Знакомый всем SyncAppvPublishingServer.vbs — это ведь не какой-то подозрительный скрипт из интернета. Это подписанный корпоративный компонент Microsoft для виртуализации приложений. Он запускается через wscript.exe — процесс, которому доверяют все мониторы активности. И именно он становится троянским конём, проксируя выполнение вредоносного PowerShell.
На практике это выглядит так: скрипт, имеющий цифровую подпись Microsoft, тихо запускает PowerShell, который тянет полезную нагрузку. EDR-система видит цепочку: доверенный процесс → доверенный скрипт → PowerShell. И… часто пропускает. Ведь аномалий нет. Это как если бы охранник в банке пропустил вора, потому что тот был в форме инкассатора и показал настоящие документы.
По моему опыту, в 80% российских компаний до сих пор нет правил, ограничивающих выполнение скриптов App-V. А зря.
Не цепочка поставок, а цепочка предательства: Как CDN и Google Calendar работают на хакеров
После запуска скрипта начинается вторая фаза — загрузка конфигурации. И здесь ещё один изящный ход. Данные берутся не с подозрительного сервера, а из… публичного календаря Google. Да-да, обычного Google Calendar. Параметры шифруются и прячутся в описании события. Кто станет блокировать доступ к google.com? Никто.
Затем через WMI создаётся скрытый процесс PowerShell — 32-битный, что важно, потому что многие системы мониторят только 64-битные сессии. Полезная нагрузка расшифровывается прямо в памяти, без записи на диск. Техника «living off the land» в действии — злоумышленники живут за счёт земли, то есть легального ПО.
Шпионский троян Amatera как услуга
Финальная нагрузка в рассмотренной кампании — инфостилер Amatera. Если говорить откровенно, это не самый технологичный троян. Но он эффективен как автомат Калашникова — простой, надёжный и массовый. Основан на коде стилера ACR, распространяется по модели MaaS (malware-as-a-service). После запуска он подключается к жёстко заданному IP, получает модули и начинает воровать данные браузеров, куки, сессии, пароли.
Что раздражает больше всего? Операторы Amatera уже использовали ClickFix и раньше. Но сейчас они добавили в схему подписанный скрипт Microsoft. Это как если бы мошенник, подделывавший удостоверения, вдруг получил доступ к бланкам Госзнака. Уровень доверия системы зашкаливает.
И знаете, что самое печальное? Большинство российских компаний, особенно подпадающих под 152-ФЗ и требования ФСТЭК, до сих пор настраивают защиту по чек-листам пятилетней давности. Они блокируют EXE-файлы из интернета, но разрешают любую активность легальных инструментов Windows. Это как поставить бронированную дверь, но оставить открытым окно в подвале.
10 правил защиты на 2026 год, которые мы применяем в своих проектах
- Принцип нулевого доверия к легальным инструментам. PowerShell, WMI, cscript, wscript — всё это должно работать по строгим политикам. Белый список скриптов, обязательная журнализация, запрет на выполнение из непроверенных мест. Мы вводим это первым делом при аудите.
- Детальный мониторинг цепочек процессов. Не просто «PowerShell запущен», а «кем, из какого родительского процесса, с какими параметрами». Если wscript.exe порождает PowerShell — это уже красный флаг. Настраивайте алерт на такие связки.
- Анализ сетевой активности на уровне метаданных. Даже если трафик идёт на Google Calendar через HTTPS, аномальные объёмы или периодичность должны насторожить. Поведенческий анализ часто спасает там, где сигнатурный бессилен.
- Регулярный аудит прав. Самый частый промах — у сотрудников из финансов или юристов права локального администратора «для удобства». Это прямой путь к катастрофе. Уберите это «удобство» немедленно.
- Симуляция атак по методике ClickFix. Не ждите, пока хакеры проверят вашу защиту. Проверьте себя сами. Закажите пентест, где специалисты будут использовать именно такие, продвинутые техники.
- Жёсткий контроль за внешними сервисами. CDN, публичные календари, облачные хранилища — определите политики доступа. Нельзя просто так разрешать всё подряд. Контекст — ключ к безопасности.
- Смещение защиты к конечным точкам (Endpoint). Сетевой периметр уже не работает. Вам нужен EDR/XDR класса Next-Gen, который умеет анализировать поведение, а не только сигнатуры. И да, это дорого. Но взлом стоит дороже.
- Обучение не по шаблонам. Не показывайте сотрудникам старые картинки с фишинговыми письмами. Покажите им реальный скриншот поддельной капчи с просьбой вставить команду. Объясните, что теперь злоумышленники выглядят как техподдержка.
- Сегментация сети по-новому. Выделите критичные сегменты с платёжными системами и базами данных. Доступ туда — только с выделенных рабочих станций с максимальным уровнем контроля. Никаких случайных PowerShell из этого сегмента наружу.
- План реагирования, а не бумажка для ФСТЭК. Убедитесь, что ваша SOC-команда знает не только, как заполнять отчёты по 187-ФЗ, но и как действовать при обнаружении аномалий в легальных инструментах. Проводите учения.
Если вы дочитали до этого места, вы уже понимаете — стандартные меры не работают. Вам нужен системный пересмотр безопасности. И, честно говоря, большинство команд не успевают за эволюцией угроз. Они тушат пожары, а злоумышленники уже используют газовые зажигалки нового поколения.
══════
Нужна помощь?
Оставьте заявку Бесплатной консультации на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!
══════
Частые вопросы, которые нам задают CISO
Вопрос: Мы используем EDR от крупного вендора. Разве он не должен был это остановить?
Ответ: Должен, но не факт. Многие EDR по умолчанию имеют довольно снисходительные политики к Microsoft-процессам. Требуется глубокая кастомизация под вашу среду. На практике мы часто видим, что купленная «коробка» работает в режиме базового мониторинга, а не активной защиты.
Вопрос: Как объяснить руководству необходимость инвестиций в защиту от таких сложных угроз, если «всё и так работает»?
Ответ: Приведите цифру: по данным нашего CERT, средний ущерб от утечки данных в финансовом секторе — от 50 млн рублей. Стоимость внедрения продвинутых систем — в разы меньше. Это страховка, которая окупается за один предотвращённый инцидент.
Вопрос: Обязательно ли запрещать весь PowerShell? Без него же не работают многие административные задачи.
Ответ: Абсолютно нет. Запрещать — значит парализовать работу. Нужно разрешать только подписанные скрипты из утверждённых хранилищ, вести детальный лог всех сессий и настроить алертирование на подозрительные параметры (например, флаги кодирования или загрузки из внешних источников).
Вопрос: Мы выполняем все требования ФСТЭК. Разве этого недостаточно?
Ответ: Увы, нет. Требования ФСТЭК — это необходимый минимум, база. Они не поспевают за тактиками типа ClickFix или использованием стеганографии. Соответствие стандартам — это про аудит, а не про реальную безопасность. Нужно идти на шаг впереди.
Вопрос: Правда ли, что такие атаки ориентированы только на крупный бизнес?
Ответ: Нет, это заблуждение. Киберпреступники используют автоматизацию. Их инструменты сканируют тысячи компаний. Если ваша инфраструктура имеет известные уязвимости или слабые политики — вы мишень, независимо от оборота. Средний бизнес для них даже привлекательнее — защиты меньше, а платёжеспособность есть.
Вопрос: Стоит ли блокировать доступ к публичным CDN и Google-сервисам?
Ответ: Полная блокировка убьёт операционную деятельность. Стоит внедрить контролируемый доступ: через безопасные шлюзы (CASB), с обязательным логгированием и анализом трафика. Аномальная активность к новому, неиспользуемому CDN-провайдеру должна вызывать подозрение.
Вопрос: Насколько эффективно обучение сотрудников против таких изощрённых методов?
Ответ: Это краеугольный камень. Если человек понимает, что его могут попросить вставить команду в «Выполнить», он остановится и позвонит в службу безопасности. Обучение должно быть непрерывным и на реальных примерах. Один подготовленный сотрудник может предотвратить инцидент стоимостью в миллионы.
Вопрос: Наш антивирус не среагировал на тестовую атаку. Пора его менять?
Ответ: Традиционный антивирус, основанный на сигнатурах, бессилен против атак «нулевого дня» и легальных инструментов. Пора дополнять его системами поведенческого анализа (EDR) и процессного мониторинга. Антивирус — лишь один из слоёв обороны, и не самый главный.
Вопрос: Как часто нужно проводить симуляции таких атак?
Ответ: Минимум раз в квартал. Тактика злоумышленников меняется быстро. Ваша команда должна постоянно тренироваться. Лучший вариант — иметь постоянного «красного команду» (внешних или внутренних пентестеров), который будет регулярно проверять вашу оборону на прочность.
Вопрос: Мы не можем позволить себе дорогую SOC-команду 24/7. Что делать?
Ответ: Рассмотрите модель аутсорсинга мониторинга (Managed Detection and Response — MDR). Вы получаете доступ к экспертам и технологиям высокого уровня за фиксированную ежемесячную плату, которая часто ниже зарплаты одного квалифицированного аналитика. Это эффективно для компаний среднего размера.
В конечном счёте, всё упирается в простое правило: мир изменился. Хакеры не ломятся в двери — они просят вас самих её открыть, представившись сантехником. Ваша защита должна уметь проверять не только документы, но и намерения. И если эта статья заставила вас задуматься о том, что происходит в вашей сети прямо сейчас — это уже первый шаг.
Не откладывайте. Завтра может быть поздно.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]