Standoff Cyberbones*: симулятор для реальной практики в расследовании кибератак

В современных условиях информационной безопасности (ИБ) одной теории уже недостаточно: киберпреступники стремительно совершенствуют инструменты и методы атак, и специалистам SOC (Security Operations Center) нужно быть готовыми к самым разным сценариям взлома. Онлайн-симулятор Standoff Cyberbones предлагает именно такую практику: оттачивать навыки расследования инцидентов и работы в СЗИ в обстановке, максимально приближённой к реальным кибербитвам. Ниже — подробный обзор возможностей инструмента, а также указания на расположение иллюстративных материалов, чтобы вы могли лучше представить себе интерфейс и механику работы с ним.

Введение в Standoff Cyberbones

Standoff Cyberbones* — это онлайн-симулятор, который помогает специалистам по ИБ практиковаться и нарабатывать опыт расследования инцидентов, используя данные реальных атак. Сценарии строятся на кейсах с кибербитв Standoff, проводимых компанией Positive Technologies. В ходе этих кибербитв «белые хакеры» атакуют инфраструктуры виртуального государства, а после соревнований собираются логи и иные данные от различных средств защиты: MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Sandbox и др.

Рисунок 1 демонстрирует, как выглядит основной интерфейс Standoff Cyberbones.

Принцип «практики на живых примерах» даёт сразу несколько преимуществ:

Специалист видит реальную цепочку действий атакующих и может в деталях проследить весь путь компрометации.
Сценарии симулятора постоянно обновляются благодаря новым данным кибербитв.
Пользователи быстро осваивают практические приёмы, применяемые в реальных SOC при ежедневном мониторинге и расследованиях.

Кому пригодится симулятор

1. Новичкам в кибербезопасности

Интерфейс и задания Standoff Cyberbones подходят для начинающих аналитиков. Задания структурированы так, чтобы можно было по шагам освоить ключевые инструменты расследования: работу с SIEM, анализ сетевого трафика, поиск индикаторов компрометации (IoC) и т.д.

2. Опытным специалистам SOC**

Даже если вы давно разбираетесь в событиях ИБ, симулятор даёт возможность поддерживать «форму» и актуализировать знания. В кибербитвах Standoff применяются свежие схемы атак, а значит, вы сможете изучить и отработать новые техники до того, как столкнётесь с ними на реальной инфраструктуре.

3. Инженерам смежных направлений

Разработчикам, системным администраторам и сетевым инженерам часто не хватает практической экспертизы в ИБ. Standoff Cyberbones позволяет быстро вникнуть в механизм взлома (например, как утечка одного аккаунта даёт хакерам доступ к ключевым системам) и увидеть потенциальные уязвимости в собственных проектах.

Рисунок 2 иллюстрирует экран выбора заданий, где каждый сценарий содержит краткое описание, уровень сложности и ожидаемые навыки, которые проверяются или прокачиваются в ходе решения.

Типы заданий и их структура

Standoff Cyberbones включает два основных формата заданий:

Атомарный инцидент:

Ориентирован на точечные ситуации. Например, нужно выяснить, на каком узле был запущен вредоносный файл или какой пользователь инициировал подозрительный процесс.
Помогает отработать технологические навыки: поиск лога в SIEM, фильтрацию событий, анализ временных интервалов.
Решение подобных задач готовит к оперативной работе: обычно именно с них начинается расследование в реальном SOC.

Критическое событие:

Предполагает более сложный сценарий, когда в инфраструктуре цепочка событий складывается в полноценную атаку.
Необходимо выявить все ключевые шаги: получение начального доступа, повышение привилегий, перемещение по сети и финальную компрометацию нужного узла или данных.
Ключевое умение здесь — собрать картину целиком, распределить события во времени и понять логику злоумышленников.

Пример расследования «атомарного» инцидента

1. Выявление вредоносного файла

Допустим, перед нами задание: «Найти узел, где был обнаружен файл wtf.exe в период с 10:00 22 ноября по 18:00 24 ноября 2022 года». Для этого мы заходим в SIEM и выставляем соответствующие параметры поиска по полю object.name = "wtf.exe" и нужный временной диапазон.

Рисунок 3. Настройка интервала в интерфейсе MaxPatrol SIEM.

Рисунок 4 иллюстрирует результаты поиска, отфильтрованные по имени файла.

Увидев в логах упоминание wtf.exe, определяем соответствующий FQDN (полностью определённое доменное имя) узла (например, comp-0660.city.stf).

Рисунок 5 показывает экран завершения задания после внесения найденного FQDN.

2. Расследование фишинговой атаки

Другой пример: необходимо установить, на каком устройстве пользователь d_jensen запустил вредоносный файл, прикреплённый к письму.

Ищем упоминание аккаунта d_jensen в SIEM (см. Рисунок 6).

Рисунок 6

Фильтруем события по полям subject.account.name, action = "start" и object = "process".
Сужаем до event_src.host (как на Рисунке 7 и Рисунке 8), выясняем конкретный хост.

Рисунок 7. Добавление дополнительных фильтров.

Рисунок 8. Запуск процессов от имени пользователя d_jensen.

Таким образом находим узел, откуда и началась компрометация.

Пример комплексного расследования (критическое событие)

Для более продвинутых задач симулятор предлагает сценарий, где атакующие получают доступ к конфиденциальному документу resfin.docx на узле esoto.uf.city.stf.

1. Анализ запуска файла

Смотрим процесс winword.exe (см. Рисунок 9): выявляем, что документ открылся под администраторской учётной записью r_hewwit_admin, что само по себе выглядит подозрительно.

Рисунок 9. Процесс winword.exe на узле esoto.uf.city.stf

2. RDP-сессия атакующих

Анализ логов в SIEM показывает, что злоумышленники создали RDP-сессию от имени r_hewwit_admin (подтверждение см. на Рисунке 10 и Рисунке 11). В рамках этой сессии и произошло критическое событие — открытие и копирование важного файла.

Рисунок 10. Атакующие создали RDP-сессию

Рисунок 11. Данные RDP-сессии .

3. Дамп LSASS и «rr2.exe»

Следующая цепочка улик указывает на получение дампа LSASS с помощью утилиты rr2.exe.

Рисунок 12 и Рисунок 13 показывают упоминания данного процесса, а Рисунок 14 — команду PowerShell, загружающую rr2.exe с внешнего ресурса.

Рисунок 12. Изучение утилиты rr2.exe.

Рисунок 13. Процесс rr2.exe.

Рисунок 14. Загрузка rr2.exe с помощью команды PowerShell.

Изучив этот момент, видим, что аргументы запуска rr2.exe позволяют киберпреступникам повысить привилегии, а затем украсть данные учётных записей администратора.

4. Расширение атаки и Named Pipe Impersonation

После загрузки chisel.exe (см. Рисунок 15) и проверки цепочки команд (Рисунок 16, Рисунок 17, Рисунок 18) становится ясно, что злоумышленники использовали технику Named Pipe Impersonation. Это даёт им возможность локально повысить привилегии в системе (см. Рисунок 19, Рисунок 20), в итоге они получают доступ к критически важным данным.

Рисунок 15. Информация о создании файла chisel.exe.

Рисунок 16. Цепочка команд злоумышленников.

Рисунок 17. Просмотр файлов.

Рисунок 18. Управление запланированной задачей.

Рисунок 19. Применение техники Named Pipe Impersonation.

Рисунок 20. Применение техники Named Pipe Impersonation в Meterpreter.

5. Первичный вектор — фишинг

Если проследить происхождение файла rr2.exe, то обнаружится, что он был загружен через PowerShell под учётной записью l_mayo (Рисунок 21 и Рисунок 22). Такой пользователь не имел повышенных прав, значит, атака началась ещё раньше.

Рисунок 21. Процесс powershell.exe создал файл rr2.exe.

Рисунок 22. Команда запуска файла rr2.exe.

Дальнейшие логи показывают, что l_mayo попал «под раздачу» при открытии cv_resume_1 (фишингового документа), который инициировал запуск макроса (Рисунок 23).

Рисунок 23. Открытие файла cv_resume_1.

В песочнице видно, что данный файл поступил с адреса rudnic@city.stf (см. Рисунок 24) и является исходным вредоносным объектом (Рисунок 25). Так раскрывается полный «kill chain» атаки.

Рисунок 24. Скомпрометированная учетная запись.

Рисунок 25. Исходный вредоносный файл.

Выгоды от практики в Standoff Cyberbones

Реалистичность Все задания основаны на реальная кейсах с кибербитв Standoff, поэтому пользователи учатся на актуальных примерах.
Широкий охват инструментов В ходе решения задач специалисту нужно переключаться между SIEM, анализом сетевого трафика, логами ОС, sandbox-отчётами и т.д.
Развитие стратегического мышления В критических событиях приходится собирать цепочку из разрозненных улик, искать скрытые взаимосвязи и формировать полный отчёт.
Доступность Онлайн-формат удобен для команд, распределённых по разным городам или работающих в сменном графике.
Разные уровни сложности Есть сценарии как для начинающих аналитиков, так и для экспертов, которым важно регулярно сталкиваться с новыми техниками атак.

Заключение

В эпоху, когда хакеры меняют свои схемы взлома чуть ли не ежедневно, ценность практических тренировок невозможно переоценить. Standoff Cyberbones даёт возможность погрузиться в реальные кибератаки и научиться тому, что случается «в полях», а не только написано в учебниках.

Новички могут освоить базовые инструменты расследования, логику поиска компрометации и ознакомятся с работой SIEM.
Опытные специалисты изучат «песочницу» для отработки новых приёмов.
Бизнес и госструктуры в целом повышают надёжность своей киберзащиты за счёт более быстрого и компетентного реагирования на атаки.

Если говорить о будущем, то популярность подобных симуляторов будет лишь расти. Нередко именно умение разобраться в ряде логов, заметить аномальные цепочки процессов и определить тактики злоумышленников помогает избежать многомиллионных потерь. С Standoff Cyberbones этот путь к совершенствованию навыков становится более прозрачным и увлекательным.

* Киберкости.

**Центра мониторинга и контроля информационной безопасности.