Найти в Дзене
RedSec.BY | Кибербезопасность в Беларуси
6 подписчиков

Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)

5 мин
В первой части мы разобрали анатомию кода шифровальщика: как выглядит "движок" зловреда, отвечающий за поиск файлов и криптографические операции. Однако самый совершенный код бесполезен, если он не может попасть в целевую систему и запуститься. Этот материал посвящен этапам Initial Access (Первоначальный доступ), Execution (Выполнение) и Defense Evasion (Обход защиты). Основываясь на данных отчётов ENISA, Veeam, Moxfive и Palo Alto Networks за 2025–2026 годы, мы проанализируем, как современные APT-группировки и RaaS-операторы (Ransomware-as-a-Service) обходят периметр, используют легитимные инструменты против администраторов и почему классические антивирусы проигрывают эту битву. Мы рассмотрим эволюцию тактик доставки: от массовых фишинговых рассылок до точечной компрометации через RDP, а также разберем, как именно зловреды "ослепляют" системы защиты перед нанесением удара. Дисклеймер:
Данная статья носит исключительно образовательный и исследовательский характер. Примеры команд, техни
Оглавление
Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)
Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)

В первой части мы разобрали анатомию кода шифровальщика: как выглядит "движок" зловреда, отвечающий за поиск файлов и криптографические операции. Однако самый совершенный код бесполезен, если он не может попасть в целевую систему и запуститься.

Этот материал посвящен этапам Initial Access (Первоначальный доступ), Execution (Выполнение) и Defense Evasion (Обход защиты). Основываясь на данных отчётов ENISA, Veeam, Moxfive и Palo Alto Networks за 2025–2026 годы, мы проанализируем, как современные APT-группировки и RaaS-операторы (Ransomware-as-a-Service) обходят периметр, используют легитимные инструменты против администраторов и почему классические антивирусы проигрывают эту битву.

Мы рассмотрим эволюцию тактик доставки: от массовых фишинговых рассылок до точечной компрометации через RDP, а также разберем, как именно зловреды "ослепляют" системы защиты перед нанесением удара.

Важное предупреждение

Дисклеймер:
Данная статья носит исключительно образовательный и исследовательский характер. Примеры команд, техник обхода антивирусов и методов доставки рассматриваются для понимания тактик атакующих (TTPs) с целью настройки средств защиты (EDR, SIEM, AV).
Использование описанных методов для несанкционированного доступа к информационным системам является уголовным преступлением. Тестирование должно проводиться только в изолированных лабораторных средах.

Глава 1: Векторы доставки (Initial Access)

Попадание вредоносного ПО на конечную точку (Endpoint) — это критический момент атаки. В 2025 году мы наблюдаем рост общего числа атак на 36–47%. Атакующие действуют оппортунистически, комбинируя социальную инженерию с эксплуатацией технических уязвимостей.

1. Фишинг: Доминирование человеческого фактора

Несмотря на развитие технологий фильтрации почты, фишинг остается вектором №1, обеспечивая около 60% первоначальных доступов (по данным ENISA 2025). Эволюция здесь идет не в сторону сложности кода, а в сторону качества социальной инженерии (Spear Phishing).

Механика атаки:
Письмо маскируется под критически важный бизнес-контекст: неоплаченный счет, повестка в суд, уведомление от налоговой или срочный документ от "генерального директора".

  • Weaponized Documents (VBA Macros): Классическая схема. Жертва получает файл .docx или .xlsx. При открытии документ просит включить содержимое ("Enable Content"). Внутри скрыт VBA-макрос, который запускает процесс загрузки основного тела вируса.Техническая деталь: Часто используется техника "VBA Stomping" (сохранение скомпилированного p-code без исходного кода макроса) для обхода статического анализа.
  • HTML Smuggling: Вложение — это HTML-файл. При открытии в браузере JavaScript локально собирает payload из закодированной строки (Base64) и инициирует скачивание на диск, обходя сетевые шлюзы безопасности, так как файл "создается" уже внутри периметра.
  • OneNote (.one) и PDF: В ответ на блокировку макросов Microsoft, атакующие стали использовать файлы OneNote со встроенными скриптами или PDF со ссылками на вредоносные ресурсы.

2. Компрометация удаленного доступа (RDP/VPN)

Пандемия удаленной работы открыла двери, которые никто не закрыл. В отчетах Veeam и Moxfive эксплуатация служб удаленного доступа (Remote Desktop Protocol и VPN) занимает лидирующие позиции. Это любимый метод таких групп, как Akira и MedusaLocker.

Как это происходит:

  • Brute-Force & Password Spraying: Атака методом перебора паролей на открытые в интернет порты (3389).
  • Initial Access Brokers (IABs): Операторы шифровальщиков редко сами ломают RDP. Они покупают доступы у брокеров на теневых форумах. Эти учетные данные часто утекают через инфостилеры (Infostealers) — трояны, ворующие сохраненные пароли из браузеров сотрудников.
  • Отсутствие MFA: Главная причина успеха — отсутствие многофакторной аутентификации на VPN-шлюзах и RDP-серверах.

3. Malicious Downloads и SEO Poisoning

Пользователи часто сами скачивают зловредов, думая, что загружают полезный софт.

  • SEO Poisoning: Атакующие выводят вредоносные сайты в топ выдачи Google по запросам вроде "скачать WinRAR бесплатно" или "Zoom corporate install".
  • Fake Software/Cracked Apps: Под видом активаторов ("кряков") или системных утилит скрываются загрузчики (Loaders), такие как GootLoader или Yellow Cockatoo, которые затем подтягивают Ransomware.

Глава 2: Искусство быть невидимым (Evasion Techniques)

Как только payload попадает на диск, начинается гонка со временем. Задача зловреда — запуститься и закрепиться до того, как его обнаружит антивирус или EDR (Endpoint Detection and Response). Для этого используются техники уклонения (Defense Evasion).

1. Обфускация и упаковка (Packers & Crypters)

Статический сигнатурный анализ (сравнение хэша файла с базой известных вирусов) давно мертв. Атакующие используют упаковщики, которые меняют структуру файла, сохраняя его функциональность. Файл на диске выглядит как "мусор", но при запуске распаковывается прямо в оперативную память.

Популярные инструменты в 2025 году:

  • UPX (Ultimate Packer for eXecutables):
    Самый известный open-source упаковщик. Он сжимает исполняемый файл.    Нюанс: UPX легко распаковывается (команда upx -d), и большинство антивирусов умеют заглядывать "внутрь" UPX. Однако злоумышленники часто модифицируют заголовки UPX, чтобы сломать стандартные распаковщики и затруднить анализ.
  • Themida / WinLicense:
    Коммерческие протекторы высокого уровня. Они используют продвинутые техники:    Anti-Debugging: Пытаются обнаружить, что их анализируют в отладчике (например, x64dbg), и аварийно завершают работу.
    Virtualization: Часть кода исполняется не процессором напрямую, а через виртуальную машину внутри протектора, что превращает реверс-инжиниринг в ад.
  • VMProtect:
    Считается одним из самых сложных для анализа. Использует мутацию кода (изменение инструкций процессора на эквивалентные, но запутанные) и виртуализацию.
  • Custom FUD Crypters:
    В даркнете продаются услуги криптования (FUD — Fully Undetectable). Это уникальные алгоритмы, гарантирующие 0 детектов на VirusTotal в момент продажи.
Вывод для защиты: Статический анализ бесполезен против коммерческих протекторов. Необходим динамический анализ (Sandbox), который запускает файл в безопасной среде и смотрит на его поведение, а не на код.

Продолжение на сайте redsec.by >>>