей.

Если вы все еще думаете, что безопасность вашего IT‑окружения можно гарантировать только с помощью стандартных настроек и базовых инструментов, то пора изменить подход. Проблемы с мониторингом инцидентов, анализом журналов и правильной настройкой инструментов становятся актуальными, когда на кону стоит защита важнейших данных компании.

Вы готовы двигаться дальше, углубляться в реальную работу SOC и анализировать события на более высоком уровне? Приглашаем на открытые уроки, которые помогут вам прокачать навыки и избежать критичных ошибок в будущем:

Получить практические навыки для эффективного мониторинга и реагирования на киберугрозы можно на новом онлайн‑курсе «Аналитик SOC».

Комментарии (0)