Причины:
- Отсутствие своевременных патчей / устаревшая версия ПО.
- Некорректная конфигурация (избыточные права, открытые порты).
- Недостаточная изоляция приложения (запуск от имени администратора/системы).
- Отсутствие EDR/AV, мониторинга аномалий.
Решение:
1. Изоляция затронутого узла — отключить сеть (физически или через `ifconfig eth0 down` / `netsh interface set interface name="Ethernet" admin=disable` на Windows). Не выключать — сохранить состояние для форензики.
2. Сбор артефактов (криминалистически чисто):
- Дамп памяти: `sudo dd if=/dev/mem of=/mnt/forensic/mem.dump` (Linux) или `dumpit.exe` (Windows).
- Образ диска: `dcfldd if=/dev/sda of=/mnt/evidence/image.dd hash=sha256` (Linux) или FTK Imager (Windows).
- Логи: `journalctl -u ` (systemd), Event Log (PowerShell: `Get-WinEvent -LogName | Export-Csv logs.csv`).
- Сетевые соединения: `netstat -anob` (Windows) / `ss -tupna` (Linux).
3. Анализ причины:
- Проверить версию приложения (` --version`).
- Сверить с CVE-базами (NVD, MITRE).
- Изучить лги процесса: `strace -p ` (Linux) или Process Monitor (Windows).
4. Устранение уязвимости:
- Обновить приложение до актуальной патч-версии.
- Если патча нет — временное отключение функционала (например, блокировка ввода через WAF/IDS).
5. Восстановление:
- Сменить все скомпрометированные учётные данные (пароли, токены).
- Переустановить систему с чистого образа (если подтверждён persistence — rootkit/service).
6. Профилактика:
- Внедрить принцип наименьших привилегий.
- Использовать AppLocker/двоичную верификацию (Windows) или SELinux/AppArmor (Linux).
- Настроить мониторинг вызовов API (Sysmon) и корреляцию (SIEM).
Пример для быстрого сбора логов на Linux:*
bash
sudo journalctl -u vulnerable_app.service --since "1 hour ago" | grep -i "error\|fail\|exploit\|segfault"