| Инфраструктура |
Арендуем VPS: один под C2, другие — прокси‑редиректоры |
Скрыть реальный C2 и быстро свернуть ноды |
Новый DOM‑A/AAAA в DNS, нетипичный исходящий веб‑трафик |
Terraform (VPC, SG), Ansible (roles: c2_install, nginx_redirector), Cloud‑init (hardening), WireGuard для операторского VPN |
| Сборка пейлоада |
Запаковываем в документ/ярлык, шифруем, меняем подпись |
Пройти AV/EDR и получить Beacon |
Песочница EDR ловит Base64/Gzip‑блок в макросе |
Donut v3 (AES shellcode), Nimcrypt/RustyLoader (direct syscalls), ArtifactKit (Cobalt), MSI/ISO + LNK билд скрипты |
| Первый доступ |
Письмо‑фишинг или RCE на периметре; жертва запускает файл |
Начальная точка входа |
Новые Outbound‑соединения к прокси, EDR алёрт на неизвестный процесс |
Gophish (кампания), Evilginx2 (MFA bypass), Impacket psexec/smbexec для RCE, PhantomJS для скринов письма |
| Закрепление |
Добавляем автозапуск, «тихий» DNS‑Beacon |
Сохранить доступ |
Scheduled Task 106, DNS TXT запросы в никуда |
schtasks /create, reg add Run, Cobalt Beacon DNS, Sliver mTLS + WireGuard long‑haul |
| Повышение прав |
LPE или токен‑захват → локальный админ |
Чтение памяти / установка сервисов |
4672 (Privileged logon), запуск драйвера |
PrintSpoofer, JuicyPotatoNG, UACME m19, Mimikatz token::elevate, Seatbelt (priv check) |
| Латеральное движение |
SMB/WinRM/WMI/RDP к другим узлам |
Найти AD DC / критичные сервера |
Логины адм. с рабочей станции; Kerberos TGS‑пакеты |
CrackMapExec (smb winrm), SharpHound (BloodHound), WMImplant, Chisel (port‑forward) |
| Сбор учёток |
Kerberoasting, AS‑REP Roast, LSASS‑dump |
Пароли для дальнейших шагов |
4769 RC4‑спайк, ProcDump 4688 |
Rubeus (kerberoast, asreproast), Impacket GetUserSPNs/GetNPUsers, ProcDump + Mimikatz sekurlsa |
| Домен |
DCSync → хэш KRBTGT, Golden Ticket |
Полный контроль AD |
4662 / 4673 DRSUAPI; Kerberos билет 10 лет |
Mimikatz lsadump::dcsync, Rubeus golden, Impacket ticketer |
| Целевые действия |
Экфиль, саботаж, демонстрация ущерба |
Выполнить задачу сценария |
Большой HTTPS/Rclone трафик, остановка backup‑сервисов |
Rclone (TLS, S3), AzureCopy, DCShadow (GPO drop AV), PowerShell Invoke‑Ransom (симуляция) |
| Удаление следов |
Чистим логи, удаляем бэкдоры |
Затруднить форензику |
wevtutil cl, пустые журналы |
wevtutil cl system/security, Clear‑Logs.ps1, sdelete -z, Cobalt Beacon sleep 24h |
| Отчёт |
Таймлайн, MTTD/MTTR, рекомендации |
Показать дыры и время реакции |
SOC получает PDF / презентацию |
Dradis/Serpico (репортинг), MITRE ATT&CK Navigator, Sigma ссылками на детект‑правила |