Цифровая криминалистика для выполнения требований ОАЦ: Пошаговое руководство для системного администратора и ИБ-специалиста

Почему форензика критична для соблюдения требований ОАЦ

В современной цифровой среде Беларуси цифровая криминалистика, или форензика, перестала быть узкоспециализированной дисциплиной и превратилась в ключевой навык для каждого системного администратора и специалиста по информационной безопасности. Законодательство, в частности Приказ Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ), требует от организаций не простого реагирования на инциденты, но и проведения их детального расследования, тщательного документирования всех этапов и предоставления исчерпывающих отчетов регулятору, включая Национальный центр обмена трафиком (НЦОТ).

Согласно исследованиям Positive Technologies, во второй половине 2024 и первых трех кварталах 2025 года на долю Беларуси пришлось 9% всех успешных кибератак в СНГ, что ставит страну на второе место в регионе по этому показателю. Тревожным фактом является то, что в 62% случаев эти атаки приводили к утечке конфиденциальной информации. При этом среднее время, затрачиваемое на расследование киберинцидента в рамках учений ОАЦ, составляет 6 часов 45 минут, что акцентирует внимание на необходимости оперативного и методологически верного сбора цифровых доказательств.

Некорректный сбор или анализ "улик" может привести к их безвозвратному уничтожению. Это не только делает невозможным установление причин и вектора атаки, но и создает серьезные препятствия при прохождении аттестации ОАЦ и демонстрации соответствия нормативным требованиям.

Реальные инциденты: Уроки из практики

Анализ реальных кейсов позволяет лучше понять важность своевременной и грамотной реакции на инциденты.

Кейс 1: Ransomware-атака на центр в Бобруйске

В 2024 году хакерской атаке подвергся сервер Центра обеспечения деятельности бюджетных организаций в Бобруйске. Злоумышленники зашифровали критически важную информацию и потребовали выкуп, что привело к параличу работы учреждения. Этот инцидент наглядно продемонстрировал: без заранее разработанного и отлаженного плана реагирования организация теряет драгоценное время, а цена такой ошибки — полная остановка операционной деятельности.

Кейс 2: Petya/NotPetya — глобальный урок

Глобальная эпидемия вируса-шифровальщика Petya (а точнее, его разрушительной модификации NotPetya) в 2017 году стала одним из самых показательных примеров кибератак. Заражение началось через компрометацию популярной украинской бухгалтерской программы M.E.Doc. Используя эксплойт EternalBlue, вирус молниеносно распространялся по локальным сетям и шифровал не отдельные файлы, а главную файловую таблицу диска (MFT), что делало данные невосстановимыми даже после уплаты выкупа. Ключевой урок этой атаки: именно первые минуты после обнаружения инцидента определяют шансы на восстановление и успешное расследование. Те организации, которые смогли оперативно изолировать зараженные системы и сохранить образы их оперативной памяти, получили возможность восстановить полную хронологию атаки.

Кейс 3: Атака на «Гродно Азот»

В апреле 2024 года хакерская группировка «Киберпартизаны» заявила о проведении атаки на одного из крупнейших производителей удобрений в Беларуси — «Гродно Азот». В своих заявлениях они утверждали, что получили доступ к производственным процессам и могли полностью остановить работу завода. Подобные инциденты подчеркивают, что современная информационная безопасность — это не только превентивная защита, но и готовность к молниеносному расследованию для минимизации ущерба и скорейшего восстановления операций.

Первые действия после обнаружения взлома: «Золотой час» форензики

Период времени сразу после обнаружения инцидента безопасности принято называть «золотым часом». Именно в этот промежуток можно собрать наиболее критичную информацию. Любые неверные или поспешные действия могут привести к уничтожению так называемых volatile (летучих) данных, которые существуют только в оперативной памяти и исчезают при первом же выключении или перезагрузке системы.

Порядок сбора данных (от самого летучего к постоянному)

Ключевое правило форензики — соблюдение порядка сбора доказательств в зависимости от их "летучести".

1. Летучие данные (volatile data) — приоритет №1

Эти данные существуют только в оперативной памяти (RAM) и сетевых кэшах. При выключении питания они безвозвратно теряются:

• Содержимое RAM: запущенные процессы, открытые файлы, ключи шифрования и пароли в памяти.
• Активные сетевые соединения: IP-адреса, с которыми общается система, открытые порты.
• Список запущенных процессов с их командными строками и родительскими процессами.
• Системное время и открытые дескрипторы файлов.
• Кэш DNS и таблица маршрутизации.
• Временные файлы и содержимое буфера обмена.

2. Полулетучие данные

Эти данные могут быть изменены или удалены операционной системой в процессе работы или при выключении:

• Состояние системы на момент инцидента.
• Логи, находящиеся в буфере и еще не записанные на диск.
• Временные файлы в системных каталогах (%TEMP%, %TMP%).

3. Постоянные данные (persistent data)

Эти данные хранятся на жестких дисках и не исчезают при выключении питания. Их сбор производится после летучих данных:

• Образы дисков: полные посекторные копии.
• Журналы событий Windows: Security, System, Application, Sysmon и другие.
• Реестр Windows: ключи автозапуска, история выполненных команд, подключенные устройства.
• Файловая система: включая метаданные и удаленные файлы.

Критическая ошибка: не выключайте компьютер штатным способом!

Если скомпрометированная система включена — ни в коем случае не выключайте её стандартным способом через меню "Пуск"! При штатном завершении работы операционная система Windows выполняет множество операций по "очистке":

• Очищает временные файлы и системный кэш.
• Закрывает сетевые соединения, удаляя информацию о них.
• Полностью стирает содержимое оперативной памяти (RAM).
• Может запустить вредоносные скрипты, настроенные на выполнение при завершении работы.

Правильное действие: если необходимо обесточить систему для создания образа диска (после сбора RAM), просто выдерните шнур питания из розетки. Этот метод, известный как "pulling the plug", позволяет сохранить максимум данных для последующего анализа, включая фрагменты памяти в файле подкачки.

Изоляция скомпрометированного узла

Перед началом сбора доказательств необходимо немедленно изолировать зараженную систему, чтобы предотвратить дальнейшее распространение угрозы по сети.

Сетевая изоляция (network containment):

• Физически отключите сетевой кабель. Это самый надежный способ. Не отключайте Wi-Fi программно — это действие может быть перехвачено вредоносным ПО и запустить скрипт по уничтожению улик.
• Если вы используете современные EDR-решения (Endpoint Detection and Response), такие как CrowdStrike или Carbon Black, используйте встроенную функцию сетевой изоляции (network containment).
• Заблокируйте скомпрометированные учетные записи в Active Directory.
• Смените пароли для всех административных учетных записей.

Важно: изоляция не означает выключение. Сначала соберите самые ценные летучие данные из RAM!

Сбор «улик»: Пошаговая инструкция

Шаг 1: Подготовка форензического набора

Заранее подготовьте USB-накопитель ("чистую флешку") с набором портативных инструментов. Рекомендуемый объем — минимум 16 ГБ, чтобы вместить дамп оперативной памяти.

Обязательный набор:

• FTK Imager: для создания образов дисков и оперативной памяти.
• Belkasoft Live RAM Capturer: быстрая и эффективная альтернатива для снятия дампа RAM.
• DumpIt или WinPMEM: дополнительные утилиты для захвата RAM.
• KAPE (Kroll Artifact Parser and Extractor): для молниеносного сбора ключевых артефактов системы.
• Блокнот и ручка для документирования действий.
• Калькулятор хэшей (можно использовать встроенную утилиту certutil в Windows).

Почему инструменты нужно запускать с USB, а не устанавливать на сервер?

• Минимальный «след» в системе: установка любого ПО изменяет диск и реестр, что может повредить улики.
• Работа без изменения исследуемого диска: запуск с внешнего носителя не затрагивает файловую систему.
• Возможность работы даже если система частично повреждена или заблокирована.

Шаг 2: Документирование начального состояния

До начала любых технических действий сфотографируйте:

• Экран компьютера (особенно если на нём есть сообщения об ошибках, окна программ или требования выкупа).
• Физическое состояние системного блока.
• Все подключенные кабели и USB-устройства.
• Индикаторы сетевой активности и работы диска.

Зафиксируйте в блокноте:

• Точную дату и время начала работ.
• ФИО всех присутствующих лиц.
• Состояние системы (включена, выключена, в спящем режиме).
• Сетевые подключения (кабель, Wi-Fi).
• Марку, модель и серийные номера устройств.

Эта документация является основой для "цепочки хранения доказательств" (Chain of Custody) и критически важна для юридической значимости расследования.

Шаг 3: Сбор дампа оперативной памяти

Дамп RAM — это первое и самое важное, что нужно сделать на работающей системе!

Вариант 1: FTK Imager

• Запустите FTK Imager.exe от имени администратора с вашего USB-накопителя.
• Перейдите в меню File → Capture Memory.
• Укажите путь для сохранения дампа (обязательно на ваш внешний USB-диск, а не на диск исследуемой системы!).
• Поставьте галочку "Include pagefile" для захвата файла подкачки (pagefile.sys), где могут храниться ценные фрагменты памяти.
• Нажмите "Capture Memory". Процесс займет 5-15 минут для 16 ГБ RAM.
• По завершении FTK Imager создаст дамп memory.mem и текстовый файл с логом и хэш-суммами.

Вариант 2: Belkasoft Live RAM Capturer

• Запустите RamCapture64.exe (или 32-битную версию).
• Укажите путь сохранения на внешний носитель.
• Нажмите "Capture".

Преимущества Belkasoft:

• Один из самых быстрых инструментов для захвата RAM.
• Оставляет минимальный "след" в памяти системы (около 2 МБ).
• Способен обходить некоторые техники защиты от отладки и дампинга.

Важно: сразу после создания дампа памяти необходимо вычислить его хэш-суммы для подтверждения целостности.

certutil -hashfile E:\dumps\memory.mem SHA256
certutil -hashfile E:\dumps\memory.mem MD5

Запишите полученные хэши в свой блокнот. Они докажут, что файл не был изменен в ходе расследования.

Шаг 4: Сбор информации о системе (пока она включена)

Запустите командную строку (cmd.exe) с правами администратора и выполните следующие команды, перенаправляя их вывод в текстовые файлы на ваш USB-носитель (в примере — диск E:).

rem E: — это ваша USB-флешка

rem Информация о системе
systeminfo > E:\evidence\systeminfo.txt
wmic computersystem get model,manufacturer > E:\evidence\hardware.txt

rem Сетевые подключения (КРИТИЧНО!)
ipconfig /all > E:\evidence\network_config.txt
netstat -anob > E:\evidence\netstat.txt
arp -a > E:\evidence\arp_cache.txt
ipconfig /displaydns > E:\evidence\dns_cache.txt

rem Запущенные процессы
tasklist /v > E:\evidence\processes.txt
wmic process list full > E:\evidence\processes_full.txt

rem Список служб
sc query > E:\evidence\services.txt
wmic service list brief > E:\evidence\services_wmic.txt

rem Автозапуск
wmic startup list full > E:\evidence\startup.txt

rem Открытые файлы
openfiles > E:\evidence\open_files.txt

rem Локальные пользователи и группы
net user > E:\evidence\users.txt
net localgroup administrators > E:\evidence\admins.txt

rem Сессии и подключения
net session > E:\evidence\sessions.txt
qwinsta > E:\evidence\remote_sessions.txt

Шаг 5: Быстрый сбор артефактов с помощью KAPE

KAPE (Kroll Artifact Parser and Extractor) — это мощнейший инструмент, который автоматизирует сбор сотен критически важных артефактов.

Базовое использование (GUI-версия):

• Запустите gkape.exe от имени администратора.
• Убедитесь, что опция "Use Target Options" включена.
• Target source: C:\ (исследуемый диск).
• Target destination: E:\KAPE_Output\ (папка на вашей USB-флешке).
• Выберите необходимые targets (профили сбора артефактов). Для первичного анализа идеально подходит !SANS_Triage. Он включает:
  • EventLogs — все журналы событий Windows.
  • RegistryHives — файлы реестра.
  • WebBrowsers — история и кэш браузеров.
  • FileSystem — метаданные файловой системы (MFT, $LogFile).
  • PowerShellConsole — история команд PowerShell.
• Нажмите кнопку "Execute" в правом нижнем углу.

За 5-15 минут KAPE соберет и упакует в ZIP-архив все ключевые улики, которые необходимы для 90% расследований.

Шаг 6: Сбор журналов событий вручную (если нет KAPE)

Журналы событий Windows — это основной источник информации о том, что происходило в системе.

Критически важные журналы и события:

Копирование логов вручную:

xcopy C:\Windows\System32\winevt\Logs\*.evtx E:\evidence\logs\ /H /I

Важно: если в системе установлен Sysmon, его логи имеют наивысший приоритет. Они содержат детали о процессах, сетевых подключениях и загруженных библиотеках, которые не фиксируются стандартными журналами Windows.

Шаг 7: Создание образа диска (forensic imaging)

После сбора всех летучих данных можно обесточить систему (выдернув шнур питания) и приступить к созданию посекторной копии диска.

Критически важно: для создания юридически значимого образа используйте аппаратный блокиратор записи (write blocker). Это устройство физически не позволяет операционной системе вносить какие-либо изменения на исследуемый диск, гарантируя его неизменность.

Создание образа с помощью FTK Imager:

• Извлеките жесткий диск из исследуемого компьютера.
• Подключите его через write blocker к вашей форензической рабочей станции.
• Запустите FTK Imager.
• Перейдите в меню File → Create Disk Image.
• Выберите тип источника: Physical Drive.
• Выберите нужный диск (тот, что подключен через блокиратор).
• Выберите формат образа: Raw (dd) (универсальный) или E01 (сжатый, с метаданными).
• Укажите информацию о деле (номер, имя эксперта и т.д.).
• Укажите путь сохранения образа (на отдельный внешний диск достаточного объема).
• Обязательно включите опции верификации и расчета хэшей: Verify images after creation и Calculate MD5 и SHA256.

Альтернатива для Linux (dc3dd):

# dc3dd — улучшенная версия dd для криминалистики
dc3dd if=/dev/sda hof=/mnt/evidence/disk.dd hash=sha256 log=/mnt/evidence/acquisition.log

Почему хэши так важны?
Хэш-функция (MD5, SHA256) создает уникальный "цифровой отпечаток" файла. Изменение даже одного бита в образе приведет к совершенно другому хэшу. Это позволяет:

• Доказать, что созданный образ является точной копией оригинала.
• Подтвердить, что данные не изменялись в процессе анализа.
• Обеспечить юридическую значимость цифровых доказательств.

Бесплатные инструменты для анализа

Autopsy: Анализ образов дисков

Autopsy — это популярная open-source платформа для анализа образов дисков и мобильных устройств.

Ключевые возможности:

• Анализ файловых систем (NTFS, FAT, HFS+, Ext4).
• Восстановление удаленных файлов.
• Timeline analysis: построение хронологии всех событий в системе (создание файлов, установка программ, веб-активность).
• Полнотекстовый поиск по ключевым словам.
• Анализ веб-артефактов (история, cookies, кэш).
• Анализ реестра Windows.
• Создание детальных отчетов.

Быстрый старт:

• Установите Autopsy (требуется Java).
• Создайте новое дело (Case → New Case).
• Добавьте источник данных (Add Data Source), выбрав ваш образ диска.
• Настройте модули анализа (Ingest Modules), включив Recent Activity, Keyword Search и File Type Identification.
• Запустите анализ и изучайте результаты в интуитивно понятном интерфейсе.

Volatility Framework: Анализ дампов памяти

Volatility — это стандарт де-факто в области анализа дампов оперативной памяти.

Установка Volatility 3:

# Для Linux/WSL
pip3 install volatility3

# Для Windows (в PowerShell от администратора)
pip install volatility3

Базовые команды для анализа:

# 1. Получение информации о системе из дампа
vol3 -f memory.mem windows.info

# 2. Список процессов на момент снятия дампа
vol3 -f memory.mem windows.pslist

# 3. Дерево процессов (показывает, какой процесс запустил какой)
vol3 -f memory.mem windows.pstree

# 4. Активные сетевые подключения
vol3 -f memory.mem windows.netscan

# 5. Поиск вредоносного кода в памяти (инъекции, скрытые процессы)
vol3 -f memory.mem windows.malfind

# 6. Командные строки, с которыми были запущены процессы
vol3 -f memory.mem windows.cmdline

# 7. Список загруженных DLL для каждого процесса
vol3 -f memory.mem windows.dlllist

# 8. Извлечение исполняемого файла процесса для анализа (например, в VirusTotal)
vol3 -f memory.mem windows.pslist --pid 1234 --dump

# 9. Анализ ключей реестра, загруженных в память (например, автозапуск)
vol3 -f memory.mem windows.registry.printkey --key "Software\Microsoft\Windows\CurrentVersion\Run"

На что обращать внимание при анализе RAM:

• Подозрительные родительские процессы: например, cmd.exe, запущенный от имени WmiPrvSe.exe, может указывать на удаленное выполнение команд через WMI.
• Процессы с необычными именами или путями (например, svchost.exe, запущенный из папки C:\Temp).
• Сетевые подключения к неизвестным или подозрительным IP-адресам.

SIFT Workstation: Комплексная форензическая среда

SIFT (SANS Investigative Forensics Toolkit) — это готовый дистрибутив на базе Ubuntu, содержащий более 125 предустановленных инструментов для цифровой криминалистики, включая Autopsy, Volatility, Wireshark и многие другие. Его можно легко установить в Windows с помощью WSL (Windows Subsystem for Linux).

Документирование: Как создать отчет для ОАЦ и руководства

Правильное документирование — это 50% успеха расследования. Отчет должен быть понятен трем целевым аудиториям: руководству, техническим специалистам (ОАЦ, НЦОТ) и, в крайнем случае, суду.

Структура форензического отчета

• Executive Summary (Резюме для руководства): 1-2 страницы с кратким описанием инцидента, ущерба, первопричины и ключевых рекомендаций.
• Case Information (Информация о деле): Номер дела, дата, ФИО следователя.
• Evidence Submitted (Предоставленные доказательства): Таблица со всеми собранными артефактами, их описанием и хэш-суммами.
• Software Utilized (Использованное ПО): Список всех инструментов с указанием версий.
• Timeline of Events (Хронология событий): Детальная таблица, восстанавливающая последовательность действий злоумышленника.
• Technical Analysis (Технический анализ): Подробное описание каждого этапа атаки: точка входа, закрепление, горизонтальное перемещение, утечка данных.
• Indicators of Compromise (IoC — Индикаторы компрометации): Список IP-адресов, хэшей файлов, доменных имен и ключей реестра для загрузки в SIEM и EDR.
• Chain of Custody (Цепочка хранения доказательств): Документ, фиксирующий передачу доказательств между сотрудниками.
• Conclusions and Recommendations (Выводы и рекомендации): Итоги расследования и конкретные шаги для предотвращения подобных инцидентов.
• Appendix (Приложения): Полные логи, скриншоты и другие вспомогательные материалы.

Документирование для НЦОТ и ОАЦ

При подготовке отчета для регулятора необходимо убедиться, что он содержит все обязательные элементы согласно требованиям Приказа ОАЦ. Ключевым является соблюдение сроков уведомления:

• В течение 3 рабочих дней с момента обнаружения должны быть определены и задокументированы первоочередные меры.
• Если нарушения не могут быть устранены в течение 5 рабочих дней, необходимо письменно проинформировать ОАЦ.

Форензика как стратегическое преимущество

Владение навыками цифровой криминалистики сегодня — это не просто формальное выполнение требований ОАЦ. Это стратегическое преимущество, которое позволяет организации:

• Значительно сократить время простоя (MTTR) с нескольких дней до нескольких часов.
• Минимизировать финансовые и репутационные потери от инцидентов.
• Демонстрировать контроль над ситуацией перед клиентами и партнерами.
• Обеспечить соответствие требованиям регуляторов и избежать штрафов.
• Собрать юридически значимые доказательства для возможного привлечения злоумышленников к ответственности.

В условиях, когда на Беларусь приходится 9% кибератак в СНГ, форензика из "дополнительной опции" превратилась в фундаментальный навык для каждого системного администратора и специалиста по ИБ. Начните готовиться уже сейчас, ведь когда произойдет реальный инцидент, времени на чтение инструкций не будет. Подготовка — это то, что отличает успешное расследование от хаоса.