1784195163870.webp


NTA-платформа генерирует алерт средней критичности: рабочая станция из бухгалтерского сегмента отправила 847 DNS-запросов к одному поддомену за 30 минут. EDR молчит - процесс выглядит как легитимный системный сервис, антивирусная база свежая, сигнатур нет. Через четыре часа расследования стало ясно: это DNS-туннель, через который данные уходили наружу уже 11 дней. Без анализа сетевого трафика канал жил бы ещё месяцы - и никто бы не почесался.

Ниже - два разбора расследования сетевых атак с NTA, как они выглядят в реальной работе аналитика: от первого алерта до containment, с командами и detection-правилами.

Бизнес-логика сетевых атак: зачем SOC-аналитику NTA​

Каждая целевая атака проходит через сеть. Initial access, lateral movement, эксфильтрация - всё это генерирует трафик. Атакующий может вычистить логи с хоста, отключить EDR-агент, удалить артефакты с диска. Но сетевой трафик, если он записывается, никуда не денется - это неизменное свидетельство. Подробнее - в нашем руководстве по обнаружение apt атак.

NTA (Network Traffic Analysis) - метод мониторинга и анализа сетевой активности для выявления аномалий, включая обнаружение атак по трафику. По данным CyberDefenders, NTA закрывает конкретные слепые зоны, которые endpoint-решения и SIEM в принципе не видят:

East-west трафик невидим для периметровых СЗИ. IDS/IPS и межсетевые экраны стоят на границе. Когда атакующий уже внутри - lateral movement между хостами через SMB, RDP, WinRM для них просто не существует.

Шифрование создаёт слепые зоны. TLS-трафик скрывает payload от legacy-инструментов. Но метаданные - JA3/JA3S-отпечатки, размеры пакетов, интервалы - остаются доступны для поведенческого анализа. Содержимое не видно, а "конверт" - вполне.

Фрагментированная телеметрия скрывает картину. Отдельный алерт SIEM не покажет, что три разных хоста общались с одним внешним IP в течение 72 часов. NTA-платформа видит это как единый паттерн.

Финансовый контекст: с учётом оборотных штрафов за утечки персональных данных время обнаружения (dwell time) напрямую бьёт по кошельку. По данным Softline, рекорд нахождения атакующих в инфраструктуре без обнаружения, зафиксированный PT Expert Security Center, - более 8 лет. NTA-платформа в связке с SIEM сжимает этот промежуток с месяцев до часов.

Кейс 1 - DNS-туннель как C2-канал: расследование шаг за шагом​

1784195691281.webp

Требования к окружению​

Для воспроизведения аналогичного расследования:
  • NTA-платформа с DNS-аналитикой: Zeek/Corelight, PT NAD, ExtraHop или Stamus Networks - любая с записью DNS-логов
  • Wireshark или tshark версии 4.x для анализа PCAP
  • SIEM с корреляцией DNS-событий (Splunk, Elastic, MaxPatrol SIEM)
  • RAM: от 16 ГБ на аналитической станции при работе с PCAP объёмом до 2 ГБ
  • Доступ к DNS-логам или raw PCAP за минимум 7 дней ретроспективы

Расследование: от алерта до containment​

Шаг 1: Триаж алерта. NTA-платформа зафиксировала аномалию - соотношение входящего и исходящего DNS-трафика для одного хоста резко отклонилось от baseline. В терминологии MITRE D3FEND это D3-PHDURA (Per Host Download-Upload Ratio Analysis). Нормальные DNS-запросы порождают компактные ответы; здесь объём TXT-записей в ответах превышал запросы в 8 раз. Классика обратного канала передачи данных - запрашиваешь мало, получаешь подозрительно много.

Шаг 2: Проверка запросов. Фильтрация DNS-логов по хосту показала запросы вида aGVsbG8gd29ybGQ.data.update-srv[.]xyz - поддомены содержат Base64-кодированные строки. Паттерн DNS-туннелирования, соответствующий технике T1071 (Application Layer Protocol). Для верификации в PCAP:
Bash:
tshark -r capture.pcap -Y "dns.qry.name contains '.data.'" -T fields -e frame.time -e ip.src -e dns.qry.name | head -20
Шаг 3: Оценка масштаба. Ретроспективный анализ DNS-логов за 14 дней показал: первый запрос к подозрительному домену - 11 дней назад. За это время через DNS TXT-записи передано порядка 340 МБ данных. Это несколько сотен документов - через DNS, Карл.

Шаг 4: Корреляция с endpoint. Процесс, генерировавший запросы - легитимный svchost.exe, запущенный с нестандартными параметрами командной строки. EDR не сработал: поведение процесса не нарушало локальные политики. Сетевой уровень дал первый и единственный сигнал.

Шаг 5: Containment. Домен заблокирован на DNS-резолвере, хост изолирован для forensics. Начато расследование с анализом памяти и дискового образа.

Ключевой вывод: NTA обнаружила C2-канал, работавший 11 дней. EDR и антивирус не зафиксировали ничего. Без записи DNS-трафика канал оставался бы активным неопределённо долго.

Кейс 2 - lateral movement через SMB: аномалия в east-west трафике​

Второй разбор - другое расследование, другая инфраструктура. NTA-платформа зафиксировала нетипичную SMB-активность: рабочая станция из сегмента разработки начала устанавливать сессии к четырём серверам, с которыми раньше никогда не общалась. Время - 2:40 ночи, суббота. Разработчики в субботу ночью SMB-шары не монтируют (ну, обычно).

Платформа применила D3-PMAD (Protocol Metadata Anomaly Detection) - анализ метаданных протоколов на предмет отклонений от baseline. Нормальный профиль этого хоста: 2-3 SMB-подключения к файловому серверу в рабочие часы. Четыре новых назначения ночью в выходной - явная аномалия.

Трафик показал интересную картину: SMB-сессии содержали обращения к C$ share с попытками доступа к системным файлам (SAM, SYSTEM) - вероятно, через remote registry или Volume Shadow Copy, что характерно для impacket secretsdump в режиме RemoteOperations. Паузы между сессиями ровно по 90 секунд - sleep-интервал автоматизированного инструмента (живой человек так ровно не работает). Аутентификация через NTLM вместо Kerberos - при обращении по IP-адресу это штатный fallback Windows, но характерно для инструментов lateral movement (impacket, CrackMapExec), которые работают напрямую с IP.

Таймлайн: сетевые артефакты плюс события SIEM​

Сопоставление алерта NTA с событиями SIEM дало полную цепочку атаки:
  1. 23:10 - VPN-аутентификация скомпрометированной учётной записи (событие VPN-шлюза)
  2. 23:15 - RDP-вход на рабочую станцию разработчика (Event ID 4624 на контроллере домена)
  3. 02:40 - начало SMB-перебора по серверному сегменту (алерт NTA)
  4. 02:55 - попытка создания сервиса через sc.exe на одном из серверов (Event ID 7045 в SIEM)
  5. 03:10 - NTA фиксирует HTTPS-сессию к внешнему IP с нестандартным JA3-отпечатком - потенциальный C2
Без NTA шаги 3 и 5 остались бы невидимыми: SMB-трафик между внутренними хостами не логируется стандартной конфигурацией Windows, а HTTPS-сессия к внешнему IP формально не нарушает политики файрвола.

От компрометации VPN-учётки до lateral movement - менее четырёх часов. Без анализа сетевого трафика первый алерт возник бы только на шаге 4, когда атакующий уже добрался до серверного сегмента. Разница между "заблокировали на подступах" и "расследуем полный breach".

И вот что здесь показательно: скомпрометированный хост - легитимная рабочая станция с актуальным EDR-агентом. Атакующий не обходил endpoint-защиту - он использовал штатные учётные данные через штатный VPN. NTA увидела аномалию именно потому, что поведенческий профиль хоста резко изменился.

Архитектура NTA для расследований: что собирать и где хранить​

1784195821434.webp

Flow Data vs Packet Data

Зрелые инсталляции NTA, по данным CyberDefenders, используют комбинацию двух типов данных. Выбор определяется задачей и бюджетом:

КритерийFlow Data (NetFlow/IPFIX)Packet Data (PCAP)
Объём хранения~1% от сырого трафикаПолная копия, терабайты/день
Глубина анализаМетаданные: кто, куда, порт, объёмПолный payload, реконструкция файлов
Forensic-ценностьОграниченная (нет содержимого)Полная (воспроизведение сессий)
РетроспективаМесяцы (компактный формат)Дни-недели (зависит от storage)
Нагрузка на инфраструктуруМинимальнаяЗначительная
Когда использоватьBaseline всей сети, аномалии объёмовКритичные сегменты: DC, DMZ, серверная
Когда НЕ использоватьНужен payload или реконструкция файловStorage ограничен, канал >10 Гбит/с без агрегации

На практике: flow data - на всех коммутаторах distribution и core. Packet capture - через SPAN/TAP у контроллеров домена, серверов с критичными данными и на выходе из DMZ. Это соответствует NIST CSF DE.AE-01: формирование baseline сетевых операций и ожидаемых потоков данных.

Ориентир по ресурсам: при средней нагрузке 340 Мбит/с (показатель из реального проекта внедрения NTA на промышленном предприятии, описанного интегратором isibi.ru) PCAP-запись на 5 дней потребует ~18 ТБ дискового пространства. Flow-данные за тот же период - около 200 ГБ. Для индексированного трафика на 7 дней закладывайте ещё 5-8 ТБ сверху. Да, хранение - это больно, но без него расследовать нечего.

Detection-чеклист: Sigma-правила и правила корреляции для SOC​

Чеклист привязан к сценариям из кейсов выше. Sigma-правила ссылаются на публичный репозиторий SigmaHQ, маппинг - на T1071 (Application Layer Protocol, Command and Control).

DNS-туннелирование и C2:
  1. Подозрительные Base64-строки в DNS-запросах - Sigma-правило net_dns_susp_b64_queries.yml. Детектирует DNS-запросы с Base64-паттернами в поддоменах
  2. Cloudflared-туннели - Sigma-правило dns_query_win_cloudflared_communication.yml. Выявляет DNS-запросы, характерные для Cloudflare Tunnel, который атакующие используют для обхода периметра
  3. finger.exe как сетевой канал - Sigma-правила net_connection_win_finger.yml и dns_query_win_finger.yml. Утилита finger.exe эксплуатируется для загрузки payload (T1105 - Ingress Tool Transfer, согласно LOLBAS)
  4. Аномальный объём DNS TXT-ответов - кастомное правило: если для хоста объём TXT-ответов превышает объём запросов более чем в 3 раза за 30-минутное окно - алерт
YAML:
# Концепт Sigma-правила: аномальный DNS upload
title: Suspicious DNS TXT Response Volume
status: experimental
logsource:
  category: dns
detection:
  selection:
    dns.record_type: "TXT"
  condition: selection | count() by src_ip > 100
  timeframe: 30m
level: medium
tags:
  - attack.command_and_control
  - attack.t1071
Lateral movement и эксфильтрация:
  1. Новые SMB-подключения в ночное время - правило корреляции SIEM: source_host NOT IN baseline_smb_peers AND time NOT IN business_hours. Срабатывает при SMB-сессиях к хостам, отсутствующим в историческом профиле, за пределами рабочего времени
  2. Аномальное соотношение upload/download (D3-PHDURA) - если для хоста исходящий трафик превышает входящий более чем в 3 раза за скользящее окно в 1 час - алерт на потенциальную эксфильтрацию
  3. JA3-отпечатки вне корпоративного whitelist - формирование whitelist JA3-хешей для легитимных приложений (Chrome, Edge, корпоративные агенты). HTTPS-трафик с JA3-хешем вне списка - кандидат на проверку
  4. Ретроспективный прогон по новым IOC - при получении свежих индикаторов (IP, домены, JA3-хеши) запуск поиска по сохранённому трафику за максимально доступный период. Именно здесь окупается каждый терабайт хранилища

Ограничения NTA: когда трафик не расскажет всю историю​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Расследование сетевых атак NTA - это работа в связке: NTA показывает "что произошло в сети", SIEM - "что зафиксировали логи", EDR - "что случилось на хосте". Ни один из этих источников в одиночку не даёт полную картину. Но именно NTA чаще всего становится первым сигналом при целевых атаках, потому что сетевой трафик нельзя подчистить задним числом.

За последние пару лет вижу устойчивую закономерность: SOC-команды, которые вложились в NTA и - что критично - настроили baseline под свою инфраструктуру, обнаруживают lateral movement заметно раньше тех, кто полагается только на endpoint-телеметрию. Это не вопрос вендора - Zeek с Corelight, PT NAD, ExtraHop или Stamus Networks решают одну задачу разными способами. Вопрос в том, записываете ли вы трафик вообще. Без записи расследовать нечего: остаётся гадать, что атакующий делал между двумя алертами SIEM.

И вот момент, о котором редко говорят вслух: многие инсталляции NTA работают вхолостую. Платформа развёрнута, трафик пишется, но аналитики не описали нормальное поведение сети. Результат - либо шквал ложных алертов (и NTA тихо отключают из рабочего процесса), либо пороги настроены так мягко, что реальная атака проходит мимо. Формирование baseline - одна-две недели ручной работы, и эта работа определяет, станет ли NTA инструментом расследования инцидентов или дорогим украшением серверной. Если Sigma-правила для сетевого детекта в вашем SOC ещё не адаптированы под конкретный стек - на codeby.net есть тред по настройке NTA-detection pipeline с примерами маппинга правил на T1071 под Splunk и Elastic.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab