Abstract: The article investigates the challenges of detecting zero-day attacks in corporate networks. The inefficiency of traditional signature analysis during the early stages of targeted cyberattacks is substantiated. As a solution, transitioning to the "Assume Breach" paradigm and implementing proactive Threat Hunting are proposed. The primary focus is placed on behavioral analysis and anomaly detection during the post-exploitation phase. Hidden attack vectors are investigated, including the use of legitimate binaries (LOLBins) and memory injections. The methodological framework relies on a hypothesis-driven approach utilizing the TaHiTI and PEAK frameworks. In the practical section, the hunting process is meticulously modeled within a Windows Server and Active Directory infrastructure. The integration of Sysmon telemetry with the ELK analytical stack is demonstrated. Specific KQL queries are developed to capture lsass.exe memory dumping and remote thread creation. It is proven that the proposed approach radically reduces the attacker's dwell time and minimizes potential damage.
Keywords: cybersecurity, zero-day attacks, proactive threat hunting, behavioral analysis, compromise artifacts, LOLBins, Sysmon, ELK stack.
Современный ландшафт кибернетических угроз характеризуется беспрецедентным ростом технологической сложности и скрытности целевых атак. Вектор применения эксплойтов нулевого дня (Zero-Day) перестал быть прерогативой исключительно правительственных хакерских группировок (Advanced Persistent Threats, APT) и активно адаптируется высококвалифицированными финансово мотивированными преступными синдикатами, в том числе операторами программ-вымогателей (Ransomware-as-a-Service). Анализ глобальных инцидентов информационной безопасности показывает, что количество выявленных уязвимостей нулевого дня, активно эксплуатируемых в корпоративной среде(in-the-wild), сохраняется на критически высоком уровне. При этом фокус атакующих стремительно смещается от пользовательских клиентских приложений в сторону корпоративных пограничных устройств, систем управления ИТ-инфраструктурой и корпоративного программного обеспечения [1].
Классическая архитектура защиты периметра, опирающаяся на реактивные средства безопасности, такие как системы предотвращения вторжений (IPS), антивирусное программное обеспечение следующего поколения (NGAV) и сигнатурные модули EDR, демонстрирует существенные ограничения при столкновении с ранее неизвестными уязвимостями. Сигнатурный анализ, являющийся ядром большинства традиционных систем обнаружения, технологически требует наличия предварительно известного паттерна: криптографического хеша файла, специфической последовательности байтов в сетевом пакете или скомпрометированного домена управления (C2). При атаке нулевого дня такой индикатор компрометации (Indicator of Compromise, IoC) отсутствует априори . Это позволяет злоумышленнику беспрепятственно преодолеть первый эшелон обороны, не генерируя предупреждений в системах мониторинга.
В результате успешного первоначального проникновения время скрытого присутствия атакующего в скомпрометированной сети (Dwell Time) может составлять недели, а в случае сложных APT-атак — месяцы. В течение этого периода злоумышленники осуществляют внутреннюю разведку сети, горизонтальное продвижение (Lateral Movement), повышение привилегий и эксфильтрацию конфиденциальных данных. В условиях, когда предотвратить первичный вектор атаки технологически невозможно из-за неизвестности уязвимости, критическое значение приобретает способность Центра мониторинга информационной безопасности (Security Operations Center, SOC) выявлять присутствие нарушителя на ранних стадиях пост-эксплуатации. Данную стратегическую задачу призвана решать методология проактивного поиска угроз — Threat Hunting (TH) [3].
Проактивный поиск угроз представляет собой итеративный, интеллектуальный и глубоко аналитический процесс выявления скрытой активности внутри ИТ-инфраструктуры, которая успешно обошла существующие автоматизированные средства контроля. Фундаментальным принципом этой дисциплины выступает парадигма «допущения компрометации» (Assume Breach). Данный подход постулирует, что инфраструктура уже может быть скомпрометирована, а задача аналитика заключается не в ожидании срабатывания системы оповещения, а в целенаправленном поиске следов злоумышленника.
Процесс поиска угроз неразрывно связан с трансформацией роли аналитика SOC. Современные центры мониторинга сталкиваются с серьезными внутренними вызовами, требующими методологического пересмотра. В частности, феномен «усталости от оповещений» (Alert Fatigue), вызванный колоссальным объемом ложноположительных срабатываний (False Positives), снижает бдительность специалистов и ведет к профессиональному выгоранию. Изолированность данных (Silos), когда SIEM, антивирус и межсетевой экран не интегрированы должным образом, вынуждает аналитика тратить критически важное время на ручное сопоставление событий.
Для нивелирования этих слабых сторон методология Threat Hunting интегрируется с передовыми решениями класса SOAR (Security Orchestration, Automation, and Response) и технологиями машинного обучения (ML) [1]. Использование алгоритмов поведенческого анализа пользователей и сущностей (UEBA) позволяет отфильтровать легитимный «шум» и предоставить аналитику контекстуализированные данные для проверки гипотез, повышая точность выявления ранее неизвестных угроз и аномалий, характерных для атак нулевого дня.
Эффективный Threat Hunting исключает хаотичный перебор журналов событий. Процесс строго структурирован и базируется на проверке предварительно сформулированных гипотез. Данный подход формализован в таких академических и индустриальных фреймворках, как PEAK (Prepare, Execute, Act with Knowledge) и TaHiTI (Targeted Hunting integrating Threat Intelligence) [4; 5]. Фреймворк PEAK, например, выделяет три типа хантинга: основанный на гипотезах (Hypothesis-Driven), основанный на анализе базовых линий поведения (Baseline/EDA) и хантинг с использованием машинного обучения (Model-Assisted).
Гипотеза для поиска угроз формулируется путем синтеза данных киберразведки (Cyber Threat Intelligence), понимания архитектуры собственной корпоративной сети и детализации тактик, техник и процедур (TTPs) в соответствии с матрицей MITRE ATT&CK. В контексте атак нулевого дня гипотеза опирается на аксиому: независимо от технической реализации нулевого эксплойта, для достижения конечных целей атакующий неизбежно будет применять известные техники пост-эксплуатации, оставляя поведенческие артефакты .
Одной из главных проблем при обнаружении пост-эксплуатации является массовое применение злоумышленниками тактики Living off the Land (LotL). Данная концепция предполагает использование легитимных, встроенных в операционную систему утилит и бинарных файлов (Living off the Land Binaries, LOLBins) для обхода систем защиты и выполнения вредоносных действий . Классическими примерами LOLBins в среде Windows являются интерпретатор powershell.exe, утилита инструментария управления wmic.exe, средство работы с сертификатами certutil.exe и исполняемый файл rundll32.exe.
Поскольку данные компоненты имеют валидные цифровые подписи (например, от Microsoft) и повседневно используются легитимными администраторами для обслуживания инфраструктуры, традиционные антивирусные агенты редко блокируют их работу во избежание сбоев в бизнес-процессах. Атака нулевого дня, бесшовно перетекающая в фазу использования LOLBins (например, загрузка полезной нагрузки через certutil.exe -urlcache -split -f), становится невидимой для реактивных средств защиты.
Именно поэтому Threat Hunting фокусируется на глубоком поведенческом анализе. Перед аналитиком стоит задача не категоризации файла как вредоносного, а оценки аномальности контекста его вызова. В Таблице 1 приведена матрица, демонстрирующая трансформацию тактик атакующего в проверяемые гипотезы для хантинга.
Таблица 1.
Концептуальная матрица гипотез проактивного поиска угроз
| Тактика (MITRE ATT&CK) | Цель атакующего (Пост-эксплуатаци) | Поведенческий маркер (Аномалия) | Пример проверяемой гипотезы для аналитика SOC |
| Execution (Выполнение) | Бесфайловый (Fileless) запуск полезной нагрузки | Вызов командных интерпретаторов нетипичными родителями | Серверный процесс (например, w3wp.exe) порождает cmd.exe/powershell.exe с Base64-аргументами |
| Persistence (Закрепление) | Сохранение скрытого доступа после перезагрузки узла | Модификация конфигурации служб или реестра нестандартными процессами | Скриптовые движки инициируют создание задач (schtasks.exe) или служб (sc.exe) |
| Credential Access (Сбор учетных данных) | Извлечение хешей паролей и Kerberos-билетов из памяти | Несанкционированное чтение адресного пространства lsass.exe | Нелегитимные процессы запрашивают высокопривилегированный доступ к дескриптору lsass.exe |
| Lateral Movement (Продвижение) | Горизонтальное распространение по корпоративному домену | Аномальные паттерны использования легитимных протоколов (SMB, WMI, RDP) | Массовые запросы wmic.exe или RDP между рабочими станциями, минуя серверный сегмент |
Как видно из Таблицы 1, каждая гипотеза строится вокруг поведенческого отклонения (аномалии), которое невозможно скрыть без нарушения функциональности самого эксплойта или вредоносного фреймворка. Сбор и анализ доказательной базы для этих гипотез требует применения специализированного инструментария.
Для демонстрации прикладного применения методологии Threat Hunting рассмотрим сценарий выявления артефактов пост-эксплуатации после гипотетического успешного компрометации периметра через уязвимость нулевого дня. Моделирование проводится в стандартной корпоративной инфраструктуре на базе серверных операционных систем Windows Server под управлением службы каталогов Active Directory (AD).
Журналы безопасности ОС Windows Security Event Logs (даже при включенном аудите создания процессов с Event ID 4688) часто не обеспечивают достаточного уровня детализации для выявления инъекций кода в оперативную память или детального аудита сетевой активности конкретных процессов. Для восполнения этого слепого пятна в архитектуре SOC используется компонент Microsoft Sysmon (System Monitor). Sysmon устанавливается как фоновый системный сервис и драйвер режима ядра, позволяя фиксировать расширенные атрибуты событий: криптографические хеши исполняемых файлов, полную командную строку, сетевые подключения и факты манипуляций с памятью других процессов.
Сбор, парсинг и агрегация телеметрии Sysmon со всех узлов домена осуществляется с помощью аналитического стека ELK (Elasticsearch, Logstash, Kibana). В качестве легковесного агента доставки логов применяется Winlogbeat. В среде Kibana аналитики используют язык запросов KQL (Kusto Query Language или Kibana Query Language, в зависимости от применяемого аналитического движка SIEM) для фильтрации гигантских массивов данных и проверки выдвинутых гипотез [3].
Основополагающие идентификаторы событий Sysmon, используемые для выявления пост-эксплуатационной активности, систематизированы в Таблице 2.
Таблица 2.
Критичные события Sysmon для выявления пост-эксплуатации
| ID события Sysmon | Название события (Категория) | Практическая ценность для проактивного поиска угроз |
| 1 | Process Creation (Создание процесса) | Фиксация полной командной строки, включая обфусцированные параметры. Анализ иерархии процессов для выявления нелегитимного использования LOLBins. |
| 3 | Network Connection (Сетевое подключение) | Связывание сетевой активности с конкретными бинарными файлами. Обнаружение C2-коммуникаций (Beaconing) и горизонтального продвижения внутри AD. |
| 8 | CreateRemoteThread (Создание удаленного потока) | Главный индикатор техники инъекции кода (Process Injection / Process Hollowing). Фиксирует внедрение вредоносного потока в легитимный процесс. |
| 10 | ProcessAccess (Доступ к процессу) | Журналирование попыток одного процесса открыть дескриптор другого. Критически важно для выявления кражи учетных данных (дамп памяти). |
| 11 | FileCreate (Создание файла) | Обнаружение создания исполняемых файлов в системных директориях, временных папках или создания дампов памяти на жестком диске. |
| 22 | DNS Query (DNS-запрос) | Мониторинг запросов к доменным именам на уровне процессов. Позволяет выявлять алгоритмы генерации доменов (DGA) и эксфильтрацию данных. |
Сценарий 1: Выявление дампа учетных данных (LSASS Abuse)
Одной из первоочередных целей злоумышленника в среде Active Directory является кража учетных данных операционной системы. Извлечение NTLM-хешей или билетов Kerberos из памяти процесса подсистемы локальной безопасности (LSASS) позволяет осуществить продвижение с использованием техник Pass-the-Hash или Overpass-the-Hash.
После первоначального проникновения через 0-day эксплойт злоумышленник может использовать для создания дампа памяти LSASS модифицированные версии утилиты Mimikatz, инструмент Procdump или злоупотребить встроенной библиотекой comsvcs.dll (LOLBin) . В любом из этих случаев вредоносный процесс обязан открыть дескриптор (handle) процесса lsass.exe с высокими привилегиями, что зафиксирует Sysmon как событие с ID 10 (ProcessAccess).
Аналитик SOC формулирует гипотезу и формирует KQL-запрос для выявления аномальных запросов доступа (например, с масками прав 0x1010, 0x1410 или 0x1fffff — PROCESS_ALL_ACCESS). Пример аналитического запроса представлен ниже:
SysmonEvents
| where EventID == 10
| where TargetImage endswith «\lsass.exe»
| where GrantedAccess in («0x1010», «0x1410», «0x1fffff», «0x143a», «0x0040»)
| where SourceImage!endswith «\csrss.exe»
and SourceImage!endswith «\svchost.exe»
and SourceImage!endswith «\MsMpEng.exe»
| project Timestamp, ComputerName, SourceImage, SourceProcessId, TargetImage, GrantedAccess, CallTrace
| sort by Timestamp desc
Данный фильтр исключает легитимный системный «шум» (обращения от антивируса Защитника Windows MsMpEng.exe или подсистемы клиент-сервер csrss.exe). Оставшиеся события представляют собой аномалии. Изучение поля CallTrace позволит аналитику выявить использование специфических API-вызовов (например, из библиотек dbgcore.dll или dbghelp.dll), характерных для создания минидампов памяти.
Сценарий 2: Выявление инъекции кода (Process Injection)
Второй распространенный паттерн атак нулевого дня — маскировка вредоносного кода внутри адресного пространства доверенных приложений (техники Process Hollowing или DLL Injection). Если 0-day эксплойт используется для доставки бесфайлового бекдора, злоумышленник попытается скрыть его выполнение, внедрив в процессы explorer.exe или svchost.exe.
Надежным методом выявления данной активности является аудит создания удаленных потоков (Sysmon Event ID 8). Соответствующий запрос для ELK может выглядеть следующим образом:
SysmonEvents
| where EventID == 8
| where TargetImage in~ («*\explorer.exe», «*\svchost.exe», «*\winlogon.exe», «*\notepad.exe»)
| where SourceImage!in~ («*\csrss.exe», «*\lsass.exe», «*\services.exe», «*\provtool.exe»)
| project Timestamp, ComputerName, SourceImage, TargetImage, StartFunction, StartAddress
Этот фильтр высвечивает события, когда несистемный (потенциально вредоносный) процесс пытается запустить поток выполнения в памяти критического системного сервиса. Фиксация подобного артефакта является стопроцентным индикатором компрометации (IoC), свидетельствующим о наличии активного злоумышленника в корпоративной сети, что требует немедленного запуска процедуры реагирования на инцидент (Incident Response). В сочетании с анализом использования таких утилит, как ntdsutil.exe (которая часто применяется злоумышленниками для создания резервной копии базы данных Active Directory NTDS.dit), аналитик способен реконструировать всю цепочку действий атакующего.
Эволюция киберугроз и широкая доступность эксплойтов нулевого дня на теневом рынке делают неизбежными ситуации, когда периметральная защита и классический сигнатурный анализ оказываются технологически бессильны на этапе первоначального вектора атаки. В этих реалиях методология проактивного поиска угроз (Threat Hunting) трансформируется из опциональной практики передовых корпораций в критически необходимый и безальтернативный элемент обеспечения устойчивости ИТ-инфраструктуры.
Смещение парадигмы безопасности от поиска статических индикаторов компрометации (хешей, IP-адресов) к глубокому анализу поведенческих паттернов, тактик и процедур злоумышленника (TTPs) позволяет выявлять успешные атаки вне зависимости от новизны примененного эксплойта. Проведенное в статье моделирование доказывает, что агрегация низкоуровневой системной телеметрии с помощью инструментов класса Sysmon и применение структурированных аналитических KQL-запросов в среде ELK делают пост-эксплуатационную активность (использование легитимных LOLBins, дампинг памяти, инъекции кода) прозрачной для аналитиков SOC.
Систематизация процессов Threat Hunting на базе фреймворков PEAK и TaHiTI позволяет радикально сократить время скрытого присутствия атакующего (Dwell Time) в скомпрометированной сети. Своевременная идентификация артефактов на стадиях закрепления (Persistence) и горизонтального продвижения (Lateral Movement) предоставляет службе ИБ временное окно для разрыва цепочки атаки (Cyber Kill Chain) до того момента, как злоумышленник успеет реализовать деструктивные воздействия, тем самым гарантируя минимизацию операционного, финансового и репутационного ущерба для организации.
References
1. Ahmad, R., Alsmadi, I., Alhamdani, W., Tawalbeh, L. (2023). Zero-day attack detection: a systematic literature review. Artificial Intelligence Review, pp. 1-79.2. Charrier, C., Sadowski, J., Lecigne, C., Stolyarov, V. (2025). Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis. Google Threat Intelligence.
3. Dhanushkodi, K., Thejas, S. (2024). AI Enabled Threat Detection: Leveraging Artificial Intelligence for Advanced Security and Cyber Threat Mitigation. IEEE Access, Vol. 12, pp. 1-20.
4. TaHiTI - Targeted Hunting integrating Threat Intelligence. Threat Hunting Methodology whitepaper. (2018). Betaalvereniging Nederland, 24 p.
5. The PEAK Threat Hunting Framework. (2023). Splunk SURGe.
6. Detecting and preventing LSASS credential dumping attacks. (2022). Microsoft Security Blog.