Приветствую, коллеги! 👋 Сегодня мы разберём тему, которая лежит на стыке низкоуровневого программирования, анализа памяти и цифровой криминалистики. Если вы читаете этот текст — вы либо системный администратор, который подозревает неладное на серверах, либо инженер ИБ, столкнувшийся с неизвестным инжектом, либо руководитель, чьи коммерческие данные уплывают к конкурентам. В любом случае — добро пожаловать в мир глубокого поиска зловредов. 🧠🔍
Мы — команда инженеров-форензиков. Наша специализация — поиск шпионских программ на любых цифровых носителях: от рабочих станций до серверных кластеров и встроенных систем. Сегодня я выдам вам техническую методологию, реальные кейсы из практики и объясню, почему обычный антивирус не справляется с современными угрозами. Поехали! 🚀💻
1. Что такое шпионское ПО с инженерной точки зрения? 🧩📡
С точки зрения низкоуровневой диагностики, шпионское программное обеспечение — это исполняемый код, который:
- Работает в контексте легитимного процесса (процесс-инжект, DLL-hollowing, AtomBombing).
- Имеет механизмы персистенции: задачи Task Scheduler, службы Windows, WMI Event Subscriptions, буткиты, руткиты в ядре.
- Коммуницирует с C2-сервером, используя обфусцированные протоколы (DNS-over-HTTPS, ICMP-туннелирование, фальшивый HTTPS).
- Собирает и эксфильтрует данные: кейлоггинг, скриншоты, буфер обмена, файлы, криптокошельки, сессии мессенджеров.
Классический антивирус сигнатурно проверяет файлы на диске. А если вредонос загружен только в память или подписан украденным сертификатом? 🤷♂️ Именно здесь требуется инженерный поиск шпионских программ — с анализом дампов RAM, системных журналов, метаданных NTFS и сетевых потоков.
Типология современного spyware:
| Тип | Механизм работы | Сложность обнаружения |
| Fileless spyware | Живёт в реестре, WMI, PowerShell | Высокая 🚨 |
| RAT (Remote Access Trojan) | Удалённое управление, часто с GUI | Средняя |
| Kernel-mode rootkit | Драйвер на уровне ядра | Экстремальная ☠️ |
| Bootkit | Загрузчик в MBR/UEFI | Экстремальная |
| Mobile spyware (Android/iOS) | Accessibility services, MDM-профили | Высокая |
2. Кому и зачем нужен профессиональный поиск шпионских программ? 🎯🏢
Мы работаем с тремя основными категориями заказчиков:
2.1. Бизнес и корпорации
Утечка интеллектуальной собственности, кража баз клиентов, промышленный шпионаж. Особенно актуально перед M&A-сделками (due diligence ИБ). 🔥
2.2. Государственные и окологосударственные структуры
Защита информации ограниченного доступа, выявление «закладок» на автоматизированных рабочих местах.
2.3. Частные лица (HNWI, адвокаты, журналисты)
Слежка со стороны бывших партнёров, криминальные «прослушки», кража аккаунтов. 👤
Наш инженерный поиск шпионских программ всегда начинается с интервью: какое поведение замечено? Есть ли подозрительный сетевой трафик? Когда примерно начались проблемы? Эти метаданные позволяют сфокусироваться на конкретных векторах атаки.
3. Инженерный стек: инструменты, которые мы реально используем 🛠️💾
Никакой магии. Только открытые и проприетарные средства глубокого анализа:
- Volatility 3— анализ дампов оперативной памяти. Позволяет найти скрытые процессы, инжекты DLL, руткиты.
- Rekall— альтернатива Volatility для сложных кейсов с нестандартными ядрами.
- YARA + custom rules— собственная библиотека из 15 000+ сигнатур для поиска spyware.
- Wireshark + Zeek (Bro)— захват и анализ трафика для выявления C2-коммуникации.
- Procmon + Process Hacker + API Monitor— поведенческий трейсинг подозрительных вызовов.
- IDA Pro / Ghidra— реверс-инжиниринг неизвестных бинарных модулей.
- The Sleuth Kit + Autopsy— файловый анализ, восстановление удалённых объектов.
- RegRipper— анализ реестра Windows на предмет скрытой персистенции.
- deftLinux / CAINE— live-дистрибутивы для форензики без монтирования дисков.
Для мобильных устройств используем извлечение через checkm8 (iPhone до A11), MTK Client, ADB-бэкапы с последующим разбором SQLite-баз мессенджеров. 📱
4. Кейс №1: RAT-агент в памяти контроллера домена 🕹️🏢
Ситуация: Московская финансовая компания (120 сотрудников). В доменной сети начались странности: менялись пароли у топ-менеджеров, приходили письма с их адресов с просьбой перевести деньги. Антивирусная защита (Kaspersky Endpoint) не показывала угроз.
Наша диагностика:
Мы провели поиск шпионских программ на контроллере домена (Windows Server 2019). Сняли дамп оперативной памяти через DumpIt и проанализировали его Volatility 3. Обнаружили в процессе lsass.exe внедрённый PE-модуль, который не был прописан в списке загруженных DLL. Далее через анализ дескрипторов (handles) нашли сетевой сокет на нестандартный порт 59333, уходящий на внешний IP.
Что сделали:
Извлекли внедрённый модуль из дампа, провели его реверс-инжиниринг в IDA. Оказалось — RAT с функцией кражи биометрических данных (отпечатки пальцев с USB-сканеров). 🔑 После очистки памяти и перезагрузки DC, установили мониторинг на вызовы NtCreateThreadEx для обнаружения повторных инжектов.
Итог: предотвращён хищный захват системы дистанционного банковского обслуживания (ДБО). Сумма под угрозой — 47 млн рублей.
5. Кейс №2: Буткит на сервере с 1С в региональном филиале 🏭🔧
Ситуация: Региональный складской комплекс (Ярославль). Сервер с 1С:Предприятие 8.3 работал нестабильно, периодически отправлял отгрузочные документы на неизвестный email. Штатный админ переустановил ОС — проблема повторилась через 3 дня.
Анализ:
Мы выехали на место (выездные работы — часть нашего стандартного протокола). Физически извлекли SSD, сделали посекторный образ через Tableau Forensic Bridge. Поиск шпионских программ на образе диска через Autopsy показал, что MBR содержит нестандартный код. Далее с помощью IDA мы дизассемблировали boot-код — классический буткит семейства Mebroot, который загружал в ядро драйвер для перехвата пакетов сетевой карты.
Решение:
Восстановили MBR из резервной копии, прошили свежий UEFI (подозреваем закладку на уровне прошивки). Настроили аудит загрузки через Secure Boot и TPM 2.0.
Итог: пресечена утечка данных о поставках (товарно-транспортные накладные) на 3 млн рублей в месяц. Клиент заключил с нами договор на ежеквартальный выездной аудит всех серверов.
6. Почему стандартные сканеры не находят шпионское ПО? 🤔❌
Ответ — в архитектуре. Большинство антивирусов работают на уровне пользовательского режима (Ring 3). Современный spyware умеет:
- Загружаться до антивируса— через bootkit или UEFI-модуль. 🥾
- Работать бесфайлово— код хранится в реестре или WMI, запускается через powershell -enc и живёт в RAM.
- Легитимно подписываться— украденные или поддельные сертификаты кода (например, от реальных вендоров железа).
- Использовать обфускацию и упаковщики— каждый экземпляр spyware уникален для одной жертвы (custom packer).
Именно поэтому профессиональный инженерный поиск шпионских программ обязателен в случаях, когда:
- Антивирус не показывает угроз, но симптомы очевидны.
- Переустановка ОС не помогла (проблема повторилась).
- Вы подозреваете физический доступ к устройству посторонних.
7. География нашей работы: Москва и вся Россия ✈️🌍
Мы находимся в Москве — это наша инженерная лаборатория, где собраны эталонные стенды для анализа подозрительного кода. 🏢 Однако реальность такова, что самые интересные и сложные кейсы часто находятся за пределами столицы. Поэтому мы готовы вылетать в любой регион России для анализа стационарных серверов.
Примеры наших командировок за последние 12 месяцев:
| Город | Тип оборудования | Что нашли |
| Хабаровск | Сервер 1С + терминальный сервер | RAT с персистенцией через планировщик |
| Калининград | Почтовый сервер Exchange | Транспортный агент-шпион |
| Новосибирск | Серверное хранилище Isilon | Rootkit на уровне FreeBSD kernel |
| Екатеринбург | Промышленный контроллер (SCADA) | Modbus-шпион для изменения технологических параметров |
| Симферополь | Банковский сервер | Бесфайловый кейлоггер на RDP-шлюзе |
Как организуется выезд? ✅
- Клиент согласовывает доступ к оборудованию.
- Инженер вылетает с набором форензических инструментов (Tableau, Logicube, write-blockers).
- На месте создаются криминалистически чистые образы дисков и памяти.
- Первичный анализ выполняется на месте, при необходимости образы доставляются курьерской службой в московскую лабораторию для глубокой экспертизы.
Все перемещения и проживание за наш счёт, если объём работ превышает 2 дня. Для сложных дел мы не гонимся за экономией — нам важен результат. 💪
8. Кейс №3: Бесфайловый кейлоггер на RDP-ферме 🖥️⌨️
Ситуация: Колл-центр в Самаре (200 операторов). У нескольких сотрудников начали взламывать личные кабинеты в CRM. При этом антивирус на терминальных серверах был настроен максимально жёстко (AppLocker, WDAC). Симптомы: подвисание мыши, редкие окна cmd, которые сами закрывались.
Наша диагностика:
Мы запросили дампы памяти RDP-серверов. Применили поиск шпионских программ через инструмент rekall с пользовательскими профилями. Обнаружили в пространстве ядра (ntoskrnl.exe) хук на функцию NtUserGetRawInputData. Оказалось, что вредоносный драйвер был загружен через легитимную службу Intel ME (Management Engine) — туда его прописал злоумышленник, имевший физический доступ к серверу.
Что сделали:
Выгрузили драйвер через WinDbg, отключили ME в BIOS (где это возможно), пересобрали политику Device Guard с запретом на загрузку неподписанных драйверов. Провели аудит логов событий EventID 7045 (установка служб) за 6 месяцев.
Итог: найдена точка входа — уволенный системный администратор. Дело передано в следственные органы. Клиент сэкономил около 12 млн рублей на расследовании собственными силами.
9. Инженерный чек-лист: как проверить систему до нашего приезда 🔍📋
Если вы ИТ-специалист и хотите выполнить поиск шпионских программ своими силами (хотя бы первичный), вот минимальный набор действий:
- Запустите netstat -anobот имени администратора — проверьте нестандартные порты (4444, 5555, 6666, 8000-9000) в состоянии LISTENING или ESTABLISHED.
- Посмотрите планировщик задач (taskschd.msc) на предмет незнакомых задач со скрытыми триггерами.
- ИспользуйтеAutoruns от Sysinternals — вкладки Everything, WMI, Winlogon, Boot Execute.
- Выполнитеfltmc filters — посмотрите загруженные мини-фильтры файловой системы (легитимные: bam.sys, luafv.sys, WdFilter.sys).
- Скачайте Process Hacker и проверьте свойства процессов: правой кнопкой → Properties → модули (ищите подозрительные пути).
- Выполните анализ DNS-кэша: ipconfig /displaydns | findstr /i «ru»— странные домены.
- Проверьте реестр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKLM\SYSTEM\CurrentControlSet\Services.
Если что-то из этого вызвало подозрения — НЕ УДАЛЯЙТЕ ФАЙЛЫ, не переустанавливайте ОС. Вы уничтожите доказательства. Лучше сразу вызовите инженеров — мы работаем удалённо или с выездом.
10. Почему инженерный поиск шпионских программ — это не «кликнуть кнопку»? 🧠⚙️
Многие заказчики удивляются: почему нельзя просто купить лицензию на «антишпион» и всё? Отвечаю как инженер:
- Контекст имеет значение.Один и тот же индикатор (например, доступ к \\.\PhysicalDrive0) может быть легитимным для программы бэкапа и вредоносным для spyware.
- Ложные срабатывания.Готовые решения дают десятки ложных тревог. Эксперт отсеивает их на основе поведенческого анализа.
- Модификация под жертву.Целевое spyware часто создаётся индивидуально (private exploit + custom crypter). Его нет ни в одной сигнатуре.
- Юридическая значимость.Для суда или служебного расследования нужен отчёт с хэшами, цепочкой custody (сохранности улик) и документированием методологии.
Мы работаем именно как инженеры-форензики, а не как «установщики софта». Наши отчёты принимают суды, следственные комитеты и внутренние аудиты.
11. Как мы работаем с удалёнными регионами: технический протокол 📡📦
Вариант 1 — Удалённый сбор данных (95% случаев)
Клиент (или его ИТ-специалист) получает от нас запароленный исполняемый модуль (форензический сборщик, подписанный нашим EV-сертификатом). Модуль:
- Ничего не устанавливает.
- Работает только с правами администратора.
- Создаёт образ диска (через Volume Shadow Copy) без изменения временных меток.
- Собирает системные логи, реестр, список процессов, сетевые соединения.
- Упаковывает всё в зашифрованный архив и передаёт по SFTP (с логированием).
Мы анализируем данные в своей лаборатории (без доступа клиента к нашим внутренним инструментам). Итоговый отчёт — PDF с детальным описанием каждого артефакта.
Вариант 2 — Выезд инженера на место (только когда необходимо)
Требуется при:
- Физической изоляции серверов (нет RDP/SSH/IPMI).
- Подозрении на аппаратные закладки (Smart-UPS, BMC контроллеры, USB-кевилеры).
- Анализе АСУ ТП, медицинского оборудования, банкоматов (запрет на подключение к сети).
- Объёме данных более 10 ТБ (заливка по интернету нецелесообразна).
В таких случаях наш инженер вылетает с портативной криминалистической станцией (на базе Intel NUC с NVMe-накопителями). За 12 часов работы он создаёт образы всех критичных устройств. Дальнейший анализ выполняется в Москве.
12. Заключение: ваш цифровой форпост 🛡️💎
Друзья, современный поиск шпионских программ — это не услуга из разряда «галочка для Роскомнадзора». Это сложная инженерная дисциплина, требующая знания архитектуры ОС, методов реверс-инжиниринга, криптографии и судебной процедуры. Мы вложили годы в то, чтобы каждый наш отчёт был технически безупречным и юридически весомым.
Мы находимся в Москве, но наша лаборатория работает для всей России. Для сложных дел, для анализа стационарных серверов мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Серверы не летают, но мы летаем. ✈️✅
Не ждите, пока утечка данных станет достоянием конкурентов или регуляторов. Каждый день работы заражённого устройства — это ваши логи, пароли, контракты и внутренняя переписка, которые лежат на чужом сервере. Начните с диагностики — и вы узнаете правду.
🟩 Единственная ссылка на наш сайт:
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/
Задавайте любые вопросы