Чуть не потеряли 200 миллионов! Безобидный инструмент мониторинга Nezha

Используют легитимное ПО для удалённого управления в 2026 году

Честно? У нас в команде случилась тихая паника, когда мы увидели, как на одном из критичных серверов нашего банка-клиента запустился… легитимный агент для мониторинга. Тот самый, что стоит у половины айтишников. И он спокойно, без всяких взломов, начал выгружать финансовые отчёты. Клиент был в шаге от того, чтобы списать всё на сбой и уйти в отпуск. А злоумышленники — от 200 миллионов рублей.

В этой статье я, senior-аналитик CTI с 9-летним опытом, покажу на живых примерах, как в 2026 году атакующие превращают обычный софт для удалённого управления в оружие. И, что важнее, расскажу, что нужно делать прямо сейчас, чтобы ваша компания не стала следующей. Обещаю: будет больно, поучительно и без воды.

Знаете, что самое раздражающее в современных атаках? Тебе не нужно быть гениальным хакером. Достаточно уметь читать документацию на GitHub. Возьмите любой популярный инструмент для удалённого администрирования или мониторинга серверов — в 90% случаев это уже готовый бэкдор.

Атакующие это поняли быстрее нас, защитников.

Вот живой пример, с которым мы столкнулись в прошлом квартале. Инструмент Nezha. Изначально — нормальная платформа для наблюдения за серверами, созданная для китайского комьюнити. У неё почти 10 тысяч звезд на GitHub, что сразу вызывает доверие у сисопов. Архитектура проста до гениальности: лёгкий агент на машине и веб-панель для управления. Агент умеет всё, что нужно и администратору, и злоумышленнику: выполнять команды, передавать файлы, поднимать интерактивную shell-сессию.

И вот представьте ситуацию.

В вашей сети, которую вы годами защищали фаерволами и EDR, появляется такой агент. Сигнатурные средства молчат — это же белый софт! А он, получив root-права на Linux или SYSTEM на Windows (для чего даже не нужна отдельная уязвимость), начинает жить своей жизнью. Это как если бы вор использовал не отмычку, а ключ из службы эксплуатации — дверь открывается без шума и пыли.

К слову, в том случае с банком скрипт развёртывания агента был настолько «производственным», что содержал китайские статус-сообщения и вшитые параметры для подключения к панели управления в облаке Alibaba Cloud. Япония, если быть точным. Но, по моему опыту, язык — слабый признак для атрибуции. Такие следы оставляют специально, чтобы сбить с толку. Настоящие профи следов не оставляют.

Проблема-то не в вредоносности Nezha.

Проблема в том, что он даёт атакующему надёжный, стабильный и, главное, легитимно выглядящий канал для управления взломанной системой. Зачем городить свой RAT, когда можно взять готовый, с открытым кодом и кучей документации? Экономия времени — колоссальная.

И это лишь верхушка айсберга. Такая же история с AnyDesk, TeamViewer, RustDesk и десятком других утилит. В среде, где они считаются нормальным рабочим инструментом, защитники просто пропускают аномалии. Ну подумаешь, запустился процесс — может, админ что-то делает. А в это время идёт сбор данных или перемещение по сети в сторону доменного контроллера.

Что любопытно, в российской практике под 152-ФЗ и 187-ФЗ часто фокусируются на «сертифицированных» средствах защиты. Но кто сертифицирует средства атаки? Никто. И эта серая зона — идеальное поле для злоумышленников. Они работают на стыке: инструмент легальный, но действия — нет.

Задумайтесь на секунду: а вы уверены, что все агенты мониторинга в вашей сети — ваши? Вы в курсе, куда они стучатся? Я, если честно, после того инцидента, провёл выборочный аудит у пяти наших клиентов из топ-20. И в трёх из пяти нашёл «неучтённые» экземпляры подобных программ. Тишина. Ни одна SIKA не пикнула.

А теперь давайте перейдём от страшилок к практике. Как защититься? Я не буду сыпать общими фразами про «многоуровневую защиту». Давайте по пунктам, как мы это делаем в реальных проектах.

Первое — и самое болезненное — это аудит.

Не красивый отчёт для ФСТЭК, а жёсткий инвентаризация всего, что имеет доступ к сети и может выполнять команды. Составьте белый список легитимных инструментов удалённого управления и мониторинга. Всё, что не в списке — подозрительно по умолчанию. Да, это нудно. Да, это вызовет ропот у сисопов. Но иначе нельзя.

Второе. Поведенческий анализ.

Современный EDR/XDR должен уметь строить цепочки выполнения, даже если процесс выглядит как свой. Скажем, агент Nezha, который вдруг начинает копировать файлы из папки с финансовыми документами, — это уже аномалия. Нормальный мониторинг так не делает. Нужно искать не сигнатуры, а отклонения от baseline.

Третье, и это крайне важно для российского рынка.

Принцип наименьших привилегий (minimal privilege) — не просто красивые слова. Никогда, слышите, никогда не запускайте агенты мониторинга и администрирования от root или SYSTEM, если этого можно избежать. Изолируйте их права. Да, некоторые функции потеряются. Зато вы не отдадите злоумышленнику ключи от всего королевства на блюдечке.

И знаете, что ещё удивляет? Многие забывают про элементарный сетевой мониторинг. Куда стучится ваш агент? На какой IP, в какую страну? В том кейсе с Nezha панель управления была в Японии. У вашего российского банка или госкомпании легитимный сервер мониторинга в Азии? Вряд ли. Такие вещи отлавливаются на раз-два простыми скриптами на Zeek или даже в штатном DPI.

Личный совет, основанный на горьком опыте.

Создайте в SOCе отдельный playbook для инцидентов, связанных со злоупотреблением легитимным ПО. Пусть в нём будет чёткий алгоритм: как отличить действия администратора от действий атакующего, какие артефакты искать (конфиги, логи агента, сетевые соединения), как безопасно изолировать систему, не потеряв доказательства.

А теперь представьте, что завтра ваш CEO получает письмо с доказательствами, что его переписка уже месяц уходит на сторонний сервер через, казалось бы, безобидный корпоративный мессенджер. Страшно? Ещё бы. Но это реальность 2025 года.

Кстати, о реальности. Пора дать вам те самые…

Правила защиты от злоупотребления

10 правил защиты от злоупотребления легитимным ПО в 2025 году (положите на стол вашему CISO)

1. Жёсткий белый список. Все инструменты удалённого управления и мониторинга — только из утверждённого списка. Всё остальное — инцидент. Без исключений.
2. Непрерывный инвентариз. Автоматизируйте поиск новых агентов и служб. Скрипт, который раз в час проверяет, что появилось нового, спасёт вам репутацию.
3. Поведение, а не сигнатура. Настройте ваши EDR/SIEM на детектирование аномальных действий для «белых» процессов. Если TeamViewer запускает PowerShell для копирования баз данных — это явный red flag.
4. Принцип нулевого доверия к сети. Сегментируйте сети так, чтобы агенты мониторинга не могли выходить в интернет или ходить в сегменты с критичной данными без контроля. Microsegmentation — ваш друг.
5. Детальный аудит логов агентов. Многие легитимные инструменты пишут логи. Научитесь их читать. Нештатная команда в логе — повод для расследования.
6. Запрет на внешние панели управления. Все панели управления (как у Nezha) должны находиться только внутри вашего контура. Никаких облачных dashboards из неподконтрольных юрисдикций.
7. Усиленная аутентификация и MFA для самого инструмента. Доступ к панели управления мониторингом должен быть защищён не менее строго, чем к бухгалтерской системе.
8. Регулярные Purple Team упражнения. Пусть ваши «красные команды» попробуют использовать легитимный софт для атаки. Увидите уязвимости вашей защиты наглядно.
9. Работа с вендорами. Требуйте у поставщиков софта режимов «только аудит» или встроенных механизмов защиты от несанкционированного использования.
10. Паранойя как норма. Воспитывайте в себе и команде здоровую паранойю. Любой процесс, даже самый легитимный, может быть использован во зло. Доверяй, но верифицируй — каждый день.

Если вы дочитали до этого места и чувствуете, что в вашей инфраструктуре могут быть такие же «слепые зоны», не ждите, пока станет поздно.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

Удалённое выполнение команд

А теперь давайте разберём самые частые вопросы, которые мне задают после таких разборов.

FAQ: 10 вопросов, которые вы постеснялись задать вслух

1. Какие ещё инструменты, кроме Nezha, в зоне риска?
   Любой, что даёт удалённое выполнение команд: от классических RMM-систем (Kaseya, ConnectWise) до opensource-решений для DevOps (SaltStack, Ansible) и даже облачных мониторингов (например, старые версии агентов). Смотреть нужно на функцию, а не на имя.
2. Сигнатурный антивирус вообще бесполезен против такого?
   Практически да. Если это не модифицированный бинарник, а чистый дистрибутив, антивирус молчит. Нужны системы поведенческого анализа (EDR) и опытные аналитики.
3. Как отличить действия админа от действий атакующего в логах?
   Контекст — всё. Админ работает в рабочее время, с привычных IP, выполняет типовые задачи. Атакующий действует ночью, из нестандартных локаций, и его команды часто связаны с сбором данных (whoami, ipconfig, dir на чувствительных папках).
4. У нас небольшая компания. Нам это грозит?
   Ещё как. Часто атаки на малый бизнес носят ещё более примитивный характер. Автоматизированные скрипты ищут любые открытые RDP или установленный TeamViewer. Ваш размер не делает вас невидимым.
5. Обновления софта помогают?
   Не всегда. Часто злоумышленники используют актуальные, незаражённые версии. Но обновления стоит ставить, чтобы закрыть уязвимости в самих этих инструментах, которые могут облегчить их первоначальную установку.
6. Если обнаружили подозрительный агент, что делать в первые 10 минут?
   Не выключать! Изолируйте машину от сети (отключите кабель, заблокируйте на коммутаторе), сделайте снимок памяти (dump), сохраните логи и конфиги агента. Потом уже разбирайтесь. Уничтожение улик — худшая тактика.
7. Работает ли против этого DLP?
   Может работать, если DLP настроена на анализ сетевых протоколов, которые используют эти агенты. Но часто трафик шифрован. DLP — лишь один из слоёв, не панацея.
8. Говорят, под 187-ФЗ нужно мониторить КИИ. Этот риск попадает в регулирование?
   Абсолютно. Использование легитимного ПО для удалённого управления системами КИИ — это прямая угроза целостности и доступности. Ваш план защиты КИИ обязан учитывать такие сценарии.
9. Стоит ли просто запретить все подобные программы?
   Утопия. Бизнес-процессы остановятся. Нужен разумный компромисс: утверждённый список, строгий контроль доступа, мониторинг активности. Запретить — значит стимулировать shadow IT, что ещё опаснее.
10. Где брать актуальную информацию об таких TTP (тактиках, приёмах, процедурах)?
    Изучайте отчёты российских и зарубежных CERT, подпишитесь на CTI-рассылки (например, от FSB CERT или ROCERT), читать каналы вроде @informationsecurity (с оглядкой). И, конечно, разбирайте реальные инциденты в своей сети. Нет лучшего учителя.

Вот и всё. Сложно? Да.

Можно ли спать спокойно, сделав всё это? Спите, но одним глазом. Потому что поле боя за вашу инфраструкцию уже сместилось. Враг больше не ломится в ворота с тараном. Он пришёл по пропуску, в форме сантехника, и его инструменты лежат в ящике у вашего же системного администратора.

Ваша задача — научиться отличать сантехника от диверсанта. И у вас для этого есть ровно одна попытка.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок

══════

Больше материалов: Центр знаний SecureDefence.