Повторяемые веб-атаки: Golang-троянец agent.exe и отключение Защитника Windows

Анализ недавних инцидентов указывает: хотя общественные отчёты порой рисуют картину высокоорганизованной и инновационной кампании злоумышленников, реальные данные говорят о другом — о систематическом применении проверенных приёмов и уязвимостей. Злоумышленники использовали стандартные бреши в веб‑приложениях для выполнения команд на конечных точках через скомпрометированные веб‑серверы, внедряя троян на Golang под именем agent.exe и добиваясь закрепления в системе.

Ключевые выводы

• Атаки выглядят менее «изобретательными», но остаются эффективными за счёт последовательного применения проверенных методов.
• Источник доступа — уязвимости веб‑приложений, обеспечивающие удалённое выполнение команд (RCE) через скомпрометированные серверы.
• Повторяющиеся артефакты: agent.exe, одинаковые соглашения об именовании, совпадающие операционные каталоги и одни и те же IP‑адреса инфраструктуры.
• Типичная последовательность действий злоумышленников: разведка окружения → попытки расширить привилегии и подорвать защиту → закрепление и дальнейшие операции.
• Наблюдаемая модель — по сути *«метод проб и ошибок»*, а не постоянный поиск новых эксплойтов.

«метод проб и ошибок» — характерный элемент поведения, выявленный в анализе нескольких инцидентов.

Три кейса: сводка инцидентов

В описанных трёх инцидентах прослеживается общая линия действий злоумышленников.

Инцидент 1. Актор инициировал перечисление системы с помощью команд whoami.exe, netstat -an и ipconfig /all. После сбора информации последовали попытки выполнить дополнительные вредоносные команды, которые были оперативно заблокированы Windows Defender.

Инцидент 2. После начального этапа в окружении была выполнена серия команд PowerShell, направленных на манипуляцию настройками Windows Defender — в частности, добавление исключений в мониторинг, что фактически подрывало механизмы защиты.

Инцидент 3. Поведение повторило предыдущие случаи: наличие доступа через Web shell, попытки отключить средства безопасности и запуск вспомогательных исполняемых файлов (включая попытки использования dllhost.exe, который не был успешно выполнен).

Технический анализ: инструменты и TTP

• Троян: agent.exe написан на Golang, использовался для закрепления и выполнения команд.
• Разведка: стандартные системные утилиты (whoami.exe, netstat, ipconfig) для сбора контекста окружения.
• Эскалация и подрыв защиты: использование PowerShell для внесения исключений в Windows Defender и попытки отключения средств безопасности.
• Инфраструктура: совпадение IP‑адресов, схем именования вредоносного ПО и рабочих каталогов указывает на единый оперативный план или повторное использование одной и той же «песочницы» злоумышленников.
• Надёжность методов: повторяемость шагов в разных инцидентах подчёркивает зависимость от испытанных техник, а не от принципиально новых подходов.

Последствия для безопасности и рекомендации

Хотя используемые техники не являются прорывными, их повторяемость и эффективность делают их серьёзной угрозой. Рекомендуемые меры:

• Приоритетное устранение уязвимостей в веб‑приложениях (patch management, WAF, code review).
• Мониторинг появления и исполнения файлов вроде agent.exe и подозрительных попыток запуска системных утилит.
• Аудит изменений конфигурации Windows Defender и ограничение прав на добавление исключений.
• Ограничение и контроль использования PowerShell: включение транзакционной записи, блокировка неподписанных скриптов и применение Constrained Language Mode, где это оправдано.
• Настройка EDR/SIEM‑правил на обнаружение повторяющихся TTP (RCE через веб, Web shell, попытки отключить защиту).
• Сегментация сети и изоляция скомпрометированных хостов; проверка логов доступа к веб‑серверам и Web shell.
• Инцидент‑реагирование: быстрый сбор артефактов, анализ IOC и блокировка используемой инфраструктуры (IP, домены, пути файлов).

Итог

Исследование подчёркивает: угроза остаётся значимой не из‑за высокой изощрённости, а благодаря последовательности и повторяемости хорошо отработанных приёмов. Организациям важно фокусироваться на базовых практиках кибергигиены — своевременном патче веб‑приложений, мониторинге исполнения кода и жестком контроле конфигураций защитных средств — чтобы нивелировать успешность таких кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Повторяемые веб-атаки: Golang-троянец agent.exe и отключение Защитника Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.