Incident Response в Linux: пошаговый план расследования

Что такое Incident Response в Linux и чем он отличается от Windows-расследования

Incident Response (IR) в Linux — это систематический процесс обнаружения, анализа, сдерживания и ликвидации последствий кибератаки в Linux-среде. Подход в целом совпадает с общей методологией реагирования на инциденты ИБ, однако специфика Linux накладывает существенные отличия на каждом этапе — от источников артефактов до инструментов их анализа.

В Windows-расследовании аналитик привык к Event Log с чёткими Event ID, Prefetch-файлам, реестру, VSS-снапшотам. Linux живёт по иным правилам. Здесь нет реестра — конфигурации размазаны по сотням текстовых файлов в /etc. Нет Prefetch — зато есть bash_history, которую атакующий первым делом пытается зачистить. Нет централизованного журнала событий — зато есть auditd, journald, syslog и десятки приложений с собственными логами в /var/log. Linux IR — это умение читать систему через призму её же инструментов, понимая, где атакующий мог оставить следы и где мог их скрыть.

Фаза 1. Обнаружение и первичная оценка

Признаки компрометации Linux-системы

Инцидент редко начинается с очевидного. Чаще это слабые сигналы, которые становятся заметны только при целенаправленном анализе. Ключевые индикаторы, требующие немедленного расследования:

• Необычные исходящие соединения: неизвестные IP-адреса, нестандартные порты, соединения в нерабочие часы
• Новые или изменённые пользователи в /etc/passwd и /etc/shadow, неожиданные записи в /etc/sudoers
• Подозрительные процессы: высокое потребление CPU без видимой причины, процессы с именами-мимиками (systemd с пробелом, sshd в нестандартной директории)
• Изменения в cron-расписаниях: /etc/cron*, /var/spool/cron
• Новые или изменённые SSH authorized_keys у привилегированных пользователей
• Аномалии в /tmp и /dev/shm — популярные места хранения временных вредоносных файлов

Принятие решения: живая система или образ

Первое тактическое решение в IR — изолировать систему немедленно или сначала собрать летучие данные? Выключение системы уничтожает данные оперативной памяти — а там могут быть ключи шифрования, активные соединения, незаписанные на диск артефакты. Но продолжение работы системы даёт атакующему время. Стандартный подход: сначала собрать летучие данные с живой системы (Live Response), затем изолировать сеть, затем снять образ диска.

Фаза 2. Сбор данных с живой системы (Live Response)

Летучие данные: память, процессы, сеть

Порядок сбора летучих данных определяется их «сроком жизни»: сначала самые быстро исчезающие. Классическая последовательность: дамп оперативной памяти → список запущенных процессов с деревом → открытые сетевые соединения → список залогиненных пользователей → открытые файловые дескрипторы → содержимое /proc для ключевых процессов. Каждый шаг документируется с временной меткой.

Базовые команды Live Response, которые должны быть на уровне рефлекса:

• ps auxf — дерево процессов с полными путями
• ss -tupln — активные соединения и слушающие порты
• lsof -i — процессы с открытыми сетевыми сокетами
• who; last; lastlog — история входов
• find /tmp /dev/shm -type f -ls — подозрительные файлы во временных директориях
• crontab -l; ls /etc/cron* — все cron-задачи

Инструменты для Live Response

Ручной сбор данных подходит для единичных систем. При масштабных расследованиях или необходимости одновременно охватить десятки хостов — незаменимы специализированные инструменты. Velociraptor — de facto стандарт для enterprise IR: агент разворачивается на хосте, выполняет VQL-запросы и возвращает артефакты в центральный репозиторий. UAC (Unix-like Artifacts Collector) и Cat-Scale — скриптовые сборщики триажа для Linux, не требующие установки. LiME (Linux Memory Extractor) — загружаемый модуль ядра для снятия дампа RAM с минимальным воздействием на систему.

Фаза 3. Криминалистика файловой системы

Снятие образа диска

Работать напрямую с диском скомпрометированной системы — грубая ошибка: это модифицирует временные метки и уничтожает артефакты. Стандартный подход — создать побитовый образ с последующей работой только с ним. Инструменты: dd, dc3dd (с поддержкой хэширования в процессе копирования), dcfldd. После создания образа обязательно верифицируется хэш-сумма (MD5/SHA256) — это обеспечивает доказательную ценность образа и подтверждает его неизменность.

Анализ ключевых артефактов

После монтирования образа в режиме read-only начинается детальный анализ. Приоритетные места исследования:

• /etc/passwd, /etc/shadow, /etc/sudoers — изменения пользователей и привилегий
• ~/.bash_history, ~/.zsh_history — история команд (атакующий часто пытается очистить, но не всегда успевает)
• ~/.ssh/ — authorized_keys, known_hosts (следы lateral movement)
• /etc/cron*, /var/spool/cron — persistence через планировщик
• /etc/systemd/system/, /lib/systemd/system/ — persistence через systemd-юниты
• /proc/[PID]/ — детали о запущенных процессах, включая exe-ссылку на удалённый файл (признак классической техники delete-after-execution)

Для работы с образом файловой системы используется The Sleuth Kit (TSK) — набор CLI-инструментов для анализа ext4, XFS и других файловых систем Linux. Autopsy предоставляет графический интерфейс поверх TSK. debugfs — низкоуровневый инструмент для работы с ext-файловыми системами, полезен при восстановлении удалённых файлов.

Фаза 4. Анализ журналов и реконструкция таймлайна

Работа с auditd и journald

Auditd при правильной настройке — бесценный источник данных о расследовании. Он логирует системные вызовы с полным контекстом: какой процесс (PID, UID, PPID), что сделал (exec, open, connect), с какими аргументами. Утилита ausearch позволяет фильтровать события по пользователю, типу события, временному диапазону. aureport — строить сводные отчёты. Journald-логи читаются через journalctl с гибкими фильтрами по юниту, PID, приоритету и временному диапазону.

Построение таймлайна с plaso и Timesketch

Восстановить хронологию атаки — ключевая задача IR. Ручной анализ логов при сложном инциденте быстро становится неуправляемым. Plaso (log2timeline) автоматически извлекает временные метки из десятков источников на Linux-системе — логов, файловой системы, bash-истории, браузерных артефактов — и объединяет их в единый хронологический поток. Timesketch предоставляет веб-интерфейс для совместной работы с таймлайном, добавления аннотаций и выявления паттернов. Связка plaso + Timesketch — стандарт для сложных расследований с большим объёмом данных.

Фаза 5. Анализ вредоносного ПО и атрибуция

Если в ходе расследования обнаружен подозрительный бинарный файл или скрипт — начинается анализ вредоносного ПО. В Linux-контексте это прежде всего ELF-бинарники, shell-скрипты, Python-скрипты, а также вредоносные shared libraries (.so). Статический анализ: file, strings, readelf, objdump — базовое понимание структуры файла без его запуска. Поведенческий анализ: AnyRun, Joe Sandbox — выполнение в изолированной среде с анализом действий. YARA-правила — поиск характерных сигнатур и паттернов в файловой системе и памяти. Для более глубокого анализа задействуются методы реверс-инжиниринга и специализированные навыки малвар-аналитика.

Фаза 6. Сдерживание, восстановление и отчёт

После установления scope инцидента — что скомпрометировано, как проникли, где закрепились — наступает фаза устранения. Сдерживание: изоляция заражённых хостов, блокировка вредоносных IP и доменов, отзыв скомпрометированных учётных данных и SSH-ключей. Восстановление: переустановка системы из доверенного образа (если руткит подтверждён — без вариантов), восстановление данных из резервных копий, hardening по выявленным векторам входа.

Отчёт об инциденте — обязательный финальный артефакт. Он включает: хронологию событий, IoC (индикаторы компрометации), описание TTPs атакующих с маппингом на MITRE ATT&CK, оценку ущерба, рекомендации по устранению. Если система относится к объектам КИИ — отчёт передаётся в НКЦКИ в установленные сроки. Требования к оформлению этой отчётности закреплены в нормативных актах ФСТЭК и ФСБ.

Где учиться Linux IR

Linux Incident Response — практическая дисциплина. Читать о ней полезно, но навык формируется только при работе с реальными артефактами, дампами и кейсами.