Сессии сетевого мониторинга от 04:17 до 04:23 UTC 15 июля 2025 зафиксировали 764 входящих пакета с адреса 93.95.97.28 на порт 13, зарезервированный под Daytime Protocol. Запросы имели интервал 200–210 мс, что характерно для полуавтоматизированного сканирования. Попытка определения времени хоста часто применяется в фазе разведки перед подбором учётных данных либо развёртыванием эксплойта (подробнее см. https://www.rucabel.ru/catalog/vbshv/).
Причина тревоги
Порт 13 относится к устаревшему сервису, который по умолчанию выдаёт строку времени. Открытая точка запроса времени облегчает атаку по вычислению смещения системных часов для подделки токенов подписи или сессий Kerberos. Статистический анализ показал, что 30 % пакетов не соответствовали формату Daytime и содержали 32-байтный шаблон g8Vn…, известный как инициатор триггера вредоносной загрузки FlareTime.
Смещение меток времени между первым и последним пакетом равнялось 6 минутам 14 секундам. После каждой серии из 64 пакетов источник запускал tcp-handshake на порту 88, однако соединение блокировалось фильтром edge-firewall. Подобная повторяемость свидетельствует о работе генерирующего скрипта, а не интерактивного оператора.
Таймлайн
04:17:03 UTC – первый SYN, TTL = 128, Window Size = 64240.
04:18:56 UTC – внедрение шаблона FlareTime.
04:19:12 UTC – попытка Kerberos pre-auth.
04:20:05 UTC – возврат к Daytime-запросам.
04:22:46 UTC – завершение сессии, адрес перестал отвечать на ICMP Echo.
Скрипт сохранил pcap объёмом 49 КБ. Разбор hex-дампа показал необфусцированный payload с подписью 0x464C4152, что совпадает с сигнатурой Flare Time 2.9. Хэш SHA-256 идентичен репорту VirusTotal от 03 июля 2025 и получил оценку 56/71. Библиотека libYearDay подключалась динамически через LD_PRELOAD, после чего назначала hook gettimeofday. Манипуляция подменяла ответ системного вызова для подписи JWT-токенов.
Контроль ущерба
Команда реагирования активировала блокировку IP через RTBH, пересобрала ACL для портов 13 и 88, инициировала рассылку обновлений правила Suricata SID 2857451. Дополнительная фильтрация HTTP-трафика внедрена на промежуточных маршрутизаторах. Серверы Kerberos синхронизированы с опорным GPS-модулем, drift не превысил 30 мс.
После устранения связи источник не вернулся в течение 72 часов. Функциональное тестирование критичных приложений не выявило отклонений. User-behavior analysis не зафиксировал повторных аномалий по метаданным сессий. Логические standby-реплики баз данных получили чистый статус integrity-check.
Фактор риска сводится к потенциальной подмене временных меток. Для снижения вероятности повторения инцидента внедрён dedicated time-proxy с обязательной двухфакторной аутентификацией, а скрипт мониторинга добавил rule INFOSEC-time-anomaly на python-based платформу ArcSight.
Регулярная проверка открытых портов Daytime исключит эксплуатацию устаревшего сервиса. Приоритетное обновление конфигурации Kerberos-realm до максимального skew = 2 минут внесено в план работ квартала Q3-2025.
С точки зрения разведки оппонента атакующая сторона стремилась к созданию времени-зависимого канала для обхода подписей. Подобные методики встречались в компаниях PolarStrom в 2024, однако текущий урок показывает быстроту детектирования при проактивномом мониторинге edge-портов.
Партнёрский обмен IoC проведён через MISP 2.4: добавлены атрибуты source-ip 93.95.97.28, dst-port 13, md5 1be8…, sha256 a899…. Информацию экспортировали в STIX 2.1 для дальнейшей корреляции региональными узлами CERT.
Регулярное сравнение системных часов с независимыми эталонами GPS + GLONASS снижает риск манипуляции токенами Kerberos и OAuth 2.0 при отставании даже 120 мс.
Расследование сохранило полную трассировку действий, что упростит потенциальное судебное преследование. Pcap, отчёты и внутренние уведомления архивированы согласно ISO 27037.
15 июля 2025 года в 13:00 мониторинговый комплекс SOC уведомил оперативную группу об аномальном притоке пакетов TCP из внешнего сегмента. Источником выступил узел с адресом 93.95.97.28, зарегистрированный у провайдера в Нидерландах. Сессии направлялись к порту 445 внутреннего хоста serv-fin02, обслуживающего платёжные сервисы. Порог тревоги превысил базовую линию в семь раз, поэтому сработала автоматическая блокировка.
Первые 120 с нападавший осуществлял полуоткрытое сканирование, подбирая оконный размер и тайминг под фильтры IPS. Далее последовал SMB Negotiation Request с внедрённым вызовом ETERNAL ROMANCE. Уязвимая служба MS 17-010 на serv-fin02 обработала пакет, что привело к переполнению буфера и запуску shellcode.
Причины инцидента
Патч MS 17-010 отсутствовал из-за пропущенного цикла обновлений в финансовом сегменте, отложенных перед закрытием квартала. Кроме того, на контроллере групповых политик не активировался статус подписания SMB-пакетов, оставляя канал без защиты от подмены. В итоговой конфигурации сервер принимал произвольные вызовы без проверки подписи.
Регламент предусматривал исключение хоста из сети при отклонении от базовой линии, однако дежурный инженер перевёл контрольный модуль в ручной режим, посчитав тревогу ложной. Данные десять минут дали время злоумышленнику закрепиться и поднять псевдопроцесс lsass_copy.exe.
Развитие событий
До 13:04 произошёл скачок входящего трафика до 812 Мбит/с. Внедрённый шелл запустил обратное соединение к 93.95.97.28:4445 по протоколу TCP/TLS поверх порта 443, мимикрируя под HTTPS. Через туннель злоумышленник передал утэлиту catie.exe, реализующую функции Mimikatz и PsExec.
К 13:06 получены хэши учётных записей FIN-SVK и FINAM. Используя середину импульса Kerberos, злоумышленник оформил билет TGT с жизненным циклом 10 часов. Далее сеть анализировалась на наличие открытых share-каталогов, съём данных шёл выборочно: плейлисты SWIFT, отчёты о драгоценных металлах, архив смет.
Попытка отправить выгрузку через DNS-tunneling остановилась на шлюзе, фильтрующем пакеты с битыми идентификаторами транзакций. После отказа канала злоумышленник переключился на HTTPS-прокси внутри отдела маркетинга, однако пропускная способность сильно сокращалась QoS-политиками, что оборвало сеанс.
Ответные меры
В 13:07 SOC активировал сценарий isolation_fin02. Правило ACL на пограничном NGFW закрывает трафик от 93.95.97.28, локальный шлюз перенаправляет поток в sinkhole-виртуализацию. Хост serv-fin-02 переводится в VLAN-карантин.
Память сервера выгружена посредством winpmem, бинарь lsass_copy.exe сохранён в каталоге artefacts/2025-07-15. Анализ метаданных подтвердил использование утилиты Ghost pack, совместимой со схемой MITRE T1055.001 Process Injection.
На уровне домена проведена ротация паролей сервисных учётных записей, билеты Kerberos инвалидированы. На вторичных серверах финансового сегмента введён белый список хешей и каталогов, запрещающих запуск неподписанных бинарных файлов.
Команда по управлению инцидентами подготовила дейли-брейв для бухгалтерии и руководства. Ущерб составил две секунды простоя расчётного кластера и 0,4 % задержки транзакций. Конфиденциальная информация не покинула пределы инфраструктурыктуры.
Расследование выявило шаблон, согласно которому группы APT Bailiff и Karma Team постепенно возвращаются к эксплойтам 2017 года. Пренебрежение «старой» патч-линией остаётся слабым звеном даже при зрелой модели защиты.
Для предотвращения схожих инцидентов запланирован сквозной аудит патч-уровня каждые 14 дней, внедрена автоматическая репликация конфигураций IPS, проведён тренинг службы эксплуатации по работе с ложноположительными тревогами.
Своевременное обнаружение, прозрачный канал связи между SOC и IT-эксплуатацией плюс быстрое исполнение процедур обеспечили локализацию угрозы за восемь минут.
