Проблема
После инфостилера команды часто слишком рано чувствуют облегчение: файл удалён, антивирус сработал, хост переустановлен. Но с точки зрения злоумышленника самое ценное уже могло быть украдено до этого - cookies, refresh tokens, saved passwords, cloud session material.
Если reset делается медленно или точечно, злоумышленник может вернуться уже не через тот же бинарник, а через украденную сессию или повторный вход в критичный сервис.
Решение
Первый вопрос должен звучать не 'какое семейство это было', а 'что именно успело стать недоверенным'. Хороший playbook идёт по слоям: identity, browser, endpoint, cloud, VPN, privileged accounts, third-party SaaS.
Reset должен быть связан с evidence. Не всё сбрасывается одинаково, но и не всё можно оставить до завтра. Нужен приоритет: high-value sessions, admins, cloud tokens, code-repo secrets, password manager state.
Что проверить руками
- Определить, какие аккаунты и браузерные профили использовались на хосте.
- Сбросить активные sessions/tokens для high-value сервисов.
- Проверить password manager, cloud console, code hosting, mail, SSO, VPN.
- Оставить monitoring window на повторный вход и unusual device activity.
Типичные ошибки
- Заканчивать incident на удалении файла.
- Сбрасывать только пароль и не трогать refresh tokens или browser sessions.
- Не различать обычный пользовательский аккаунт и admin-цепочку доверия.
Defensive checklist
- Есть список high-value сервисов и их session-reset path.
- Команда знает, какие browser artefacts считаются критичными.
- Reset связан с evidence и приоритетом, а не делается хаотично.
- Есть monitoring window на вторичную активность.
Безопасный пример кода
Карта reset-приоритета после infostealer. Пример рассчитан на owned/lab-среду и показывает инженерную логику проверки, а не эксплуатационную цепочку.
RESET_PRIORITY = [
"admin_sso_sessions",
"cloud_console_tokens",
"source_code_hosting_tokens",
"mailbox_sessions",
"vpn_sessions",
"password_manager_state"
]
Как это должно попасть в отчёт
- Какие trust-boundary были затронуты.
- Какие reset-действия выполнены и что ещё остаётся.
- Ретест: новые suspicious logins не проходят незаметно.