CVE + IOC
| CVE | Описание | IOC Network Traffic | IOC Windows / Linux host |
|---|---|---|---|
| CVE-2017-0143 | Ссылка | Trans2 Response: NT Status: STATUS_INVALID_PARAMETER (0xc000000d) | Sysmon ID: 3. M.Security ID: 4624 |
| CVE-2021-36942 | Ссылка | EFS Response: ERROR_BAD_NETPATH | Sysmon ID: 3, 18, |
| CVE-2026-27944 | Ссылка | GET "/api/backup" | GET "/api/backup" |
| Plug | Plug | Plug | Plug |
Стенд
Для проведения имитационного моделирования была развёрнута полноценная лабораторная инфраструктура, точно воспроизводящая реальную корпоративную сеть. Схема стенда включает несколько изолированных зон, соединённых маршрутизаторами и межсетевыми экранами, что позволяет безопасно генерировать как легитимный пользовательский трафик, так и сложные многоэтапные атаки. В красной зоне Internet расположены источники угроз и нормальной активности: рабочая станция Kali Linux (Attacker) с полным набором инструментов пентеста, автоматизированный C2-сервер MITRE Caldera для эмуляции реальных TTP по матрице ATT&CK, а также генератор легитимного трафика, имитирующий почту, веб-серфинг и работу с файлами. Трафик проходит через Router 1 и первый межсетевой экран FW 1 в DMZ, где размещены почтовый сервер E Mail и веб-сервер OWASP с уязвимыми приложениями (bWAPP, DVWA). Далее через второй firewall FW 2 трафик попадает во внутреннюю сеть. Внутренняя инфраструктура разделена на три подсети. Subnet 2 содержит серверы предприятия: AD Server (Windows Server с Active Directory), File Server и DB server. Subnet 1 представляет рабочие станции пользователей — Windows 10 и Ubuntu. Subnet 3 — это зона SOC, где работают ELK Stack (Elasticsearch + Logstash + Kibana) для централизованного сбора и анализа логов, сетевой IDS/IPS Suricata и рабочая станция Host SOC Analyst.