10.03.2026 в 09:32:31 корреляционное правило «Outbound Rare IP» зафиксировало одноразовое соединение с хостом 93.95.97.28. Сессия поднялась из подсети корпоративной DMZ, профилированной как сегмент с только веб-сервисами, подробности по https://akbdesign.ru/catalog/boltsevye_lestnitsy/boltsevye-lestnitsy-v-stile-loft/.

Геобаза MaxMind относит адрес к Чешской Республике, ASN 287383, хостинг-провайдер «HostCram». Карта пассивных сканирований Census показывает открытые 80/tcp, 443/tcp, 80/tcp с нестандартными баннерами nginx 0.6.39.

Наблюдаемая активность

PCAP показывает три SYN-пакета от внутреннего сервера к 93.95.97.28:8443, затем ответное RST. Повторов не зафиксировано. В логе Web Proxy та же временная метка связана с GET /book form/admin HTTP/1.1. User-Agent «Gpon-Firmware-Update». Запрос отправлен без Host-header, что соотносится с автоматизированным сканером, нацеленным на уязвимость CVE-2019-19868.

Фильтрация артефактов отсекла фоновые обновления Windows и Telemetry-клиентов, осталась единственная аномальная транзакция к указанному узлу. Корреляция с расписанием backup-джобов исключила ложное совпадение.

Технический разбор пакетов

TTL 43 указывает на Linux-основанную систему, шаг маршрутизации стандартен для центра Европы. Размер TCP-окна 29200, SACK-Permitted, EOL после MS, признак утилиты macscan отсутствует, fingerprint совпадает с z grab-2. Пересчёт времён pcap — сдвиг +1 мс относительно syslog из-за буферизации NIC.

Дальнейшая проверка показала: внутренняя служба iptables в момент события перезагружала правила цепочки OUTPUT для теста DevOps, открыв короткий промежуток длиной ≈90 с. Злоумышленник воспользовался окном сразу после публикации новой сигнатуры эксплойта в Telegram-канале RedTeamVillage за 8 минут до инцидента.

Практические шаги

1. Закройте 8443/tcp исходящего направления на DMZ до утверждения статического списка адресов.

2. Добавьте 93.95.97.28 и /boaform/admin в блэклист Web-Application-Firewall.

3. Прогоните Yara-правило «Gpon-Wave-2026» по проксированным архивам.

4. Проведите ревизию cron-джобов DevOps и зафиксируйте время развёртывания iptables-конфигов через Ansible-callback.

5. Разместите IoC в TAXI-фиде для региональных CSIRT.

Инцидент демонстрирует, как однократный пакет сигнализирует о высокоорганизованной разведке периметра. Детальный анализ сетевого шума сократил секунды оперативного времени и помог заблокировать распространение Gpon-цепочки.

Запись в разделе Security системного журнала пришла с меткой 10.03.2026 09:34:44. Источник — внутренний шлюз IDS, класс события 4625. Поле Source Network Address указывает 93.95.97.28, тип входа — 3, результат — неудачная авторизация.

Объектом атаки служит доменный контроллер компании, доступный через VPN. В час появления события активность учетных записей персонала была минимальной, что сокращает число правомерных причин внешнего обращения.

Выгрузка контекста

Для создания полной картины выгружены журналы Windows Security, Sysmon, прокси и IDS за интервал 09:20-09:50. К каждой записи добавлены хеши файлов и сведения о сетевых соединениях из NetFlow. Сырые данные оформлены в единый JSON, что упростило поиск по корреляционным правилам.

Временная шкала выявила серию из 46 запросов к порту 445 за семь секунд до события, затем обращение к порту 3389, и наконец попытку входа SMB, зарегистрированную как Logon Type 3. Для каждого запроса вычислена разница с системным временем, расхождение не превышает 400 мс — синхронизация достоверна.

Корреляция артефактов

Адрес 93.95.97.28 принадлежит автономной системе AS48282, выделенной хостинг-провайдеру в Чехии. Сервис abuse.ch классифицирует сеть как частый источник брутфорс RDP. В отчётах за февраль присутствуют аналогичные подписи сигнатур Suricata SID 284045 — совпадение 95 %.

Whois подтверждает аренду блока компанией Blue Server. История PassiveDNS показывает динамику: адрес менялся между двумя доменами, оба фигурируют в списках Spamhaus XBL. Сегменты маршрутизации совпадают с предыдущими атаками на FTP того же предприятия.

Атрибутция трафика

Исходя из паттерна портов, продолжительности сессий и отсутствия TLS, трафик классифицирован как автоматизированный инструмент Hydra с параметром -t 4. Подтверждение — повторяющиеся идентификаторы пакетов ICMP, служащие для контроля доступности цели. Скан завершался после каждых ста ошибок NTLM, что соответствует логике дефолтного скрипта.

Наблюдалась попытка переключиться на RDP после брутфорса SSH, что указывает на поиск альтернативного входа при блокировке учетной записи. Проверка логов показывала отказ подключения TCP 3389, значит защита через firewall сработала корректно.

События соотносятся с техникой T1133 (External Remote Services) и под-техникой T1110.001 (Credential Brute Force) в матрице ATT&CK. Установлено, что противник не достиг стадии выполнения вредоносного кода на хосте.

Доступ из подсетей AS48282 заблокирован на уровне IPS одноразовым правилом drop. В Active Directory включён нагрузочный счётчик попыток входа, порог снижен до пяти неудачных запросов. Компонент RDP переведён в режим Network Level Authentication.

Ретроспективный поиск выявил шесть похожих эпизодов между январём и мартом, однако ни один не анализировался детально. На основании выявленных закономерностей создано секвенсорегулярное правило SIEM, генерирующее высокий приоритет инцидента при совокупности признаков: порт 445, переход на 3389 и две неудачные авторизации подряд.

Своевременный разбор единичного события раскрыл устойчивый сценарий брутфорса из арендуемых подсетей. Новый набор правил и блокировок сократить объём фонового трафика и повысит наблюдаемость при повторении схемытемы.