{"id":18454,"date":"2025-06-13T16:05:41","date_gmt":"2025-06-13T13:05:41","guid":{"rendered":"https:\/\/oberig-it.com\/?p=18454"},"modified":"2025-07-03T09:16:39","modified_gmt":"2025-07-03T06:16:39","slug":"kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint","status":"publish","type":"post","link":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/","title":{"rendered":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint"},"content":{"rendered":"<p>\u0421\u043e\u0432\u043c\u0435\u0441\u0442\u043d\u043e\u0435 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u043e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (CSA) AA25-141A \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438 \u043c\u043d\u043e\u0433\u043e\u0433\u0440\u0430\u043d\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u043f\u0440\u0438\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c\u043e\u0439 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0439 \u0413\u0420\u0423 \u043f\u043e\u0434\u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u044e 26165, \u0442\u0430\u043a\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u043c\u0443 \u043a\u0430\u043a <a href=\"https:\/\/attack.mitre.org\/groups\/G0007\/\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">APT28<\/span><\/a>, Fancy Bear, Forest Blizzard \u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0443 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u0441\u0435\u0432\u0434\u043e\u043d\u0438\u043c\u043e\u0432. \u0421 \u043d\u0430\u0447\u0430\u043b\u0430 2022 \u0433\u043e\u0434\u0430 \u044d\u0442\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u0431\u0435\u0437\u0436\u0430\u043b\u043e\u0441\u0442\u043d\u043e \u0430\u0442\u0430\u043a\u0443\u0435\u0442 \u0437\u0430\u043f\u0430\u0434\u043d\u044b\u0435 \u043b\u043e\u0433\u0438\u0441\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0438 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438, \u0443\u0447\u0430\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0432 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0435 \u0423\u043a\u0440\u0430\u0438\u043d\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043a\u0430\u043a \u0441\u0442\u0430\u0440\u044b\u0435, \u0442\u0430\u043a \u0438 \u043d\u043e\u0432\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438 \u043a\u0440\u0430\u0436\u0438 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445. \u0418\u0445 \u0434\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u0441\u0431\u043e\u0440 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u0444\u0438\u0448\u0438\u043d\u0433, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043e\u0431\u0449\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u0434\u0430\u0436\u0435 \u0432\u0437\u043b\u043e\u043c \u0441\u0438\u0441\u0442\u0435\u043c \u043d\u0430\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u0434\u043b\u044f \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0441\u0442\u0430\u0432\u043e\u043a \u0433\u0443\u043c\u0430\u043d\u0438\u0442\u0430\u0440\u043d\u043e\u0439 \u043f\u043e\u043c\u043e\u0449\u0438.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0431\u043b\u043e\u0433\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u044b \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0432\u044b\u0432\u043e\u0434\u044b \u043a\u043e\u043d\u0441\u0443\u043b\u044c\u0442\u0430\u043d\u0442\u0430 \u0438 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e, \u043a\u0430\u043a \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u0430 Logpoint \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043b\u0443\u0436\u0431\u0430\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u043d\u0435\u0439\u0442\u0440\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u0442\u0430\u043a\u0438\u0445 \u0443\u0433\u0440\u043e\u0437 \u043d\u0430 \u0432\u0441\u0435\u0445 \u044d\u0442\u0430\u043f\u0430\u0445 \u0436\u0438\u0437\u043d\u0435\u043d\u043d\u043e\u0433\u043e \u0446\u0438\u043a\u043b\u0430 \u0430\u0442\u0430\u043a\u0438.<\/p>\n<h3>\u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0420\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0430\u044f \u0413\u0420\u0423-26165, \u0442\u0430\u043a\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430\u044f \u043f\u043e\u0434 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u043f\u0441\u0435\u0432\u0434\u043e\u043d\u0438\u043c\u0430\u043c\u0438, \u0432\u043a\u043b\u044e\u0447\u0430\u044f APT28, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0438\u043d\u043e\u043d\u0438\u043c\u043e\u043c \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u043e\u043b\u0435\u0435 \u0434\u0432\u0443\u0445 \u0434\u0435\u0441\u044f\u0442\u0438\u043b\u0435\u0442\u0438\u0439 \u0431\u0440\u043e\u0441\u0430\u0435\u0442 \u0442\u0435\u043d\u044c \u043d\u0430 \u0433\u0435\u043e\u043f\u043e\u043b\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043b\u0430\u043d\u0434\u0448\u0430\u0444\u0442. \u0415\u0435 \u0446\u0435\u043b\u0435\u0432\u044b\u0435 \u0441\u0435\u043a\u0442\u043e\u0440\u044b \u2013 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f, \u0432\u043e\u043e\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0435 \u0441\u0438\u043b\u044b \u0438 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u2013 \u044f\u0441\u043d\u043e \u043e\u0442\u0440\u0430\u0436\u0430\u044e\u0442 <a href=\"https:\/\/www.logpoint.com\/wp-content\/uploads\/2024\/06\/logpoint-etpr-forest-blizzard.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">\u0435\u0435 \u043c\u043e\u0442\u0438\u0432\u044b<\/span><\/a>, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u044e\u0442\u0441\u044f \u0432 \u043a\u0440\u0430\u0436\u0435 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0438 \u0432\u043e\u0435\u043d\u043d\u043e\u0439 \u0432\u044b\u0433\u043e\u0434\u044b.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u043c \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0438 \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u044b Logpoint \u0441\u043e\u0441\u0440\u0435\u0434\u043e\u0442\u043e\u0447\u0438\u043b\u0438\u0441\u044c \u043d\u0430 <strong>\u043d\u0435\u0434\u0430\u0432\u043d\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0413\u0420\u0423, \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0442\u0438\u0432 \u0437\u0430\u043f\u0430\u0434\u043d\u044b\u0445 \u043b\u043e\u0433\u0438\u0441\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u0438 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u0439<\/strong>, \u043a\u0430\u043a \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e \u0432 <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa25-141a\" target=\"_blank\" rel=\"noopener\"><strong><span style=\"color: #0000ff;\">\u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u0445 CISA<\/span><\/strong><\/a>. \u042d\u0442\u0438 \u0430\u0442\u0430\u043a\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0447\u0430\u0441\u0442\u044c\u044e \u0431\u043e\u043b\u0435\u0435 \u0448\u0438\u0440\u043e\u043a\u043e\u0439 \u044d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u043f\u043e\u0434\u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u0413\u0420\u0423 \u00ab26165\u00bb \u043f\u043e\u0441\u043b\u0435 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u044f \u0438 \u043e\u0442\u0440\u0430\u0436\u0430\u044e\u0442 \u0441\u0442\u0440\u0430\u0442\u0435\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0443\u0441\u0438\u043b\u0438\u044f \u043f\u043e \u043f\u043e\u0434\u0440\u044b\u0432\u0443 \u0446\u0435\u043f\u043e\u0447\u0435\u043a \u043f\u043e\u0441\u0442\u0430\u0432\u043e\u043a, \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0449\u0438\u0445 \u0423\u043a\u0440\u0430\u0438\u043d\u0443. \u0421 \u043c\u043e\u043c\u0435\u043d\u0442\u0430 \u043d\u0430\u0447\u0430\u043b\u0430 \u043a\u043e\u043d\u0444\u043b\u0438\u043a\u0442\u0430 \u0432 \u0423\u043a\u0440\u0430\u0438\u043d\u0435 \u043a\u0438\u0431\u0435\u0440\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u0441\u0442\u0430\u043b\u0438 \u0441\u0442\u0440\u0430\u0442\u0435\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u043c \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0435\u043d\u0438\u0435\u043c \u0433\u0435\u043e\u043f\u043e\u043b\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0430\u0433\u0440\u0435\u0441\u0441\u0438\u0438. \u042d\u0442\u0438 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u0443\u044e\u0442 \u0442\u0449\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u044b\u0435 \u0438 \u043d\u0430\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u044b\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u0443\u0442\u044c \u0432 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0423\u043a\u0440\u0430\u0438\u043d\u0443 \u0438 \u0435\u0435 \u043e\u0431\u043e\u0440\u043e\u043d\u043d\u0443\u044e \u043b\u043e\u0433\u0438\u0441\u0442\u0438\u043a\u0443.<\/p>\n<p>\u042d\u0442\u043e\u0442 \u0431\u043b\u043e\u0433 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e <strong>\u0442\u0430\u043a\u0442\u0438\u043a\u0430\u043c, \u043c\u0435\u0442\u043e\u0434\u0430\u043c \u0438 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430\u043c (TTP) \u043f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430<\/strong>, \u0430 \u043d\u0435 \u043e\u0431\u0441\u0443\u0436\u0434\u0435\u043d\u0438\u044e \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u0432 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f. \u0413\u0420\u0423 \u043d\u0435 \u0432\u0441\u0435\u0433\u0434\u0430 \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u044f\u0440\u043a\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e; \u0432\u043c\u0435\u0441\u0442\u043e \u044d\u0442\u043e\u0433\u043e \u043e\u043d\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0442 \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a PowerShell, PsExec \u0438\u043b\u0438 RDP, \u0434\u043b\u044f \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0435\u0442\u0438, \u0441\u0431\u043e\u0440\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u0431\u043e\u043b\u0435\u0435 \u0433\u043b\u0443\u0431\u043e\u043a\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0449\u0438\u0435 \u0432\u044b\u0441\u043e\u043a\u0443\u044e \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c.<\/p>\n<p>\u0422\u043e, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u044d\u0442\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043e\u043f\u0430\u0441\u043d\u044b\u043c\u0438, \u0442\u0430\u043a\u0436\u0435 \u0434\u0435\u043b\u0430\u0435\u0442 \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u043c\u0438: \u043e\u043d\u0438 \u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u043f\u043e\u0441\u043b\u0435 \u0441\u0435\u0431\u044f \u0441\u043b\u0435\u0434\u044b. \u0411\u0443\u0434\u044c \u0442\u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u0440\u0430\u0432 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u044f\u0449\u0438\u043a\u0430\u043c, \u0441\u0436\u0430\u0442\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u0432\u044b\u0432\u043e\u0434\u0430 \u0438\u0437 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0438\u043b\u0438 \u0432\u043d\u0435\u0437\u0430\u043f\u043d\u043e\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432, \u044d\u0442\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0441\u0438\u0433\u043d\u0430\u043b\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0443\u043b\u043e\u0432\u0438\u0442\u044c \u043f\u0440\u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u043d\u0430\u0434\u043b\u0435\u0436\u0430\u0449\u0435\u0439 \u0432\u0438\u0434\u0438\u043c\u043e\u0441\u0442\u0438. \u0426\u0435\u043b\u044c \u0431\u043b\u043e\u0433\u0430 \u2013 \u0432\u044b\u0434\u0435\u043b\u0438\u0442\u044c <strong>\u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0430\u0441\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f, \u043d\u043e \u0438 \u043b\u0435\u0433\u043a\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f<\/strong> \u2013 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432, \u0443\u043c\u043d\u044b\u0445 \u043f\u0440\u0430\u0432\u0438\u043b \u0438 \u0433\u043b\u0443\u0431\u043e\u043a\u043e\u0433\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u043e\u0440\u043c\u043e\u0439. \u0414\u043b\u044f \u044f\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0432 \u044d\u0442\u043e\u043c \u0431\u043b\u043e\u0433\u0435 \u043c\u044b \u0431\u0443\u0434\u0435\u043c \u043d\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043f\u043e\u0434\u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u0413\u0420\u0423 26165 \u043f\u0440\u043e\u0441\u0442\u043e \u00ab\u0413\u0420\u0423\u00bb.<\/p>\n<h3>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/h3>\n<h4>\u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432:<\/h4>\n<p>\u0414\u043b\u044f \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u043d\u0438\u044f \u0443\u0433\u0440\u043e\u0437 \u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0443\u0433\u0440\u043e\u0437, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u043d\u0438\u0436\u0435, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432.<\/p>\n<p><strong>1.Windows<\/strong><\/p>\n<ul>\n<li>\u0414\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0430\u0443\u0434\u0438\u0442\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438.<\/li>\n<li>\u0410\u0443\u0434\u0438\u0442 \u0440\u0435\u0435\u0441\u0442\u0440\u0430<\/li>\n<\/ul>\n<p><strong>2. Windows Sysmon<\/strong><\/p>\n<ul>\n<li>\u0414\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043d\u0430\u0448\u0443 \u0431\u0430\u0437\u043e\u0432\u0443\u044e \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e sysmon.<\/li>\n<\/ul>\n<p><strong>3. NDR<\/strong><\/p>\n<p><strong>4. <span style=\"color: #0000ff;\"><a style=\"color: #0000ff;\" href=\"https:\/\/docs.logpoint.com\/docs\/office365\/en\/latest\/Configuring%20Office365.html\" target=\"_blank\" rel=\"noopener\">Office365<\/a><\/span><\/strong><\/p>\n<h3>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 TTP \u0434\u043b\u044f \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430<\/h3>\n<h4>\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c Outlook NTLM (CVE-2023-23397)<\/h4>\n<p>\u0413\u0420\u0423 \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u0438\u043b\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c\u044e Outlook NTLM, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u043a\u0430\u043a <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">CVE-2023-23397<\/span><\/a>, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044f \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u044f \u0432 \u043a\u0430\u043b\u0435\u043d\u0434\u0430\u0440\u044c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e \u0441\u043e\u0431\u0438\u0440\u0430\u043b\u0438 \u0445\u044d\u0448\u0438 NTLM \u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439.<\/p>\n<h4>\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Roundcube<\/h4>\n<p>\u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 Roundcube, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-12641\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">CVE-2020-12641<\/span><\/a>, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-35730\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">CVE-2020-35730<\/span><\/a> \u0438 <span style=\"color: #0000ff;\"><a style=\"color: #0000ff;\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44026\" target=\"_blank\" rel=\"noopener\">CVE-2021-44026<\/a><\/span>, \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 Visual Basic. \u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0442\u0430\u043a\u043e\u0435 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u0432 \u0432\u0430\u0448\u0435\u0439 \u0441\u0440\u0435\u0434\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u00ab<strong>\u041f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Wscript \u0438\u043b\u0438 Cscript<\/strong>\u00bb, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u0442\u043c\u0435\u0447\u0430\u0435\u0442 \u043b\u044e\u0431\u043e\u0435 \u043d\u0435\u043f\u0440\u0435\u0434\u0432\u0438\u0434\u0435\u043d\u043d\u043e\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u044d\u0442\u0438\u0445 \u0445\u043e\u0441\u0442\u043e\u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li><span style=\"color: #800000;\">&#171;process&#187;<\/span> IN [<span style=\"color: #800000;\">&#171;*\\wscript.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\cscript.exe&#187;<\/span>]<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*.jse*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*.vbe*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*.js*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*.vba*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*.vbs*&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">-path<\/span> IN [<span style=\"color: #800000;\">&#171;C:\\Program Files\\Microsoft Monitoring Agent\\Agent\\Health Service State\\*&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">-command<\/span> IN [<span style=\"color: #800000;\">&#171;*.json*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\Windows\\system32\\slmgr.vbs*-rearm*&#187;<\/span>]<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18461 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01.png\" alt=\"\" width=\"1920\" height=\"637\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-300x100.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-1024x340.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-768x255.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-1536x510.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-24x8.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-36x12.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog01-48x16.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 WinRAR (CVE-2023-38831)<\/h4>\n<p>GRU \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c WinRAR (<span style=\"color: #0000ff;\"><a style=\"color: #0000ff;\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-38831\" target=\"_blank\" rel=\"noopener\">CVE-2023-38831<\/a><\/span>) \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430. \u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u044d\u0442\u043e \u0432 \u0441\u0432\u043e\u0435\u0439 \u0441\u0440\u0435\u0434\u0435, \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 WinRAR, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044e\u0449\u0438\u0439 \u043d\u0435\u043e\u0436\u0438\u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create <span style=\"color: #0000ff;\">parent_process<\/span>=<span style=\"color: #800000;\">&#171;*\\winRAR.exe&#187;<\/span><\/li>\n<li><span style=\"color: #800000;\">&#171;process&#187;<\/span> IN [<span style=\"color: #800000;\">&#171;*\\cmd.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\cscript.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\mshta.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\powershell.exe&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\pwsh.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\regsvr32.exe&#187;<\/span>,<span style=\"color: #800000;\"> &#171;*\\rundll32.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\wscript.exe&#187;<\/span>]<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18464 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02.png\" alt=\"\" width=\"1459\" height=\"334\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02.png 1459w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-300x69.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-1024x234.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-768x176.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-24x5.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-36x8.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog02-48x11.png 48w\" sizes=\"auto, (max-width: 1459px) 100vw, 1459px\" \/><\/p>\n<p>\u042d\u0442\u043e \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u0431\u0443\u0434\u0435\u0442 \u0441\u0438\u0433\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e \u043b\u044e\u0431\u044b\u0445 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u0430\u0445 \u0438\u043b\u0438 \u0445\u043e\u0441\u0442\u0430\u0445 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438, \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0445 WinRAR.<\/p>\n<h4>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 TTP \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438<\/h4>\n<p>\u041c\u0435\u0442\u043e\u0434\u044b \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0431\u0435\u0441\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u044b \u0438 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u044e\u0442\u0441\u044f: \u043f\u043e\u0439\u043c\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043d\u0438\u0445 \u0432 \u043c\u043e\u043c\u0435\u043d\u0442 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u044f \u2013 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0447\u0442\u043e \u0433\u043e\u043d\u044f\u0442\u044c\u0441\u044f \u0437\u0430 \u0442\u0435\u043d\u044c\u044e. \u041d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u0432\u0430\u0436\u043d\u043e \u0442\u043e, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 <strong>\u043f\u043e\u0441\u043b\u0435<\/strong> \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430. \u0421\u043e\u0441\u0440\u0435\u0434\u043e\u0442\u043e\u0447\u0438\u0432 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u2013 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0438 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439, \u0441\u0431\u043e\u0440\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0438 \u043f\u043e \u0441\u0435\u0442\u0438, \u0432\u044b\u043d\u043e\u0441\u0435 \u0434\u0430\u043d\u043d\u044b\u0445 \u2013 \u0432\u044b \u0441\u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u043e\u0439\u043c\u0430\u0442\u044c \u043f\u0440\u043e\u0442\u0438\u0432\u043d\u0438\u043a\u043e\u0432 \u0432 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0445 \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0438 \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0430\u0442\u0430\u043a\u0443 <strong>\u0434\u043e \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u0431\u0443\u0434\u0435\u0442 \u043d\u0430\u043d\u0435\u0441\u0435\u043d \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0439 \u0443\u0449\u0435\u0440\u0431.<\/strong><\/p>\n<h4>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 Impacket \u0438 Psexec<\/h4>\n<p>\u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b Windows \u0438 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0435 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0438, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Impacket \u0438 PsExec, \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u0435\u0442\u0438. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e PsExec \u0441\u043e\u0437\u0434\u0430\u0435\u0442 8-\u0441\u0438\u043c\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0435\u0433\u043e \u043a\u0430\u043a \u0441\u043b\u0443\u0436\u0431\u0443 \u0441 4-\u0441\u0438\u043c\u0432\u043e\u043b\u044c\u043d\u044b\u043c \u0438\u043c\u0435\u043d\u0435\u043c. \u042d\u0442\u0443 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u043c\u043e\u0436\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">norm_id<\/span>=WinServer <span style=\"color: #0000ff;\">label<\/span>=Service <span style=\"color: #0000ff;\">label<\/span>=Install <span style=\"color: #0000ff;\">label<\/span>=Successful<\/li>\n<li>| process regex(<span style=\"color: #800000;\">&#171;(?P&lt;new_file_name&gt;[A-Za-z]{8}\\.exe)&#187;<\/span>, file)<\/li>\n<li>| process regex(<span style=\"color: #800000;\">&#171;(?P&lt;new_service&gt;[A-Za-z]{4})&#187;<\/span>, service)<\/li>\n<li>|filter <span style=\"color: #0000ff;\">new_file_name<\/span>=*<\/li>\n<li>|filter <span style=\"color: #0000ff;\">new_service<\/span>=*<\/li>\n<li>|chart count() by host, new_file_name, new_service, image_file<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18467 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03.png\" alt=\"\" width=\"1920\" height=\"726\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-300x113.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-1024x387.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-768x290.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-1536x581.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-24x9.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-36x14.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog03-48x18.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<p>PsExec \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b (\u043e\u0431\u044b\u0447\u043d\u043e \u0441 \u043f\u0440\u0435\u0444\u0438\u043a\u0441\u043e\u043c <strong>RemCom_<\/strong>) \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0438\u0445 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u043c\u0435\u0436\u0434\u0443 \u0445\u043e\u0441\u0442\u0430\u043c\u0438. \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u044d\u0442\u043e \u0432 \u0436\u0443\u0440\u043d\u0430\u043b\u0430\u0445 Sysmon, \u043e\u0431\u0440\u0430\u0442\u0438\u0432 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043a\u0430\u043d\u0430\u043b\u043e\u0432. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u043b\u044e\u0431\u044b\u0435 \u043a\u0430\u043d\u0430\u043b\u044b \u0442\u0438\u043f\u0430 RemCom \u0438\u043b\u0438 \u043e\u0431\u044b\u0447\u043d\u044b\u0435 \u043a\u0430\u043d\u0430\u043b\u044b stdin\/stdout\/stderr, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 PsExec.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">norm_id<\/span>=WindowsSysmon event_id IN [17, <span style=\"color: #008000;\">18<\/span>]<\/li>\n<li><span style=\"color: #000000;\">pipe IN<\/span> [<span style=\"color: #800000;\">&#171;*RemCom*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*-stdin&#187;<\/span>, <span style=\"color: #800000;\">&#171;*-stderr&#187;<\/span>, <span style=\"color: #800000;\">&#171;*-stdout&#187;<\/span>]<\/li>\n<\/ol>\n<p>\u0411\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 Impacket \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438. \u041e\u043d\u0438 \u0447\u0430\u0441\u0442\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044e\u0442\u0441\u044f \u0441\u043b\u0443\u0436\u0431\u0430\u043c\u0438 \u0438\u043b\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430. \u0414\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0442\u0430\u043a\u0438\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u043d\u0438\u0436\u0435 \u0437\u0430\u043f\u0440\u043e\u0441.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li><span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*cmd.exe*&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*\/c*&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*&amp;1*&#187;<\/span><\/li>\n<li>(parent_process In [<span style=\"color: #800000;\">&#171;*\\wmiprvse.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\mmc.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\explorer.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\services.exe&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*\/Q*&#187;<\/span> )<\/li>\n<li>OR (parent_command IN [<span style=\"color: #800000;\">&#171;*svchost.exe -k netsvcs*&#187;<\/span>,<span style=\"color: #800000;\"> &#171;*taskeng.exe*&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*Windows\\Temp\\*&#187;<\/span>)<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18470 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04.png\" alt=\"\" width=\"1920\" height=\"855\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-300x134.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-1024x456.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-768x342.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-1536x684.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-24x11.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-36x16.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog04-48x21.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>\u0414\u0430\u043c\u043f \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 Active Directory \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e NTDSUTIL<\/h4>\n<p>\u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u0432 \u0431\u043e\u043a\u043e\u0432\u043e\u043c \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0438 (\u0447\u0430\u0441\u0442\u043e \u0447\u0435\u0440\u0435\u0437 RDP) \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043c\u0435\u043d\u0430 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b GRU \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0443\u044e \u0432 Windows \u0443\u0442\u0438\u043b\u0438\u0442\u0443 <strong>ntdsutil.exe<\/strong> \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 NTDS.dit. CISA \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0442\u043e\u0447\u043d\u044b\u0435 \u0448\u0430\u0433\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043d\u0438 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e\u0442:<\/p>\n<ol>\n<li>C:\\Windows\\System32\\ntdsutil.exe <span style=\"color: #800000;\">&#171;activate instance ntds&#187;<\/span> ifm <span style=\"color: #800000;\">&#171;create full C:\\temp\\&lt;3-letter-folder&gt;&#187;<\/span> quit quit<\/li>\n<\/ol>\n<p>\u0414\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u043c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435\u043c \u00ab<strong>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u0434\u0430\u043c\u043f\u0430 \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 Active Directory<\/strong>\u00bb, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u043f\u043e\u043f\u044b\u0442\u043e\u043a \u0434\u0430\u043c\u043f\u0430 \u0444\u0430\u0439\u043b\u0430 <strong>NTDS.dit.<\/strong><\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li>((<span style=\"color: #800000;\">&#171;process<\/span>&#187; IN [<span style=\"color: #800000;\">&#171;*\\NTDSDump.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\NTDSDumpEx.exe&#187;<\/span>,<span style=\"color: #800000;\">&#171;*\\ntdsutil.exe&#187;<\/span>]) OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*ntds.dit*&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*system.hiv*&#187;<\/span>) OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*NTDSgrab.ps1*&#187;<\/span>))<\/li>\n<li>OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*ac i ntds*&#187;<\/span><span style=\"color: #0000ff;\"> command<\/span>=<span style=\"color: #800000;\">&#171;*create full*&#187;<\/span>)<\/li>\n<li>OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*\/c copy *&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*\\windows\\ntds\\ntds.dit*&#187;<\/span>)<\/li>\n<li>OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*activate instance ntds*&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*create full*&#187;<\/span>)<\/li>\n<li>OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*powershell*&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*ntds.dit*&#187;<\/span>)<\/li>\n<li>OR (<span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;*ntds.dit*&#187;<\/span> <span style=\"color: #800000;\">&#171;process&#187;<\/span> IN [<span style=\"color: #800000;\">&#171;*\\apache*&#187;<\/span>,<span style=\"color: #800000;\"> &#171;*\\tomcat*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\AppData\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\Temp\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\Public\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\PerfLogs\\*&#187;<\/span>] OR <span style=\"color: #800000;\">&#171;parent_process&#187;<\/span> IN [<span style=\"color: #800000;\">&#171;*\\apache*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\tomcat*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\AppData\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\Temp\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\Public\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\PerfLogs\\*&#187;<\/span>])<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18488 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05.png\" alt=\"\" width=\"1920\" height=\"653\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-300x102.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-1024x348.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-768x261.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-1536x522.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-24x8.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-36x12.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog05-48x16.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>\u0414\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043f\u043e\u0441\u043b\u0435 \u0434\u0430\u043c\u043f\u0430 \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 AD<\/h4>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0434\u0430\u043c\u043f\u0430 \u0444\u0430\u0439\u043b\u0430 NTDS.dit \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b GRU \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0434\u0432\u0430 \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430, <strong>ADExplorer<\/strong> \u0438 <strong>Certipy<\/strong>, \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u0432\u044b\u0432\u043e\u0434\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430. \u041e\u043d\u0438 \u0442\u0430\u043a\u0436\u0435 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438 Python \u043d\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0445\u043e\u0441\u0442\u044b \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 Certipy.<\/p>\n<p>ADExplorer (\u0443\u0442\u0438\u043b\u0438\u0442\u0430 Sysinternals) \u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u00ab\u0441\u043d\u0438\u043c\u043a\u0438\u00bb \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u0438 AD. \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f <strong>ADExplorer Snapshot Detection<\/strong>.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span><span style=\"color: #0000ff;\"> label<\/span>=Create<\/li>\n<li>(<span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\adexplorer.exe&#187;<\/span> OR <span style=\"color: #800000;\">&#171;file&#187;<\/span>=<span style=\"color: #800000;\">&#171;AdExp&#187;<\/span>)<\/li>\n<li>command=<span style=\"color: #800000;\">&#171;*snapshot*&#187; <\/span><\/li>\n<\/ol>\n<h4>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f Certipy<\/h4>\n<p>\u041d\u0430\u0431\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 Certipy (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <strong>auth, find, relay, shadow<\/strong>) \u0432 \u0441\u043e\u0447\u0435\u0442\u0430\u043d\u0438\u0438 \u0441 \u0444\u043b\u0430\u0433\u0430\u043c\u0438 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 BloodHound \u0434\u0435\u043b\u0430\u0435\u0442 \u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u043c. \u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f <strong>Certipy Tool Execution for AD CS Abuse.<\/strong><\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li>(<span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\Certipy.exe&#187;<\/span> OR <span style=\"color: #0000ff;\">file<\/span>=<span style=\"color: #800000;\">&#171;Certipy.exe&#187;<\/span> OR <span style=\"color: #0000ff;\">description<\/span>=<span style=\"color: #800000;\">&#171;*Certipy*&#187;<\/span>)<\/li>\n<li>OR<\/li>\n<li>(command IN [<span style=\"color: #800000;\">&#171;* auth *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* find *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* forge *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* relay *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* req *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* shadow *&#187;<\/span>]<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;* -bloodhound*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -ca-pfx *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -dc-ip *&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* -kirbi*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -old-bloodhound*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -pfx *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -target*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -username *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -vulnerable*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*auth -pfx*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadow auto*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadow list*&#187;<\/span>])<\/li>\n<\/ol>\n<p>\u0418\u043b\u0438 \u0434\u043b\u044f \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u043d\u0438\u044f \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 Certipy \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0437\u0430\u043f\u0440\u043e\u0441.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=&#187;Process&#187;<span style=\"color: #0000ff;\"> label<\/span>=Create<\/li>\n<li>(<span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\Certipy.exe&#187;<\/span> OR <span style=\"color: #0000ff;\">file<\/span>=<span style=\"color: #800000;\">&#171;Certipy.exe&#187;<\/span> OR <span style=\"color: #0000ff;\">description<\/span>=<span style=\"color: #800000;\">&#171;*Certipy*&#187;<\/span>)<\/li>\n<li>OR<\/li>\n<li>(command IN [<span style=\"color: #800000;\">&#171;* auth *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* find *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* forge *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* relay *&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* req *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* shadow *&#187;<\/span>]<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;* -bloodhound*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -ca-pfx *&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* -dc-ip *&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* -kirbi*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -old-bloodhound*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -pfx *&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* -target*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -username *&#187;<\/span>, <span style=\"color: #800000;\">&#171;* -vulnerable*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*auth -pfx*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadow auto*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadow list*&#187;<\/span>])<\/li>\n<\/ol>\n<h4>\u041f\u043e\u0438\u0441\u043a \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 Python<\/h4>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 Certipy \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043e\u0434 Python, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043d\u0435\u043e\u0436\u0438\u0434\u0430\u043d\u043d\u044b\u0445 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043e\u043a \u0438\u043b\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u043e\u0432 Python \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u044c\u0442\u0435 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 MSI \u0438\u043b\u0438 \u043f\u0440\u044f\u043c\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u0444\u0430\u0439\u043b\u044b Python:<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=Install<span style=\"color: #0000ff;\"> label<\/span>=Application<span style=\"color: #0000ff;\"> label<\/span>=Successful <span style=\"color: #0000ff;\">rule_description<\/span>=<span style=\"color: #800000;\">&#171;*python*&#187;<\/span><\/li>\n<li>| chart count() by user,host,rule_description<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18485 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06.png\" alt=\"\" width=\"1920\" height=\"497\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-300x78.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-1024x265.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-768x199.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-1536x398.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-24x6.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-36x9.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog06-48x12.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>\u0418\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u043d\u0430 \u043f\u0430\u043f\u043a\u0438 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445 \u044f\u0449\u0438\u043a\u043e\u0432 \u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u044f\u0449\u0438\u043a\u0430\u043c<\/h4>\n<p>\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0431\u043b\u043e\u0433\u0443 Polish Cybercommand, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0438\u0437\u043c\u0435\u043d\u0438\u043b \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043d\u0430 \u043f\u0430\u043f\u043a\u0438 \u0432 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445 \u044f\u0449\u0438\u043a\u0430\u0445, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0435\u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u0447\u0442\u0435 \u0432\u0441\u0435\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439. \u0412 Exchange Online \u044d\u0442\u043e \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0439:<\/p>\n<h4>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0434\u0435\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u043f\u043e\u043a \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445 \u044f\u0449\u0438\u043a\u043e\u0432 Exchange<\/h4>\n<ol>\n<li><span style=\"color: #0000ff;\">norm_id<\/span>=Office365<\/li>\n<li>((action IN [<span style=\"color: #800000;\">&#171;Add-MailBoxFolderPermission&#187;, &#171;Set-MailBoxFolderPermission&#187;<\/span>] <span style=\"color: #0000ff;\">-identity<\/span> IN [<span style=\"color: #800000;\">&#171;*:\\Calendar&#187;<\/span>, <span style=\"color: #800000;\">&#171;*:\\Contacts&#187;<\/span>])<\/li>\n<li>OR<\/li>\n<li>(action IN [<span style=\"color: #800000;\">&#171;AddFolderPermissions&#187;<\/span>, <span style=\"color: #800000;\">&#171;ModifyFolderPermissions&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">item_parent_folder_member_rights<\/span>=<span style=\"color: #800000;\">&#171;*ReadAny*&#187;<\/span> <span style=\"color: #0000ff;\">-item_parent_folder_name<\/span> IN [<span style=\"color: #800000;\">&#171;Calendar&#187;<\/span>, <span style=\"color: #800000;\">&#171;Contacts&#187;<\/span>]))<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18482 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07.png\" alt=\"\" width=\"1920\" height=\"646\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07.png 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-300x101.png 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-1024x345.png 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-768x258.png 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-1536x517.png 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-24x8.png 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-36x12.png 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog07-48x16.png 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u044f\u0449\u0438\u043a\u0430\u043c Exchange \u0447\u0435\u0440\u0435\u0437 API \u0437\u0430 \u043a\u043e\u0440\u043e\u0442\u043a\u0438\u0439 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u043a \u0432\u0440\u0435\u043c\u0435\u043d\u0438<\/h4>\n<ol>\n<li><span style=\"color: #0000ff;\">norm_id<\/span>=Office365 action=<span style=\"color: #800000;\">&#171;MailItemsAccessed&#187;<\/span> <span style=\"color: #0000ff;\">user_type<\/span>=<span style=\"color: #800000;\">&#171;Application&#187;<\/span><\/li>\n<li>| process eval(<span style=\"color: #800000;\">&#171;match=like(client_information, &#8216;Client=WebServices;ExchangeWebServices%&#8217;)&#187;<\/span>)<\/li>\n<li>| process eval(<span style=\"color: #800000;\">&#171;search_result=if(match) {return 1}<\/span><\/li>\n<li><span style=\"color: #800000;\">else-if(target_application==&#8217;Microsoft Graph&#8217;) {return 1}<\/span><\/li>\n<li><span style=\"color: #800000;\">else {return 0}&#187;<\/span>)<\/li>\n<li>| filter <span style=\"color: #0000ff;\">search_result<\/span>=1<\/li>\n<li>| timechart distinct_count(upn) as user_mailbox_count, distinct_list(user) as user_list, distinct_list(source_address) as source_address by target_application every 10 minutes<\/li>\n<li>| filter user_mailbox_count &gt; 5<\/li>\n<\/ol>\n<h4>\u041e\u0431\u0445\u043e\u0434 \u0437\u0430\u0449\u0438\u0442\u044b<\/h4>\n<p><strong>\u0413\u0420\u0423<\/strong> \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b Windows, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a <strong>wevtutil<\/strong>, \u0434\u043b\u044f \u043e\u0447\u0438\u0441\u0442\u043a\u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043f\u043e\u0441\u043b\u0435 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438\u043b\u0438 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439. \u042d\u0442\u0430 \u0442\u0430\u043a\u0442\u0438\u043a\u0430 \u043f\u043e\u043c\u043e\u0433\u0430\u043b\u0430 \u0438\u043c \u0441\u043a\u0440\u044b\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u043b\u0435\u0434\u044b \u0438 \u0437\u0430\u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0434\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u043f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430.<\/p>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u00ab<strong>\u041e\u0447\u0438\u0441\u0442\u043a\u0430 \u0436\u0443\u0440\u043d\u0430\u043b\u0430 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0438\u043b\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Wevtutil \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e<\/strong>\u00bb.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span><span style=\"color: #0000ff;\"> label<\/span>=Create<\/li>\n<li>(<\/li>\n<li>((<span style=\"color: #800000;\">&#171;process&#187;<\/span> IN [<span style=\"color: #800000;\">&#171;*\\powershell.exe&#187;<\/span>,<span style=\"color: #800000;\">&#171;*\\pwsh.exe*&#187;<\/span>] command IN [<span style=\"color: #800000;\">&#171;*Clear-EventLog*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*Remove-EventLog*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*Limit-EventLog*&#187;<\/span>,<span style=\"color: #800000;\">&#171;*Clear-WinEvent*&#187;<\/span>])<\/li>\n<li>OR<br \/>\n(<span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\wmic.exe&#187;<\/span> command=<span style=\"color: #800000;\">&#171;* ClearEventLog *&#187;<\/span>))<\/li>\n<li>OR<br \/>\n(<span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\wevtutil.exe&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span> IN [<span style=\"color: #800000;\">&#171;*clear-log*&#187;<\/span>,<span style=\"color: #800000;\"> &#171;* cl *&#187;<\/span>, <span style=\"color: #800000;\">&#171;*set-log*&#187;<\/span>, <span style=\"color: #800000;\">&#171;* sl *&#187;<\/span>,<span style=\"color: #800000;\">&#171;*lfn: &#171;<\/span>])<\/li>\n<li>)<\/li>\n<li>-(parent_process IN [<span style=\"color: #800000;\">&#171;C:\\Windows\\SysWOW64\\msiexec.exe&#187;<\/span>,<span style=\"color: #800000;\">&#171;C:\\Windows\\System32\\msiexec.exe&#187;<\/span>] command=<span style=\"color: #800000;\">&#171;* sl *&#187;<\/span>)<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18479 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08.jpg\" alt=\"\" width=\"1748\" height=\"506\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08.jpg 1748w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-300x87.jpg 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-1024x296.jpg 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-768x222.jpg 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-1536x445.jpg 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-24x7.jpg 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-36x10.jpg 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog08-48x14.jpg 48w\" sizes=\"auto, (max-width: 1748px) 100vw, 1748px\" \/><\/p>\n<p>\u041e\u043d\u0438 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0441\u043f\u043e\u0441\u043e\u0431, \u043a\u043e\u0442\u043e\u0440\u044b\u043c Windows <a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/001\/\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #0000ff;\">\u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 DLL-\u0444\u0430\u0439\u043b\u044b<\/span>,<\/a> \u043f\u043e\u043c\u0435\u0449\u0430\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0432\u0443\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u0434 \u0447\u0435\u0440\u0435\u0437 \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0435 \u0434\u0432\u043e\u0438\u0447\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u043e\u0431\u0445\u043e\u0434\u044f \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u00ab<strong>\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0439 \u0440\u0435\u0436\u0438\u043c \u043f\u043e\u0438\u0441\u043a\u0430 DLL \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d<\/strong>\u00bb.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\"> norm_id<\/span>=WindowSysmon <span style=\"color: #0000ff;\">event_id<\/span>=13<\/li>\n<li><span style=\"color: #0000ff;\">target_object<\/span>=<span style=\"color: #800000;\">&#8216;*\\CurrentControlSet\\Control\\Session Manager\\SafeDllSearchMode&#8217;<\/span><\/li>\n<li><span style=\"color: #0000ff;\">detail<\/span>=<span style=\"color: #800000;\">&#171;DWORD (0x00000000)&#187;<\/span><\/li>\n<\/ol>\n<h4>\u041c\u0435\u0442\u043e\u0434\u044b \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f<\/h4>\n<p>\u041e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0413\u0420\u0423 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0435 \u043c\u0435\u0442\u043e\u0434\u044b \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438, \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043a\u043b\u044e\u0447\u0435\u0439 Run \u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043f\u0430\u043f\u043a\u0438 \u00ab\u0410\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430\u00bb. \u0412\u043e\u0442 \u043a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043d\u0438\u0445:<\/p>\n<h4>\u0417\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438<\/h4>\n<p>\u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 <strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0438<\/strong>, \u0447\u0442\u043e\u0431\u044b \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u043d\u043e\u0432\u044b\u0435 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u0432\u0430\u0448\u0435\u0439 \u0441\u0440\u0435\u0434\u0435.<\/p>\n<ol>\n<li>(<span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create <span style=\"color: #800000;\">&#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\schtasks.exe&#187;<\/span> <span style=\"color: #0000ff;\">command<\/span>=<span style=\"color: #800000;\">&#171;* \/create *&#187;<\/span> <span style=\"color: #0000ff;\">-user<\/span> IN EXCLUDED_USERS)<\/li>\n<li>OR<\/li>\n<li>(<span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Registry&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Key&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Map&#187; &#171;target_object&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\*&#187;<\/span> <span style=\"color: #0000ff;\">-target_object<\/span> IN [<span style=\"color: #800000;\">&#171;*\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\Microsoft\\Windows\\UpdateOrchestrator*&#187;<\/span>] <span style=\"color: #0000ff;\">event_type<\/span>=CreateKey)<\/li>\n<li>OR<\/li>\n<li>(<span style=\"color: #0000ff;\">norm_id<\/span>=WinServer <span style=\"color: #0000ff;\">event_id<\/span>=<span style=\"color: #008000;\">4698<\/span><\/li>\n<li>(-command IN [<span style=\"color: #800000;\">&#171;*MpCmdRun.exe&#187;<\/span>,<span style=\"color: #800000;\">&#171;*msfeedssync.exe&#187;<\/span>,<span style=\"color: #800000;\">&#171;*usoclient.exe&#187;<\/span>] OR (<span style=\"color: #0000ff;\">-task<\/span>=<span style=\"color: #800000;\">&#171;\\CreateExplorerShellUnelevatedTask&#187;<\/span> command=<span style=\"color: #800000;\">&#171;*explorer.exe&#187;<\/span>)))<\/li>\n<\/ol>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u0431\u0449\u0435\u0435 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u043d\u043e\u0432\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 (\u0438 \u043c\u043e\u0436\u0435\u0442 \u0434\u0430\u0432\u0430\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u043e\u0431\u044a\u0435\u043c \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432), \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0432\u043c\u0435\u0441\u0442\u043e \u043d\u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 <strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0438<\/strong>, \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0435 \u0437\u0430\u0434\u0430\u0447\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u044f\u0442 \u0438\u0437 \u043c\u0435\u0441\u0442, \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u041f\u041e.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">norm_id<\/span>=WinServer <span style=\"color: #0000ff;\">label<\/span>=Schedule <span style=\"color: #0000ff;\">label<\/span>=Task <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*C:\\Users\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\Windows\\Temp\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\ProgramData\\*&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">-command<\/span>=<span style=\"color: #800000;\">&#171;C:\\ProgramData\\Microsoft\\Windows Defender\\Platform\\*&#187; <\/span><\/li>\n<\/ol>\n<p>\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0440\u0430\u0437\u0434\u0435\u043b\u0443 IOC CISA, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0441\u043e\u0437\u0434\u0430\u043b \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XML-\u0444\u0430\u0439\u043b\u0430, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u044d\u0442\u0443 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u00ab<strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e XML-\u0444\u0430\u0439\u043b\u0430<\/strong>\u00bb.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<span style=\"color: #800000;\"> &#171;process&#187;<\/span>=<span style=\"color: #800000;\">&#171;*\\schtasks.exe&#187;<\/span><\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*\/create*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*-create*&#187;<\/span>] command IN [<span style=\"color: #800000;\">&#171;*\/xml*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*-xml*&#187;<\/span>]<\/li>\n<li>(<span style=\"color: #0000ff;\">-integrity_level<\/span>=system OR <span style=\"color: #0000ff;\">-integrity_label<\/span>=*system*)<\/li>\n<li><span style=\"color: #0000ff;\">-command<\/span> = *.xml*<\/li>\n<li>((<span style=\"color: #0000ff;\">-parent_process<\/span> IN [<span style=\"color: #800000;\">&#171;*:\\ProgramData\\OEM\\UpgradeTool\\CareCenter_*\\BUnzip\\Setup_msi.exe&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*:\\Program Files\\Axis Communications\\AXIS Camera Station\\SetupActions.exe&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*:\\Program Files\\Axis Communications\\AXIS Device Manager\\AdmSetupActions.exe&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*:\\Program Files (x86)\\Zemana\\AntiMalware\\AntiMalware.exe&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*:\\Program Files\\Dell\\SupportAssist\\pcdrcui.exe&#187;<\/span> ] )<\/li>\n<li>OR (<span style=\"color: #0000ff;\">-parent_process<\/span> = <span style=\"color: #800000;\">&#171;*\\rundll32.exe&#187;<\/span> command = <span style=\"color: #800000;\">&#171;*:\\\\WINDOWS\\\\Installer\\\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc&#187;<\/span> ))<\/li>\n<\/ol>\n<h4>\u0410\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a \u0438 \u0437\u0430\u043f\u0443\u0441\u043a<\/h4>\n<p>\u0414\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0437\u0430\u043f\u0438\u0441\u0435\u0439 \u0432 \u043a\u043b\u044e\u0447\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0438\u043b\u0438 \u043f\u043e\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a \u0432 \u043f\u0430\u043f\u043a\u0443 \u00ab\u0410\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u00bb \u2013 \u0448\u0438\u0440\u043e\u043a\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0443\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u043e\u0441\u0442\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u043a\u0430\u043a \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u0435\u043c, \u0442\u0430\u043a \u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u041f\u041e \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 Windows. \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u043b\u044e\u0431\u044b\u0435 \u0438\u0437 \u044d\u0442\u0438\u0445 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u00ab<strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043a\u043b\u044e\u0447\u0435\u0439 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u0430<\/strong>\u00bb, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u0442 \u0437\u0430\u043f\u0438\u0441\u0438 \u0432 \u0440\u0435\u0435\u0441\u0442\u0440\u0435 \u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u0438 \u043a\u043b\u044e\u0447\u0435\u0439 Run \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432 Startup.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=Registry <span style=\"color: #0000ff;\">label<\/span>=Set label=Value <span style=\"color: #0000ff;\">-event_type<\/span>=info<\/li>\n<li>target_object IN [<span style=\"color: #800000;\">&#171;*\\software\\Microsoft\\Windows\\CurrentVersion\\Run*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\software\\Microsoft\\Windows NT\\CurrentVersion\\Windows*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders*&#187;<\/span>]<\/li>\n<li>detail IN [<span style=\"color: #800000;\">&#171;*C:\\Windows\\Temp\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\$Recycle.bin\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\Temp\\*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*C:\\Users\\Public\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\C:ProgramData\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\Users\\Default\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*C:\\Users\\Desktop\\*&#187;<\/span>,<\/li>\n<li><span style=\"color: #800000;\">&#171;*\\AppData\\Local\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*Public\\*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*wscript*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*cscript*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*powershell.exe*&#187;<\/span>]<\/li>\n<li><span style=\"color: #0000ff;\">-detail<\/span>=<span style=\"color: #800000;\">&#171;*\\AppData\\Local\\Microsoft\\Teams\\Update.exe *&#187; <\/span><\/li>\n<\/ol>\n<h4>\u0412\u043e\u0437\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/h4>\n<p><strong>GRU<\/strong> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 <strong>\u043c\u0435\u0442\u043e\u0434\u044b, \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0432\u043e\u0437\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/strong>, \u043d\u0435 \u0434\u043b\u044f \u043f\u043e\u043b\u043d\u043e\u0433\u043e \u0443\u043d\u0438\u0447\u0442\u043e\u0436\u0435\u043d\u0438\u044f \u0441\u0438\u0441\u0442\u0435\u043c, \u0430 \u0434\u043b\u044f <strong>\u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432<\/strong>, <strong>\u0441\u0440\u044b\u0432\u0430 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f<\/strong> \u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f <strong>\u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e\u0441\u0442\u0438<\/strong> \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0438 \u043f\u043e\u0441\u043b\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439. \u041e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 <strong>\u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b Windows<\/strong>, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a <strong>wevtutil.exe<\/strong> \u0434\u043b\u044f \u043e\u0447\u0438\u0441\u0442\u043a\u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0438 <strong>vssadmin.exe<\/strong> \u0434\u043b\u044f \u043c\u0430\u043d\u0438\u043f\u0443\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0442\u0435\u043d\u0435\u0432\u044b\u043c\u0438 \u043a\u043e\u043f\u0438\u044f\u043c\u0438 \u0442\u043e\u043c\u043e\u0432, \u0447\u0442\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0443 \u043a \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044e \u0440\u0435\u0437\u0435\u0440\u0432\u043d\u043e\u0433\u043e \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u043a\u0440\u0438\u043c\u0438\u043d\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f.<\/p>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a <strong>vssadmin<\/strong>, <strong>wbadmin<\/strong> \u0438\u043b\u0438 PowerShell, \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0442\u0435\u043d\u0435\u0432\u044b\u0445 \u043a\u043e\u043f\u0438\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0434\u043b\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u043b\u0438 \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span><span style=\"color: #0000ff;\"> label<\/span>=Create<\/li>\n<li>(( <span style=\"color: #800000;\">&#171;process&#187; IN [&#171;*\\vssadmin.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\wbadmin.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\diskshadow.exe&#187;<\/span>]<\/li>\n<li>OR file IN [<span style=\"color: #800000;\">&#171;VSSADMIN.EXE&#187;<\/span>, <span style=\"color: #800000;\">&#171;WBADMIN.EXE&#187;<\/span>, <span style=\"color: #800000;\">&#171;diskshadow.exe&#187;<\/span>])<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*create*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadow*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*resize*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*shadowstorage*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\/MaxSize=*&#187;<\/span>])<\/li>\n<li>OR (<span style=\"color: #800000;\">&#171;process&#187; IN<\/span> [<span style=\"color: #800000;\">&#171;*\\powershell.exe&#187;<\/span>, <span style=\"color: #800000;\">&#171;*\\pwsh.exe&#187;<\/span>]<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*Get-WmiObject*&#187;<\/span>, &#171;*gwmi*&#187;, &#171;*Get-CimInstance*&#187;, &#171;*gcim*&#187;]<\/li>\n<li><span style=\"color: #0000ff;\">command<\/span>=&#187;*Win32_ShadowCopy*&#187;<\/li>\n<li>command IN [&#171;*Create()*&#187;, &#171;*CreateShadowCopy*&#187;, &#171;*Enable-ComputerRestore*&#187;, &#171;*Checkpoint-Computer*&#187;])<\/li>\n<\/ol>\n<h4>\u041e\u0445\u043e\u0442\u0430 \u043d\u0430 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c<\/h4>\n<p>\u0412 \u0445\u043e\u0434\u0435 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0413\u0420\u0423 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u043e \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0432\u0430\u0436\u043d\u044b\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u043f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u043a\u0440\u0430\u0436\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u0432\u044b\u0432\u043e\u0434 \u0434\u0430\u043d\u043d\u044b\u0445. \u0421\u0440\u0435\u0434\u0438 \u043d\u0438\u0445 \u043e\u0441\u043e\u0431\u043e \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c <strong>HEADLACE<\/strong>, \u043c\u043d\u043e\u0433\u043e\u0441\u0442\u0443\u043f\u0435\u043d\u0447\u0430\u0442\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0430\u0446\u0438\u0438 \u0431\u0435\u0437\u0433\u043e\u043b\u043e\u0432\u043e\u0433\u043e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438 \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 <strong>MASEPIE<\/strong>, \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0434\u043b\u044f \u0432\u044b\u0432\u043e\u0434\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u043d\u0435\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0441\u044f \u0432 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 \u0413\u0420\u0423, \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0442\u0438\u0432 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432 \u0423\u043a\u0440\u0430\u0438\u043d\u044b.<\/p>\n<h4>HEADLACE Execution Traces hunting query (\u0417\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u043f\u043e\u0438\u0441\u043a \u0441\u043b\u0435\u0434\u043e\u0432 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f)<\/h4>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0445 \u0443\u0442\u0438\u043b\u0438\u0442 \u0441 \u0448\u0430\u0431\u043b\u043e\u043d\u0430\u043c\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u0447\u0430\u0441\u0442\u043e \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u0434\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c\u044e, \u0442\u0430\u043a\u043e\u0439 \u043a\u0430\u043a \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0430\u0446\u0438\u044f \u0431\u0435\u0437\u0433\u043e\u043b\u043e\u0432\u043e\u0433\u043e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438\u043b\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0437\u0430\u0434\u0430\u0447.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create command IN [<span style=\"color: #800000;\">&#171;*headless-new -disable-gpu*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*activate instance ntds*&#187;<\/span> ,<span style=\"color: #800000;\">&#171;*ssh -Nf*&#187;<\/span> ,<span style=\"color: #800000;\">&#171;*schtasks \/create \/xml*&#187;<\/span>]<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18476 size-full\" src=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09.jpg\" alt=\"\" width=\"1920\" height=\"445\" srcset=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09.jpg 1920w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-300x70.jpg 300w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-1024x237.jpg 1024w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-768x178.jpg 768w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-1536x356.jpg 1536w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-24x6.jpg 24w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-36x8.jpg 36w, https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/blog09-48x11.jpg 48w\" sizes=\"auto, (max-width: 1920px) 100vw, 1920px\" \/><\/p>\n<h4>HEADLACE Batch Script Artifact Hunting query (\u0417\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u043f\u043e\u0438\u0441\u043a \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432 \u043f\u0430\u043a\u0435\u0442\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432)<\/h4>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u0448\u0430\u0431\u043b\u043e\u043d\u044b \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u0438 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043f\u0430\u043a\u0435\u0442\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0432 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u043c \u041f\u041e GRU HEADLACE, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u0435 \u0431\u0435\u0437\u0433\u043e\u043b\u043e\u0432\u044b\u043c \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u043c, \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0445 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432.<\/p>\n<ol>\n<li><span style=\"color: #0000ff;\">label<\/span>=<span style=\"color: #800000;\">&#171;Process&#187;<\/span> <span style=\"color: #0000ff;\">label<\/span>=Create<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*headless-new -disable-gpu*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*chcp 65001*&#187;<\/span>]<\/li>\n<li>command IN [<span style=\"color: #800000;\">&#171;*taskkill \/im msedge.exe \/f*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*whoami*%programdata%*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*timeout*&#187;<\/span>, <span style=\"color: #800000;\">&#171;*copy*%programdata%*&#187;<\/span>,<span style=\"color: #800000;\">&#171;*del \/q \/f *%programdata%*&#187;<\/span>,<span style=\"color: #800000;\">&#171;*del \/q \/f *%userprofile%\\Downloads\\*&#187;<\/span>,<span style=\"color: #800000;\">&#171;*del \/q \/f*&#187;<\/span>]<\/li>\n<\/ol>\n<h4>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Logpoint Muninn<\/h4>\n<p>\u0420\u0435\u0448\u0435\u043d\u0438\u0435 Logpoint \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b (NDR) <strong>Muninn<\/strong> \u043c\u043e\u0436\u0435\u0442 \u0441\u044b\u0433\u0440\u0430\u0442\u044c \u0432\u0430\u0436\u043d\u0443\u044e \u0440\u043e\u043b\u044c \u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u043d\u0430 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u0431\u044b\u0447\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0413\u0420\u0423 \u043f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430. \u0425\u043e\u0442\u044f \u043c\u043d\u043e\u0433\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b \u044d\u0442\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0445 \u0438 \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438, \u043e\u043d\u0438 \u0442\u0430\u043a\u0436\u0435 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u043d\u044b\u0435 \u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u043f\u0430\u0442\u0442\u0435\u0440\u043d\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f.<\/p>\n<p>\u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0437 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u044b\u0445 \u043d\u0438\u0436\u0435 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043f\u043e\u043b\u0435\u0437\u043d\u044b \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0438\u0445 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u044f \u0432 \u0441\u0435\u0442\u0438:<\/p>\n<ul>\n<li>\u0411\u0440\u0443\u0442\u0444\u043e\u0440\u0441 RDP \u0438\u0437 \u0432\u043d\u0435\u0448\u043d\u0435\u0439 \u0441\u0435\u0442\u0438 \u0432\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044e\u044e<\/li>\n<li>\u0411\u043e\u043a\u043e\u0432\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435<\/li>\n<li>\u0411\u043e\u043a\u043e\u0432\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043e\u0431\u0449\u0438\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 SMB<\/li>\n<li>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c DarkNet \u0438\u043b\u0438 Tor<\/li>\n<li>\u0421\u043b\u0438\u0432 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e RPC<\/li>\n<li>\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0431\u043e\u043b\u044c\u0448\u043e\u0433\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u0444\u0430\u0439\u043b\u043e\u0432<\/li>\n<li>\u041e\u0447\u0438\u0441\u0442\u043a\u0430 \u0436\u0443\u0440\u043d\u0430\u043b\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0438\u043b\u0438 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e RPC<\/li>\n<li>\u041e\u0442\u043f\u0440\u0430\u0432\u043a\u0430 \u0431\u043e\u043b\u044c\u0448\u043e\u0433\u043e \u043e\u0431\u044a\u0435\u043c\u0430 \u0434\u0430\u043d\u043d\u044b\u0445<\/li>\n<\/ul>\n<h3>\u041c\u0435\u0440\u044b \u043f\u043e \u0441\u043d\u0438\u0436\u0435\u043d\u0438\u044e \u0440\u0438\u0441\u043a\u043e\u0432 \u0438 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438<\/h3>\n<h4>\u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438<\/h4>\n<h4>\u041e\u0431\u0443\u0447\u0435\u043d\u0438\u0435 \u043f\u043e \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044e \u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0438\u0438<\/h4>\n<ul>\n<li><strong>\u0420\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0441\u0438\u043c\u0443\u043b\u044f\u0446\u0438\u0438 \u0444\u0438\u0448\u0438\u043d\u0433\u0430<\/strong>: \u041f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u0435 \u0440\u0435\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u043d\u044b\u0435 \u0443\u0447\u0435\u043d\u0438\u044f \u043f\u043e \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u0435 \u0438 \u043e\u0431\u043c\u0435\u043d\u0443 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f\u043c\u0438, \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0449\u0438\u0435 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438 \u0444\u0438\u0448\u0438\u043d\u0433\u0430, \u0441\u043c\u0438\u0448\u0438\u043d\u0433\u0430 \u0438 \u043f\u0440\u0435\u0442\u0435\u043a\u0441\u0442\u0438\u043d\u0433\u0430.<\/li>\n<li><strong>\u0411\u044b\u0441\u0442\u0440\u043e\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f\u0445<\/strong>: \u0423\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0435 \u0447\u0435\u0442\u043a\u0438\u0439 \u0438 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0434\u043b\u044f \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u043e\u0432 \u043f\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044e \u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u043e\u043f\u044b\u0442\u043a\u0430\u0445 \u0444\u0438\u0448\u0438\u043d\u0433\u0430 \u0438\u043b\u0438 \u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0438\u0438.<\/li>\n<li><strong>\u0417\u0430\u043a\u0440\u0435\u043f\u0438\u0442\u0435 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u0437\u043d\u0430\u043d\u0438\u044f<\/strong>: \u041f\u0440\u043e\u0432\u0435\u0434\u0438\u0442\u0435 \u0446\u0435\u043b\u0435\u0432\u044b\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0435\u043d\u0438\u043d\u0433\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u043f\u0430\u043b\u0438\u0441\u044c \u043d\u0430 \u0441\u0438\u043c\u0443\u043b\u044f\u0446\u0438\u0438, \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0432 \u043e\u0448\u0438\u0431\u043a\u0438 \u0432 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0443\u0440\u043e\u043a\u0438.<\/li>\n<\/ul>\n<h4>\u041e\u0431\u043d\u043e\u0432\u043b\u044f\u0439\u0442\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u0435<\/h4>\n<ul>\n<li><strong>\u0421\u0432\u043e\u0435\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0439\u0442\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043e\u0442 \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u043e\u0432:<\/strong> \u0423\u0431\u0435\u0434\u0438\u0442\u0435\u0441\u044c, \u0447\u0442\u043e \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u044b, \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u043a\u043b\u0438\u0435\u043d\u0442\u044b \u0438 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u044e\u0442 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u043f\u0430\u0442\u0447\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u043a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u043d\u0438 \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b.<\/li>\n<li><strong>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0441\u043d\u0438\u0436\u0435\u043d\u0438\u044e \u0440\u0438\u0441\u043a\u043e\u0432, \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u043c\u044b\u0435 \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u043e\u043c<\/strong>: \u0415\u0441\u043b\u0438 \u043f\u0430\u0442\u0447 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u0441\u0440\u0430\u0437\u0443, \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u0435 \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043e\u0431\u0445\u043e\u0434\u043d\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438, \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u043e\u043c.<\/li>\n<li><strong>\u0420\u0430\u0441\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u043f\u0440\u0438\u043e\u0440\u0438\u0442\u0435\u0442\u044b \u043f\u043e \u0441\u0442\u0435\u043f\u0435\u043d\u0438 \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e\u0441\u0442\u0438<\/strong>: \u041f\u0440\u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u044b\u044f\u0432\u0438\u0442\u0435 \u0438 \u0443\u0441\u0442\u0440\u0430\u043d\u0438\u0442\u0435 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0438\u043b\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438.<\/li>\n<\/ul>\n<h4>\u041f\u0440\u0438\u043c\u0435\u043d\u044f\u0439\u0442\u0435 \u043f\u0440\u0438\u043d\u0446\u0438\u043f \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u0445 \u043f\u0440\u0430\u0432 \u0434\u043e\u0441\u0442\u0443\u043f\u0430<\/h4>\n<ul>\n<li><strong>\u041e\u0433\u0440\u0430\u043d\u0438\u0447\u044c\u0442\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f<\/strong>: \u041f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u043a\u0430\u0436\u0434\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0438 \u043a\u0430\u0436\u0434\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u0441\u043b\u0443\u0436\u0431\u044b \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0435 \u043f\u0440\u0430\u0432\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0438\u0445 \u0440\u0430\u0431\u043e\u0442\u044b.<\/li>\n<li><strong>\u0420\u0430\u0437\u0434\u0435\u043b\u0438\u0442\u0435 \u0440\u043e\u043b\u0438 \u0441 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438<\/strong>: \u041e\u0442\u0434\u0435\u043b\u0438\u0442\u0435 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u043e\u0442 \u043f\u043e\u0432\u0441\u0435\u0434\u043d\u0435\u0432\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0441\u0440\u0435\u0434, \u0447\u0442\u043e\u0431\u044b \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c.<\/li>\n<li><strong>\u0420\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438<\/strong>: \u0415\u0436\u0435\u043a\u0432\u0430\u0440\u0442\u0430\u043b\u044c\u043d\u043e (\u0438\u043b\u0438 \u043f\u043e\u0441\u043b\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439) \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0439\u0442\u0435 \u043f\u0440\u0430\u0432\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438 \u0443\u0434\u0430\u043b\u044f\u0439\u0442\u0435 \u0443\u0441\u0442\u0430\u0440\u0435\u0432\u0448\u0438\u0435 \u0438\u043b\u0438 \u0438\u0437\u0431\u044b\u0442\u043e\u0447\u043d\u044b\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438.<\/li>\n<\/ul>\n<h4>\u0422\u0440\u0435\u0431\u043e\u0432\u0430\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u0443\u044e \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e<\/h4>\n<ul>\n<li><strong>\u041c\u043d\u043e\u0433\u043e\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f (MFA)<\/strong>: \u0422\u0440\u0435\u0431\u0443\u0439\u0442\u0435 MFA \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0434\u043b\u044f \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0445, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0445 \u0438 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0445, \u0447\u0442\u043e\u0431\u044b \u0433\u0430\u0440\u0430\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c, \u0447\u0442\u043e \u043e\u0434\u043d\u0438\u0445 \u0443\u043a\u0440\u0430\u0434\u0435\u043d\u043d\u044b\u0445 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u0431\u0443\u0434\u0435\u0442 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430.<\/li>\n<li><strong>\u041d\u0430\u0434\u0435\u0436\u043d\u044b\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0432 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u0438 \u043f\u0430\u0440\u043e\u043b\u0435\u0439<\/strong>: \u0423\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0435 \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u0443\u044e \u0434\u043b\u0438\u043d\u0443 \u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0430\u0440\u043e\u043b\u0435\u0439, \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u0442\u0435 \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0439\u0442\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u0441\u043b\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u043d\u0435\u0443\u0434\u0430\u0447\u043d\u044b\u0445 \u043f\u043e\u043f\u044b\u0442\u043e\u043a \u0432\u0445\u043e\u0434\u0430. \u042d\u0442\u0438 \u043c\u0435\u0440\u044b \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0430\u0442\u0430\u043a\u0438 \u043c\u0435\u0442\u043e\u0434\u043e\u043c \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u0438 \u043f\u043e\u0434\u0431\u043e\u0440\u043a\u0443 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445.<\/li>\n<\/ul>\n<h4>\u0421\u0435\u0433\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u0441\u0435\u0442\u044c<\/h4>\n<ul>\n<li><strong>\u041c\u0438\u043a\u0440\u043e\u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f<\/strong>: \u0420\u0430\u0437\u0434\u0435\u043b\u0438\u0442\u0435 \u0441\u0435\u0442\u044c \u043d\u0430 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0437\u043e\u043d\u044b (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043c\u0435\u043d\u0430) \u0438 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u044c\u0442\u0435 \u0441\u0442\u0440\u043e\u0433\u0438\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043c\u0435\u0436\u0434\u0443 \u043d\u0438\u043c\u0438.<\/li>\n<li><strong>\u0417\u0430\u0449\u0438\u0442\u0438\u0442\u0435 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u044b\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b<\/strong>: \u0420\u0430\u0437\u043c\u0435\u0441\u0442\u0438\u0442\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0441 \u0432\u044b\u0441\u043e\u043a\u043e\u0439 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043c\u0435\u043d\u0430, \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0438 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430 \u0440\u0435\u0437\u0435\u0440\u0432\u043d\u044b\u0445 \u043a\u043e\u043f\u0438\u0439, \u0437\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438 \u0431\u0440\u0430\u043d\u0434\u043c\u0430\u0443\u044d\u0440\u0430\u043c\u0438 \u0438\u043b\u0438 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u043c\u0438 \u0445\u043e\u0441\u0442\u0430\u043c\u0438.<\/li>\n<\/ul>\n<h4>\u0423\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c<\/h4>\n<ul>\n<li><strong>\u0415\u0436\u0435\u0434\u043d\u0435\u0432\u043d\u044b\u0439 \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439<\/strong>: \u0412\u0441\u0435 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u044b \u0434\u043e\u043b\u0436\u043d\u044b \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0440\u0443\u0442\u0438\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u043f\u043e\u0434 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438 \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u0443\u044e \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u0437\u0430\u0434\u0430\u0447, \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0438\u0445 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0430\u0432. \u0422\u0430\u043a\u043e\u0435 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u0441\u0432\u0435\u0441\u0442\u0438 \u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c\u0443 \u0432\u043e\u0437\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u0438\u043b\u0438 \u0444\u0438\u0448\u0438\u043d\u0433\u0430 \u043d\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441 \u0432\u044b\u0441\u043e\u043a\u0438\u043c \u0443\u0440\u043e\u0432\u043d\u0435\u043c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439.<\/li>\n<li><strong>\u0418\u0437\u043e\u043b\u044f\u0446\u0438\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432<\/strong>: \u041d\u0435 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u0439\u0442\u0435 \u0432\u0445\u043e\u0434 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u0431\u0435\u0437 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439. \u041e\u0433\u0440\u0430\u043d\u0438\u0447\u044c\u0442\u0435 \u0438\u0445 \u0432\u0445\u043e\u0434 \u043d\u0430 \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u044b\u0435, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u0435 \u0445\u043e\u0441\u0442\u044b \u0438\u043b\u0438 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0447\u0442\u043e\u0431\u044b \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e\u0441\u0442\u044c \u043a\u0440\u0430\u0436\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u0435\u0442\u0438.<\/li>\n<\/ul>\n<h4>\u0426\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0430\u0443\u0434\u0438\u0442 \u0438 \u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432<\/h4>\n<ul>\n<li><strong>\u041a\u043e\u043c\u043f\u043b\u0435\u043a\u0441\u043d\u043e\u0435 \u0441\u0431\u043e\u0440\u0430 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432<\/strong>: \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u0435 \u0438 \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 \u043d\u0430 \u0432\u0441\u0435\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 \u2013 \u0436\u0443\u0440\u043d\u0430\u043b\u044b \u0441\u043e\u0431\u044b\u0442\u0438\u0439 Windows, \u0436\u0443\u0440\u043d\u0430\u043b\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0438 \u0431\u0430\u0437 \u0434\u0430\u043d\u043d\u044b\u0445, \u0436\u0443\u0440\u043d\u0430\u043b\u044b \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0445 \u0441\u043b\u0443\u0436\u0431 \u0438 API, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441\u0435\u0442\u0435\u0432\u0430\u044f \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u044f. \u041f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0439\u0442\u0435 \u0432\u0441\u0435 \u044d\u0442\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 SIEM, \u0447\u0442\u043e\u0431\u044b \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u043f\u043e\u043b\u043d\u0443\u044e \u0432\u0438\u0434\u0438\u043c\u043e\u0441\u0442\u044c \u0438 \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0430\u043d\u0430\u043b\u0438\u0437 \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438.<\/li>\n<li><strong>\u041f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f<\/strong>: \u0412\u0432\u0435\u0434\u0438\u0442\u0435 \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u0440\u043e\u043a \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u0448\u0435\u0441\u0442\u044c \u043c\u0435\u0441\u044f\u0446\u0435\u0432 (\u0438\u043b\u0438 \u0431\u043e\u043b\u0435\u0435 \u0434\u043b\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u0440\u043e\u043a \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 \u043d\u043e\u0440\u043c\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u0438\u043b\u0438 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u043c\u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438). \u042d\u0442\u043e \u0433\u0430\u0440\u0430\u043d\u0442\u0438\u0440\u0443\u0435\u0442, \u0447\u0442\u043e \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u044b \u043e\u0441\u0442\u0430\u043d\u0443\u0442\u0441\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u043c\u0438 \u0434\u043b\u044f \u0442\u0449\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u0432 \u0438 \u043a\u0440\u0438\u043c\u0438\u043d\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430.<\/li>\n<\/ul>\n<h4>\u0420\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 EDR \u0438 NDR<\/h4>\n<ul>\n<li><strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u0443\u0433\u0440\u043e\u0437\u044b \u043d\u0430 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0442\u043e\u0447\u043a\u0430\u0445 (EDR)<\/strong>: \u0420\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0439\u0442\u0435 \u0430\u0433\u0435\u043d\u0442\u044b \u043d\u0430 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0442\u043e\u0447\u043a\u0430\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0445\u043e\u0441\u0442\u043e\u0432, \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u044e\u0442 \u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u044e\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435, \u0441\u043e\u043a\u0440\u0430\u0449\u0430\u044e\u0442 \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u044c \u0430\u0442\u0430\u043a\u0438 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u044b\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u0432\u0430\u0448\u0443 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u0443 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u044f \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439.<\/li>\n<li><strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432 \u0441\u0435\u0442\u0438 (NDR)<\/strong>: \u0421\u043e\u0431\u0438\u0440\u0430\u0439\u0442\u0435 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0439\u0442\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 (\u0437\u0430\u0445\u0432\u0430\u0442\u044b \u043f\u0430\u043a\u0435\u0442\u043e\u0432, \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u0442\u043e\u043a\u043e\u0432, \u0436\u0443\u0440\u043d\u0430\u043b\u044b DNS \u0438 HTTP), \u0447\u0442\u043e\u0431\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0442\u044c \u043b\u0430\u0442\u0435\u0440\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435, \u0442\u0440\u0430\u0444\u0438\u043a \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0438\u043b\u0438 \u0432\u044b\u043d\u043e\u0441 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043f\u0440\u043e\u043f\u0443\u0449\u0435\u043d\u044b EDR. NDR \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u043e\u0431\u0437\u043e\u0440, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044f \u0432\u0430\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0442\u044c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u0434\u0430\u0436\u0435 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0430\u0433\u0435\u043d\u0442\u0430 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u0439 \u0442\u043e\u0447\u043a\u0438.<\/li>\n<\/ul>\n<h4>\u0413\u043e\u0442\u043e\u0432\u043d\u043e\u0441\u0442\u044c \u043a \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044e \u043d\u0430 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u044b<\/h4>\n<ul>\n<li><strong>\u041d\u0430\u0441\u0442\u043e\u043b\u044c\u043d\u044b\u0435 \u0438 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0443\u0447\u0435\u043d\u0438\u044f<\/strong>: \u0420\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0442\u0435\u0441\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u0441\u0432\u043e\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u0432 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 \u0438\u043c\u0438\u0442\u0430\u0446\u0438\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u044f, \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u043f\u0440\u043e\u0431\u0435\u043b\u044b \u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0438, \u044d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u0438 \u0438 \u0441\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u043d\u0438\u0438.<\/li>\n<li><strong>\u0410\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439<\/strong>: \u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0439 \u043e\u043f\u044b\u0442 \u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0439\u0442\u0435 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b, \u0447\u0442\u043e\u0431\u044b \u0443\u0441\u0438\u043b\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043c\u0435\u0440\u044b \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/li>\n<\/ul>\n<h4>\u041e\u0431\u0435\u0441\u043f\u0435\u0447\u044c\u0442\u0435 \u043d\u0430\u0434\u0435\u0436\u043d\u043e\u0435 \u0440\u0435\u0437\u0435\u0440\u0432\u043d\u043e\u0435 \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435<\/h4>\n<ul>\n<li><strong>\u041f\u0440\u0430\u0432\u0438\u043b\u043e 3-2-1<\/strong>: \u0425\u0440\u0430\u043d\u0438\u0442\u0435 \u0442\u0440\u0438 \u043a\u043e\u043f\u0438\u0438 \u0432\u0430\u0436\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u0434\u0432\u0443\u0445 \u0440\u0430\u0437\u043d\u044b\u0445 \u0442\u0438\u043f\u0430\u0445 \u043d\u043e\u0441\u0438\u0442\u0435\u043b\u0435\u0439, \u043f\u0440\u0438\u0447\u0435\u043c \u043e\u0434\u043d\u0430 \u043a\u043e\u043f\u0438\u044f \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u043e\u0442 \u0441\u0435\u0442\u0438 \u0438\u043b\u0438 \u0445\u0440\u0430\u043d\u0438\u0442\u044c\u0441\u044f \u0432\u043d\u0435 \u043e\u0444\u0438\u0441\u0430.<\/li>\n<li><strong>\u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430<\/strong>: \u0420\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0442\u0435\u0441\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0440\u0435\u0437\u0435\u0440\u0432\u043d\u044b\u0445 \u043a\u043e\u043f\u0438\u0439, \u0447\u0442\u043e\u0431\u044b \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u0446\u0435\u043b\u043e\u0441\u0442\u043d\u043e\u0441\u0442\u044c \u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430.<\/li>\n<\/ul>\n<p>\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a: <span style=\"color: #0000ff;\"><a style=\"color: #0000ff;\" href=\"https:\/\/www.logpoint.com\/en\/blog\/frontline-intel-pinpointing-grus-ttps-in-the-recent-campaign\/\" target=\"_blank\" rel=\"noopener\">Frontline Intel: Pinpointing GRU\u2019s TTPs in the Recent Campaign<\/a><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0421\u043e\u0432\u043c\u0435\u0441\u0442\u043d\u043e\u0435 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u043e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (CSA) AA25-141A \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438 \u043c\u043d\u043e\u0433\u043e\u0433\u0440\u0430\u043d\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u043f\u0440\u0438\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c\u043e\u0439 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0439 \u0413\u0420\u0423 \u043f\u043e\u0434\u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u044e 26165, \u0442\u0430\u043a\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u043c\u0443 \u043a\u0430\u043a APT28, Fancy Bear, Forest Blizzard \u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0443 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u0441\u0435\u0432\u0434\u043e\u043d\u0438\u043c\u043e\u0432. \u0421 \u043d\u0430\u0447\u0430\u043b\u0430 2022 \u0433\u043e\u0434\u0430 \u044d\u0442\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u0431\u0435\u0437\u0436\u0430\u043b\u043e\u0441\u0442\u043d\u043e \u0430\u0442\u0430\u043a\u0443\u0435\u0442 \u0437\u0430\u043f\u0430\u0434\u043d\u044b\u0435 \u043b\u043e\u0433\u0438\u0441\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0438 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438, \u0443\u0447\u0430\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0432 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0435 \u0423\u043a\u0440\u0430\u0438\u043d\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043a\u0430\u043a \u0441\u0442\u0430\u0440\u044b\u0435, \u0442\u0430\u043a \u0438 \u043d\u043e\u0432\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 [&hellip;]<\/p>\n","protected":false},"author":7163,"featured_media":18455,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[138],"tags":[],"class_list":["post-18454","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-stati"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u261d \u0411\u043b\u043e\u0433 Oberig IT<\/title>\n<meta name=\"description\" content=\"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u26a1 \u0411\u043b\u043e\u0433 Oberig IT \u0434\u043b\u044f \u043f\u0430\u0440\u0442\u043d\u0435\u0440\u043e\u0432-\u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432 \u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0437\u0430\u043a\u0430\u0437\u0447\u0438\u043a\u043e\u0432\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/\" \/>\n<meta property=\"og:locale\" content=\"ru_RU\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u261d \u0411\u043b\u043e\u0433 Oberig IT\" \/>\n<meta property=\"og:description\" content=\"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u26a1 \u0411\u043b\u043e\u0433 Oberig IT \u0434\u043b\u044f \u043f\u0430\u0440\u0442\u043d\u0435\u0440\u043e\u0432-\u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432 \u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0437\u0430\u043a\u0430\u0437\u0447\u0438\u043a\u043e\u0432\" \/>\n<meta property=\"og:url\" content=\"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/\" \/>\n<meta property=\"og:site_name\" content=\"Oberig IT\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/Oberig.disti\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-13T13:05:41+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-03T06:16:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1350\" \/>\n\t<meta property=\"og:image:height\" content=\"450\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Iryna Vlasenko\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u043e\u043c\" \/>\n\t<meta name=\"twitter:data1\" content=\"Iryna Vlasenko\" \/>\n\t<meta name=\"twitter:label2\" content=\"\u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f\" \/>\n\t<meta name=\"twitter:data2\" content=\"19 \u043c\u0438\u043d\u0443\u0442\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u261d \u0411\u043b\u043e\u0433 Oberig IT","description":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u26a1 \u0411\u043b\u043e\u0433 Oberig IT \u0434\u043b\u044f \u043f\u0430\u0440\u0442\u043d\u0435\u0440\u043e\u0432-\u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432 \u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0437\u0430\u043a\u0430\u0437\u0447\u0438\u043a\u043e\u0432","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/","og_locale":"ru_RU","og_type":"article","og_title":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u261d \u0411\u043b\u043e\u0433 Oberig IT","og_description":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u26a1 \u0411\u043b\u043e\u0433 Oberig IT \u0434\u043b\u044f \u043f\u0430\u0440\u0442\u043d\u0435\u0440\u043e\u0432-\u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432 \u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0437\u0430\u043a\u0430\u0437\u0447\u0438\u043a\u043e\u0432","og_url":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/","og_site_name":"Oberig IT","article_publisher":"https:\/\/www.facebook.com\/Oberig.disti","article_published_time":"2025-06-13T13:05:41+00:00","article_modified_time":"2025-07-03T06:16:39+00:00","og_image":[{"width":1350,"height":450,"url":"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg","type":"image\/jpeg"}],"author":"Iryna Vlasenko","twitter_card":"summary_large_image","twitter_misc":{"\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u043e\u043c":"Iryna Vlasenko","\u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f":"19 \u043c\u0438\u043d\u0443\u0442"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#article","isPartOf":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/"},"author":{"name":"Iryna Vlasenko","@id":"https:\/\/oberig-it.com\/ru\/#\/schema\/person\/fd0fd95a6b9813571f62adee41332887"},"headline":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint","datePublished":"2025-06-13T13:05:41+00:00","dateModified":"2025-07-03T06:16:39+00:00","mainEntityOfPage":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/"},"wordCount":3175,"commentCount":0,"publisher":{"@id":"https:\/\/oberig-it.com\/ru\/#organization"},"image":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#primaryimage"},"thumbnailUrl":"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg","articleSection":["\u0421\u0442\u0430\u0442\u044c\u0438"],"inLanguage":"ru-RU","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/","url":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/","name":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u261d \u0411\u043b\u043e\u0433 Oberig IT","isPartOf":{"@id":"https:\/\/oberig-it.com\/ru\/#website"},"primaryImageOfPage":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#primaryimage"},"image":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#primaryimage"},"thumbnailUrl":"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg","datePublished":"2025-06-13T13:05:41+00:00","dateModified":"2025-07-03T06:16:39+00:00","description":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint \u26a1 \u0411\u043b\u043e\u0433 Oberig IT \u0434\u043b\u044f \u043f\u0430\u0440\u0442\u043d\u0435\u0440\u043e\u0432-\u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432 \u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0437\u0430\u043a\u0430\u0437\u0447\u0438\u043a\u043e\u0432","breadcrumb":{"@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#breadcrumb"},"inLanguage":"ru-RU","potentialAction":[{"@type":"ReadAction","target":["https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/"]}]},{"@type":"ImageObject","inLanguage":"ru-RU","@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#primaryimage","url":"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg","contentUrl":"https:\/\/oberig-it.com\/wp-content\/uploads\/2025\/06\/dajdzhest-cherven25-3.jpg","width":1350,"height":450},{"@type":"BreadcrumbList","@id":"https:\/\/oberig-it.com\/ru\/stati\/kak-raspoznavat-slozhnye-ugrozy-prakticheskie-kejsy-s-logpoint\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"\u0413\u043b\u0430\u0432\u043d\u0430\u044f","item":"https:\/\/oberig-it.com\/ru\/"},{"@type":"ListItem","position":2,"name":"\u041a\u0430\u043a \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0432\u0430\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0435\u0439\u0441\u044b \u0441 Logpoint"}]},{"@type":"WebSite","@id":"https:\/\/oberig-it.com\/ru\/#website","url":"https:\/\/oberig-it.com\/ru\/","name":"Oberig IT","description":"\u0414\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u044f \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0441\u043d\u044b\u0445 \u0418\u0422 \u0438 \u0418\u0411 \u0440\u0435\u0448\u0435\u043d\u0438\u0439","publisher":{"@id":"https:\/\/oberig-it.com\/ru\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/oberig-it.com\/ru\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"ru-RU"},{"@type":"Organization","@id":"https:\/\/oberig-it.com\/ru\/#organization","name":"Oberig IT","url":"https:\/\/oberig-it.com\/ru\/","logo":{"@type":"ImageObject","inLanguage":"ru-RU","@id":"https:\/\/oberig-it.com\/ru\/#\/schema\/logo\/image\/","url":"https:\/\/oberig-it.com\/wp-content\/uploads\/2023\/06\/logo-new.svg","contentUrl":"https:\/\/oberig-it.com\/wp-content\/uploads\/2023\/06\/logo-new.svg","caption":"Oberig IT"},"image":{"@id":"https:\/\/oberig-it.com\/ru\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/Oberig.disti"]},{"@type":"Person","@id":"https:\/\/oberig-it.com\/ru\/#\/schema\/person\/fd0fd95a6b9813571f62adee41332887","name":"Iryna Vlasenko","image":{"@type":"ImageObject","inLanguage":"ru-RU","@id":"https:\/\/oberig-it.com\/ru\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/1994031a0cacb6e8d8f7847ecb9b980006657a175510f6d475283dc893f8ebc9?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/1994031a0cacb6e8d8f7847ecb9b980006657a175510f6d475283dc893f8ebc9?s=96&d=mm&r=g","caption":"Iryna Vlasenko"}}]}},"_links":{"self":[{"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/posts\/18454","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/users\/7163"}],"replies":[{"embeddable":true,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/comments?post=18454"}],"version-history":[{"count":8,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/posts\/18454\/revisions"}],"predecessor-version":[{"id":18714,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/posts\/18454\/revisions\/18714"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/media\/18455"}],"wp:attachment":[{"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/media?parent=18454"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/categories?post=18454"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oberig-it.com\/ru\/wp-json\/wp\/v2\/tags?post=18454"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}