1С Продажа и Услуги
Если ваш бизнес полагается на классический антивирус как на главный щит, у вас есть брешь в защите, которую вы не видите. Современный злоумышленник больше не взламывает дверь — он использует ваш ключ, притворяясь законным обитателем. Этот метод известен как "живой" взлом (Living Off the Land, LOTL).
Что такое "живой" взлом (Living Off the Land)
Живой взлом — это стратегия кибератаки, при которой злоумышленники максимально используют легитимные инструменты и функции операционной системы или установленного ПО для выполнения вредоносных действий.
Ключевое отличие LOTL-атак — отсутствие традиционного вредоносного файла, который можно заблокировать.
Определение ключевой концепции
Вместо загрузки вируса активируются встроенные в систему скрипты, утилиты и протоколы удаленного управления. Такие легитимные инструменты, используемые в злонамеренных целях, называются LOLbins (Living Off the Land Binaries). К ним относятся PowerShell, Windows Management Instrumentation (WMI), средства выполнения сценариев и даже доверенные агенты удаленного доступа.
Эволюция угроз: от вирусов к "невидимкам"
«Эволюция угроз сместилась от создания уникального вредоносного ПО к эксплуатации того, что уже есть в системе. Это делает атаку тихой, эффективной и трудноотличимой от повседневной работы администратора», — отмечает эксперт по киберзащите.
Раньше кибератака ассоциировалась с зараженным файлом. Современная угроза — это легальная активность, но с преступным умыслом. Злоумышленник становится "тенью" системного администратора.
Статистика и тренды: почему это главная угроза
Тренд подтверждается данными: по оценкам Gartner, к 2026 году доля атак, не использующих вредоносное ПО файлового формата, превысит 60%. Исследование компании CrowdStrike фиксирует, что в 79% случаев компрометации злоумышленники активно применяют LOLbins. Этот рост обусловлен высокой эффективностью и скрытностью подобных методов.
Как работают атаки без использования вредоносного ПО
Классический сценарий начинается не с вируса, а с человеческой ошибки или уязвимости. Фишинговая письмо с убедительной легендой побуждает сотрудника ввести свои учетные данные на поддельной странице. Получив логин и пароль, злоумышленник входит в корпоративную сеть как обычный пользователь.
Использование легитимных инструментов (LOLbins): PowerShell, WMI, RDP
После получения первоначального доступа в ход идут легальные инструменты. С помощью PowerShell злоумышленник может отключить средства защиты на сетевом устройстве скачать дополнительные скрипты или провести разведку сети. WMI используется для выполнения команд, сбора системной информации и перемещения по сети. Протокол RDP (Remote Desktop Protocol), предназначенный для администрирования, становится каналом для скрытного перемещения между компьютерами в сети.
Сценарий 1: Фишинг и кража учетных данных как точка входа
Наиболее распространенный вектор. Сотрудник получает письмо, имитирующее запрос от руководства, ИТ-службы или популярного сервиса. Перейдя по ссылке и введя корпоративные логин и пароль, он сам передает ключи от системы. С этого момента злоумышленник действует от его имени.
Сценарий 2: Компрометация деловой электронной почты (BEC)
Отдельный высокодоходный сценарий. Получив доступ к почтовому ящику руководителя (через фишинг или утекшие пароли), злоумышленники проводят целевые мошеннические операции. Они могут месяцами изучать переписку, а затем в нужный момент отправить поддельный счет с измененными реквизитами или срочное "распоряжение" о переводе средств подчинённым.
Сценарий 3: Эксплуатация 0-day уязвимостей в доверенном ПО
Если в системе есть уязвимость нулевого дня в доверенном приложении (например, в средстве удаленного администрирования, VPN-клиенте или браузере), она становится идеальной точкой для скрытного закрепления. Эксплойт не оставляет файлов, а лишь использует ошибку в легитимной программе для выполнения несанкционированного кода.
Почему традиционные антивирусы бессильны против "живых" атак
Основная слабость сигнатурных антивирусов — необходимость заранее знать образец угрозы. Поскольку LOTL-атаки не привносят новых исполняемых файлов, сигнатурному анализу нечего обнаруживать.
Ограничение сигнатурного анализа и песочниц
Средства защиты, основанные на изоляции подозрительных процессов в "песочнице", также теряют эффективность. LOLbins являются частью доверенной операционной системы, и их изоляция может нарушить нормальную работу компьютера. Атака растворяется в "шуме" легитимной сетевой активности.
Маскировка под легитимную активность: проблема для эвристик
Поведенческие эвристики (правила, выявляющие подозрительные действия) часто терпят неудачу. Причины:
• Действия, выполняемые через PowerShell или WMI, имитируют активность системных администраторов или автоматизированных скриптов.
• Злоумышленники используют "тихие" флаги команд и легальные методы обхода журналирования событий.
• Активность может быть растянута во времени, чтобы не создавать аномальных всплесков.
Контраргумент: так ли бесполезны антивирусы сегодня?
«Утверждение, что антивирусы полностью бесполезны, — преувеличение. Они эффективно отсекают массовый, нецелевой мусор и простые угрозы, что снижает общий "шум". Но для защиты от целевых, продвинутых атак, основанных на живом взломе, их необходимо дополнять системами класса EDR (Endpoint Detection and Response), которые анализируют контекст и поведение цепочек процессов», — комментирует специалист по архитектуре безопасности.
Антивирус остается базовым элементом гигиены безопасности, но он больше не является достаточным барьером.
Таксономия "живых" атак: от первоначального доступа к данным
Атака по методу LOTL развивается поэтапно, что отражено в матрице MITRE ATT&CK — открытой базе тактик и техник киберпротивников.
|
Фаза атаки (по MITRE ATT&CK) |
Типичные легитимные инструменты (LOLbins), используемые на фазе |
Цель злоумышленника |
|
Первоначальный доступ |
Фишинговая веб-страница, уязвимости в публичных приложениях (VPN, RDP) |
Получить учетные данные или выполнить код. |
|
Выполнение |
PowerShell, Cmd, Windows Script Host, сценарии Visual Basic |
Запустить команды на пораженной системе. |
|
Устойчивость |
Планировщик заданий (Task Scheduler), автозагрузка реестра, службы WMI |
Сохранить присутствие после перезагрузки. |
|
Обнаружение активов |
Команды net, ipconfig, nslookup, легитимные средства сетевого сканирования |
Составить карту сети, найти ценные активы. |
|
Перемещение |
Протокол RDP, PsExec, WMI, служебные учетные записи |
Перейти с первоначально скомпрометированной системы на другие. |
|
Вывоз данных |
FTP-клиенты, облачные хранилища (OneDrive, Dropbox), архиваторы (7zip, RAR) |
Скрытно эксфильтрировать информацию. |
Как обнаружить "невидимого" злоумышленника в сети
Поскольку атаку невозможно остановить на входе, стратегия смещается к раннему обнаружению и реагированию.
Стратегия "предполагай нарушение" как основа защиты
Философия "предполагай нарушение" (Assume Breach) меняет подход. Вместо попыток создать непроницаемый периметр, Security-команды исходят из того, что злоумышленник уже мог проникнуть в сеть. Все усилия концентрируются на поиске его следов и минимизации ущерба.
Роль продвинутых систем EDR и SIEM в анализе поведения
Ключевую роль играют платформы обнаружения и реагирования на сетевых устройствах (EDR). Они отслеживают не отдельные события, а цепочки процессов (telemetry). Пример подозрительной цепочки: запуск PowerShell из офисного приложения (например, Word), которое, в свою очередь, было открыто из вложения в письме, а затем последовала попытка отключить журналирование событий Windows.
Интеграция EDR с системой управления событиями и информационной безопасностью (SIEM) позволяет коррелировать активность на разных узлах сети. Это помогает выявить аномальное перемещение: например, если учетная запись бухгалтера неожиданно инициирует удаленную сессию на сервер разработки.
Мониторинг аномальной активности учетных записей и процессов
Необходимо настроить оповещения на следующие аномалии:
• Запуск PowerShell с редко используемыми или отключающими аудит флагами.
• Множественные неудачные попытки входа с последующим успешным, особенно в нерабочее время.
• Создание новых учетных записей или добавление пользователей в привилегированные группы (например, "Администраторы домена").
• Нехарактерный для пользователя объем исходящего трафика, указывающий на возможный вывоз данных.
Практическая защита бизнеса от методов "живого" взлома
1. Многофакторная аутентификация (MFA) — самый эффективный барьер. Даже при утечке пароля злоумышленник не сможет войти без второго фактора (телефон, токен).
2. Принцип наименьших привилегий. Каждый пользователь и служба должны иметь ровно столько прав, сколько необходимо для работы. Это ограничивает возможности для эскалации привилегий после первоначального взлома.
Технический контроль: белые списки приложений и сегментация сети
1. Белые списки приложений (Application Allowlisting). На критически важных серверах и рабочих станциях разрешается запуск только заранее одобренных исполняемых файлов, библиотек и скриптов. Это блокирует запуск неавторизованных LOLbins-сценариев.
2. Микросегментация сети. Разделение сети на изолированные сегменты по отделам или функциям. Даже если злоумышленник проник в сеть отдела маркетинга, он не сможет напрямую обратиться к серверам с финансовыми данными.
Человеческий фактор: регулярные тренировки по киберграмотности
Обучение сотрудников должно быть непрерывным и практико-ориентированным. Нужны:
• Регулярные имитации целевого фишинга.• Обучение проверке email-адресов отправителей, ссылок и вложений.
• Четкий регламент сообщения о любых подозрительных событиях в ИБ-службу.
Важные детали, которые нужно знать каждому руководителю
1. Угроза внутренняя. Главная опасность LOTL — атака исходит "изнутри", используя доверенные каналы, что обходит периметровые средства защиты (файрволы, IPS).2. Цель — данные, а не разрушение. Чаще всего целью является шпионаж, кража интеллектуальной собственности или данных для последующего выкупа (ransomware), а не разрушение инфраструктуры.
3. Время — их союзник. Такие атаки могут оставаться незамеченными месяцами, терпеливо собирая информацию и расширяя контроль.
4. Защита требует анализа поведения. Недостаточно просто регистрировать события в логах. Необходимы инструменты и экспертиза для анализа их взаимосвязей и контекста.
5. Человеческий фактор — ключевое звено. Обучение сотрудников распознаванию фишинга и социальной инженерии — одна из самых эффективных инвестиций в безопасность.
Часто задаваемые вопросы (FAQ) о "живом" взломе
— Чем "живой" взлом опаснее обычного вируса?
Он тише, целенаправленнее и использует ресурсы самой компании, что затрудняет обнаружение и реагирование. Вред (кража данных, шпионаж) может быть нанесен до того, как атака будет вообще выявлена. Традиционный вирус часто обнаруживается быстрее из-за своего агрессивного или аномального поведения.
— Достаточно ли установить EDR для защиты?
Нет, EDR — это прежде всего инструмент мониторинга, обнаружения и расследований. Его эффективность раскрывается только в связке с сильными превентивными политиками доступа (MFA, наименьшие привилегии), сегментацией сети и подготовленными специалистами, способными анализировать его данные.
— Могут ли такие атаки быть автоматизированными?
Да, существуют фреймворки вроде Cobalt Strike, которые автоматизируют многие техники LOTL. Это делает такие сложные атаки доступными даже для групп с умеренным уровнем технической экспертизы, работающих по модели "киберпреступность как услуга".
— Почему эти атаки так успешны против бизнеса?
Потому что бизнес-среда построена на доверии, автоматизации и широком использовании скриптов, служб и удаленного управления для эффективности. Это создает идеальную, "плодородную" среду для LOTL-тактик.
— С чего начать построение защиты от LOTL?
С аудита и базовой гигиены:
2. Проведите аудит привилегий и внедрите политику наименьших привилегий.
3. Изучите, задокументируйте какие административные инструменты (PowerShell, WMI, PsExec) используются в вашей сети, кто имеет к ним доступ, и настройте их усиленное журналирование.
Защита от "живого" взлома — это не про установку волшебной коробки. Это про изменение парадигмы: от веры в неприступный периметр к постоянной охоте за аномалиями внутри него. Безопасность превращается в непрерывный процесс анализа, обучения и адаптации, где технологические решения (вроде EDR) работают в тандеме с грамотными процессами (MFA, сегментация) и подготовленными людьми. В мире, где 79% атак не оставляют привычных следов в виде вредоносных файлов, именно эта комплексная и упреждающая бдительность становится новой нормой выживания для бизнеса любой отрасли.
Список источников:CrowdStrike. 2024 Global Threat Report; Gartner, Inc.; The MITRE Corporation. MITRE ATT&CK® Framework; LOLBAS Project; Национальный институт стандартов и технологий США (NIST). "Cybersecurity Framework (CSF)" и специальные публикации (SP). А также руководства Центра кибербезопасности Великобритании (NCSC).
Требуется консультация специалиста по информационной безопасности? Свяжитесь с нами!