Хакеры в белых перчатках: как они прячут вирусы в подписанных сертификатах

Злоупотребление EV-сертификатами в атаках вредоносным ПО

Почему после краха Global Man стало только опаснее

Вы думаете, цифровой сертификат на файле — это знак качества, как ГОСТ на пачке масла? А вот и нет. Мой коллега из SOC крупного банка неделю ломал голову, почему «чистый» и подписанный вендором софт для учёта вдруг начал тихо сливать данные в неизвестный сегмент сети. Оказалось, подпись была настоящей. Просто купленной на тёмном рынке.

Сегодня расскажу, как работает эта серая индустрия, почему закрытие авторитетного сервиса Global Man — это не победа, а сигнал к тревоге, и какие приёмы работают в 2026 году для защиты от атак с «легитимными» сертификатами. С примерами из практики и парой неочевидных лайфхаков.

Сертификат для зловреда — это как пропуск в охраняемый бизнес-центр для человека с дипломатом.

Охранник (антивирус или система EDR) видит бейдж, кивает и пропускает. А внутри дипломата — совсем не документы. Грубая аналогия? Зато точная. На практике, если файл подписан EV-код-сертификатом (Extended Validation), многие системы расслабляются. И это огромная проблема.

Раньше добыть такой «пропуск» было сложно.

Нужно было либо украсть ключи у настоящего вендора, либо создать фантомную компанию и пройти проверку у центра сертификации (CA). Долго, дорого, риски. А потом появились услуги «под ключ». Сервисы вроде Global Man стали мостом между теневой экономикой и легальным рынком доверия. Они за тебя создавали компанию-оболочку, проводили её через проверку у доверенного CA (часто регионального, с менее строгими процедурами), получали сертификат и продавали его тебе. Цена — от десятков до сотен тысяч рублей за штуку. Для группировки, зарабатывающей миллионы на атаках на финтех, это расходники.

Что любопытно, Global Man славился именно надёжностью.

В мире, где все друг друга кидают, он годами работал как швейцарские часы. Через него проходили заказы от известных APT-групп и операторов банковских троянов. Поэтому его внезапное закрытие с деньгами клиентов на счетах — классический Exit Scam — стало маленьким землетрясением.

И знаете, что самое неприятное? Это не решило проблему, а лишь перераспределило рынок.

Сразу после новостей о крахе Global Man мы в нашей Threat Intelligence-команде стали наблюдать интересную динамику. Количество новых вредоносных файлов с «свежими» подписями действительно упало. Но ненадолго, недели на две. Потом — взрывной рост. Цены на оставшихся продавцов взлетели на 40-50%. А главное — изменилась география. Если раньше преобладали сертификаты от определённых региональных центров, то теперь в ход пошли вообще все, кто хоть как-то проходит базовые проверки в Windows.

Вывод? Спрос никуда не делся. Угроза не исчезла.

Просто инфраструктура адаптировалась. Как вода, которая обтекает преграду.

Почему это касается именно вас? Если вы работаете в банке, ритейле, энергетике или любой другой сфере, где есть что защищать, ваши EDR-системы заточены на поиск аномалий. А подписанный файл — это изначально не аномалия, это норма. Он попадает в слепую зону. И чтобы его выцепить, нужны уже не сигнатурные методы, а поведенческий анализ самой высокой пробы.

По моему опыту аудитов, в 8 из 10 компаний правила EDR и классических антивирусов настроены так, что подписанные файлы проходят с меньшим уровнем подозрительности. Это лазейка в метр толщиной.

Так что же делать? Выбрасывать всё и начинать с чистого листа? К счастью, нет. Но настройки надо пересматривать.

И вот несколько конкретных шагов, которые мы применяем на проектах.

Первое — и самое главное — это контекст.

Файл может быть подписан хоть самим Microsoft, но если он запускается не оттуда, где должен, — это красный флаг. Например, легитимная утилита для диагностики сети вдоль и поперёк подписана, но она запускается не из папки C:\Program Files, а из временной директории пользователя в AppData\Local\Temp. Или, что ещё хрестоматийнее, файл с подписью «ООО Рога и копыта» пытается загрузить драйвер в систему. Почему утилита для учёта скота лезет в ядро? Вопрос риторический.

Настройте вашу EDR (CrowdStrike, SentinelOne, Kaspersky и т.д.) на мониторинг не просто факта подписи, а её соответствия контексту запуска: путь, родительский процесс, учётная запись. Это убивает процентов 80 таких атак.

Второе — мониторинг репутации сертификатов, а не только файлов.

Есть публичные базы данных и коммерческие TI-платформы (например, VirusTotal Intelligence), которые отслеживают, в каких зловредах всплывал тот или иной сертификат. Если хеш сертификата уже был замешан в подписи трояна, то любой новый файл с ним должен автоматически получать максимальный уровень подозрения. Вы удивитесь, как часто злоумышленники используют один и тот же сертификат для десятков разных семейств вредоносного ПО, пока его не отзовут.

Третье — жёсткий контроль за установкой корневых сертификатов.

Это продвинутая, но очень эффективная техника. Атакующий может попытаться установить в доверенное хранилище системы собственный корневой сертификат. И тогда уже любая подпись, выданная на его основе, будет считаться доверенной. Мониторьте любые изменения в хранилищах Trusted Publishers и Root Certification Authorities на критичных рабочих местах и серверах. Любое несанкционированное добавление — инцидент.

Личный кейс из практики. Год назад мы расследовали инцидент в одной логистической компании. Зловред майнил криптовалюту и был идеально подписан сертификатом, выданным на имя… дочерней фирмы этого же холдинга в другой стране. Оказалось, утечка приватного ключа произошла из-за халатности системного администратора того самого филиала. Он хранил ключ для подписи внутреннего софта на той же виртуалке, где и запускал сомнительные «оптимизаторы» Windows. Виртуалку взломали через уязвимость в софте для удалённого доступа, ключ вытащили. И начали штамповать подписи для всего, что попадётся.

Честно говоря, такие случаи — лучшая иллюстрация, что угроза часто имеет гибридную природу. Это не просто злой хакер извне, это сочетание внешней атаки и внутренних уязвимостей в процессах.

А теперь давайте начистоту: стандартные меры безопасности здесь часто буксуют.

Обновления Windows? Да, они помогают, но CA, выдавший сертификат, может быть вполне легален. Антивирус? Пропустит, если сигнатуры нет. Даже некоторые EDR-системы в базовой конфигурации смотрят на код-сигнатуру и снижают бдительность.

Нужен комплексный, почти детективный подход.

Представьте, что ваш SOC — это не просто пульт с датчиками, а команда следователей. Каждый подписанный файл — это не просто «разрешён к исполнению», это потенциальный вещдок. Нужно проверить его историю: когда и кем выдан сертификат? Какая компания за ним стоит? Есть ли она вообще в реальном мире? Не использовался ли этот сертификат ранее в других инцидентах (публичных или внутри вашей организации)? Соответствует ли поведение файла его заявленным функциям?

И вот здесь многие споткнутся. Потому что для такой аналитики нужны не только технологии, но и экспертиза, и время. А его у внутренних команд вечно не хватает.

Что я часто вижу? Команды завалены тысячами алёртов в день.

И алерт на «подписанный файл, но с подозрительным поведением» имеет средний или низкий приоритет. Его отложат «на потом». А «потом» будет, когда этот файл уже отработает свою вредоносную нагрузку.

Поэтому моё жёсткое правило для всех, с кем работаю: создайте отдельный трекинг именно для инцидентов с подписанным вредоносным ПО. Повысьте его приоритет. Обучите аналитиков не просто кликать по алертам, а задавать эти каверзные вопросы к контексту.

Давайте резюмируем.

После краха Global Man мир не стал безопаснее. Цены выросли, игроки перегруппировались, а методы стали только изощрённее. Ваша защита не должна опираться на доверие к цифровой подписи по умолчанию. Доверяй, но верифицируй — вот девиз на 2026 год.

И к слову о 152-ФЗ и ФСТЭК. Если вы обрабатываете персональные данные или работаете с объектами КИИ, то формальный подход «поставили средство защиты и отчитались» здесь не прокатит. Требования к обнаружению сложных целевых атак (к которым это и относится) ужесточаются. Нужно демонстрировать не просто наличие софта, а его эффективность против конкретных тактик злоумышленников (вспоминаем тактики из ATT&CK, например, Subvert Trust Controls: Code Signing). Без глубокой настройки и аналитики здесь не обойтись.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист по аудиту защиты от атак с подписанным ПО + дорожную карту + КП.
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

10 правил 2026 года для защиты от «легитимного» вредоносного ПО

1. Отмените «доверие по умолчанию» к подписи. В политиках EDR/антивируса уберите любые послабления для подписанных файлов. Пусть они проходят все те же проверки поведения.
2. Внедрите анализ репутации сертификатов. Используйте Threat Intelligence-платформы, чтобы проверять, не «засветился» ли сертификат в прошлых атаках. Это можно автоматизировать.
3. Жёстко контролируйте установку сертификатов. Любое добавление корневых и издательских сертификатов в хранилища Windows должно быть санкционированным и логируемым событием высокого критичности.
4. Требуйте от вендоров прозрачности. Если вы покупаете софт, спросите у поставщика, как они защищают свои ключи подписи. Это теперь часть критериев безопасности.
5. Настройте алёртинг на несоответствие контекста. Файл подписан вендором А, а запускается из папки вордовских шаблонов? Немедленный алерт с высоким приоритетом.
6. Регулярно проводите Purple Teaming с этим вектором. Специально тестируйте, как ваша защита реагирует на подписанные тестовые зловреды. Без этого все правила — просто теория.
7. Мониторьте сетевую активность «легитимных» процессов. Даже идеально подписанный файл, который пытается установить связь с C&C-сервером, должен быть вычислен по сетевой аномалии.
8. Ведите внутреннюю базу «плохих» сертификатов. Если вы обнаружили инцидент, добавьте использованный сертификат в чёрный список во всех ваших системах. Это предотвратит его повторное использование.
9. Учитывайте российскую специфику. Некоторые CA, действующие на территории РФ и СНГ, могут иметь менее строгие процедуры проверки. Будьте к файлам, подписанными ими, чуть внимательнее.
10. Упростите процесс для аналитиков SOC. Создайте для них чёткую playbook-инструкцию: «При обнаружении подписанного файла с подозрительным поведением проверь А, Б, В». Это ускорит реакцию в разы.

══════

Часто задаваемые вопросы (FAQ)

1. Что такое Exit Scam применительно к сервисам вроде Global Man?
   Это когда оператор теневого, но давно работающего и надежного сервиса внезапно собирает все деньги клиентов (за предоплаченные заказы) и исчезает. Классический «кидок».
2. Правда ли, что после закрытия Global Man атак стало меньше?
   На очень короткое время — да. Потом стал расти спрос на альтернативных продавцов, выросли цены, и активность вернулась к прежнему уровню. Угроза никуда не делась.
3. Какие отрасли в зоне особого риска?
   Финтех, банки, ритейл (особенно крупные сети), энергетика и любая критическая информационная инфраструктура (КИИ). Именно там прибыль от атак оправдывает затраты на дорогие сертификаты.
4. Достаточно ли просто отключить доверие к подписям в системе?
   Нет, это сломает половину легального софта. Нужна тонкая настройка: не блокировать всё подряд, а поднимать уровень подозрительности и тщательнее анализировать поведение подписанных файлов.
5. Какой минимум действий для защиты прямо сейчас?
   Пересмотреть политики EDR/антивируса, убрав автоматическое доверие к подписи. Включить мониторинг установки сертификатов. Начать вести внутренний чёрный список скомпрометированных сертификатов.
6. EDR обязательно покупать для защиты от этого?
   С классическим антивирусом вы будете слепы к таким атакам почти на 100%. EDR/XDR с правильно настроенным поведенческим анализом — это must-have в 2026 году для любой серьёзной организации.
7. Как это связано с 152-ФЗ и ФСТЭК?
   Если вы попадаете под эти регуляторы, то обязаны защищаться от целевых атак. Использование злоумышленниками подписанного ПО — одна из ключевых тактик таких атак. Формального соответствия здесь недостаточно, нужна реальная эффективность.
8. Могут ли использовать сертификаты, выданные госорганами?
   Теоретически — да, если ключи будут скомпрометированы. На практике чаще используются сертификаты коммерческих CA, в том числе региональных, с менее строгой проверкой заявителей.
9. Что важнее: сертификат или поведение файла?
   Однозначно поведение. Современная защита строится на принципе «Never Trust, Always Verify». Даже файл с идеальной подписью, ведущий себя как зловред, должен быть заблокирован.
10. Мы маленькая компания, нас это не коснётся?
    Массовые кампании с подписанным ПО пока редкость. Но если вы — поставщик услуг для крупного бизнеса (юридические, IT-аутсорсинг), вы можете стать «мостиком» для атаки на вашего клиента. Риск есть всегда.

Помните, что хакеры просто переложили свои издержки на вас. Теперь вам приходится тратить больше ресурсов на анализ и защиту. Но игра стоит свеч — цена пропущенной атаки с «легитимным» зловредом на порядки выше.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]