Infostealer response: окно для сброса доверия очень короткое
Синтетический research-shot: схема проблемы, контроля, evidence и ретеста в фирменной лабораторной стилистике Virusologia.
Коротко: Ущерб от инфостилера определяется не тем, удалили ли файл, а тем, успели ли вы обнулить доверие: сессии, токены, локальные секреты, браузерные профили и привязанные устройства.

Проблема

После инфостилера команды часто слишком рано чувствуют облегчение: файл удалён, антивирус сработал, хост переустановлен. Но с точки зрения злоумышленника самое ценное уже могло быть украдено до этого - cookies, refresh tokens, saved passwords, cloud session material.

Если reset делается медленно или точечно, злоумышленник может вернуться уже не через тот же бинарник, а через украденную сессию или повторный вход в критичный сервис.

Решение

Первый вопрос должен звучать не 'какое семейство это было', а 'что именно успело стать недоверенным'. Хороший playbook идёт по слоям: identity, browser, endpoint, cloud, VPN, privileged accounts, third-party SaaS.

Reset должен быть связан с evidence. Не всё сбрасывается одинаково, но и не всё можно оставить до завтра. Нужен приоритет: high-value sessions, admins, cloud tokens, code-repo secrets, password manager state.

Что проверить руками

  • Определить, какие аккаунты и браузерные профили использовались на хосте.
  • Сбросить активные sessions/tokens для high-value сервисов.
  • Проверить password manager, cloud console, code hosting, mail, SSO, VPN.
  • Оставить monitoring window на повторный вход и unusual device activity.

Типичные ошибки

  • Заканчивать incident на удалении файла.
  • Сбрасывать только пароль и не трогать refresh tokens или browser sessions.
  • Не различать обычный пользовательский аккаунт и admin-цепочку доверия.

Defensive checklist

  • Есть список high-value сервисов и их session-reset path.
  • Команда знает, какие browser artefacts считаются критичными.
  • Reset связан с evidence и приоритетом, а не делается хаотично.
  • Есть monitoring window на вторичную активность.

Безопасный пример кода

Карта reset-приоритета после infostealer. Пример рассчитан на owned/lab-среду и показывает инженерную логику проверки, а не эксплуатационную цепочку.

RESET_PRIORITY = [
  "admin_sso_sessions",
  "cloud_console_tokens",
  "source_code_hosting_tokens",
  "mailbox_sessions",
  "vpn_sessions",
  "password_manager_state"
]

Как это должно попасть в отчёт

  • Какие trust-boundary были затронуты.
  • Какие reset-действия выполнены и что ещё остаётся.
  • Ретест: новые suspicious logins не проходят незаметно.
Этическая рамка: материал предназначен для defensive security, исследования собственных систем, controlled labs и подготовки remediation. Здесь нет вредоносных payload-цепочек, persistence-инструкций и шагов для несанкционированного доступа.