После проникновения внутрь периметра злоумышленники стремятся расширить контроль, захватить критически важные системы и создать условия для максимального ущерба. Достигнут ли они этой цели, зависит от устойчивости инфраструктуры компании.
Автор: Владимир Гришанов, руководитель BI.ZONE Compromise Assessment
Если ИТ-инфраструктура построена по принципу многослойной эшелонированной защиты, злоумышленникам будет крайне сложно добраться до ключевых активов, а тем более – остаться незамеченными. К сожалению, часто все наоборот: компании допускают ошибки, которые упрощают атакующим задачу и ускоряют компрометацию.
Продвижение злоумышленников на практике
К нам обратилась компания, у которой оказались зашифрованными несколько систем. Расследование показало, что все вредоносные действия выполнялись от имени одного из администраторов. Весь путь злоумышленника от первоначального проникновения до запуска шифровальщика занял всего 12,5 минуты. Выяснилось, что администратор подключался к рабочим системам с личного устройства, которое не охватывалось корпоративным мониторингом и не соответствовало политике безопасности. Именно это устройство и оказалось скомпрометированным.
Но не все атаки настолько стремительны. В другом случае, с который мы расследовали, злоумышленники находились внутри инфраструктуры 181 день, прежде чем нанесли ущерб.
Эти примеры показывают, что атакующие варьируют тактики в зависимости от цели. Иногда быстро наносят ущерб, чтобы получить выкуп, иногда долго скрываются в инфраструктуре, чтобы добраться до нужных данных в целях шпионажа или кражи.
Плоская сеть
Плоская сеть с минимальными барьерами между сегментами одновременно упрощает жизнь атакующим и усложняет работу защитникам. В такой сети доменные контроллеры, серверы баз данных или системы управления становятся доступны без каких-либо ограничений. Злоумышленники могут фактически беспрепятственно использовать протоколы SMB, WMI, RPC/DCOM, WinRM/PowerShell Remoting, RDP, SSH. При этом выявлять аномалии в плоской сети значительно сложнее: трафик между различными сегментами не фильтруется, а смешанные сетевые потоки не дают корректно настроить сетевые СЗИ.
Рецепт. Затруднить горизонтальное перемещение злоумышленников можно за счет внедрения сегментации, контроля доступа и постоянного мониторинга активности. Необходимо разделить сеть на изолированные сегменты, ограничить сетевой доступ между пользовательскими рабочими станциями, а также настроить списки контроля доступа на маршрутизаторах и межсетевых экранах. Это обеспечит фильтрацию трафика между сегментами. Для сервисов, опубликованных в интернете, следует создать отдельный сегмент с ограничением доступа из него во внутреннюю сеть.
Второй важный шаг – настройка Jump-хостов для администраторов. Вход на них должен осуществляться с использованием второго фактора и сертификата клиентов, а все действия – логироваться. Такие хосты ограничивают прямой доступ к критическим системам и снижают риск атаки с использованием скомпрометированных учетных записей с правами администратора.
Не менее важно минимизировать человеческий фактор. Даже после архитектурных изменений с инфраструктурой работают люди, которым свойственно упрощать себе задачи (например, открывая излишние сетевые каналы, которые снижают эффективность защиты). Поэтому сотрудники должны понимать веские причины ограничений. В этом помогут регулярные тренинги и единая политика администрирования.
И, конечно, нужно своевременно обнаруживать подозрительные перемещения в сети – в этом помогает непрерывный мониторинг.
Бесконтрольные привилегии
Как показывает наша практика, управление привилегированным доступом грамотно выстроено лишь в одной из десяти компаний. В остальных – одни и те же учетные записи используются как для администрирования, так и для повседневных задач; RDP-сессии не завершаются; администраторы свободно входят на рабочие станции или некритические серверы, оставляя в кэше свои учетные данные. Все это вместе со слабыми паролями и недостаточным мониторингом действий кратно увеличивает риск компрометации привилегированной учетной записи.
Рецепт. Чтобы предотвратить компрометацию привилегированных учетных записей, важно правильно выстроить процессы администрирования инфраструктуры. На практике злоумышленники редко атакуют сразу критические системы – сначала они получают доступ к обычным рабочим станциям или вспомогательным серверам. Если на таких узлах используются учетные записи администраторов с широкими правами, атакующий может извлечь их из памяти и использовать для дальнейшего продвижения по сети. В результате за короткое время может быть скомпрометирована вся инфраструктура.
Чтобы снизить этот риск, инфраструктуру необходимо разделять по уровням привилегий – например, на рабочие станции, серверы и критически важные системы (такие как контроллеры домена, системы управления средствами защиты, платформы оркестрации и другие ключевые компоненты). Для каждого уровня используются отдельные административные учетные записи, а доступ между уровнями строго ограничивается. Например, учетная запись с правами администрирования контроллеров домена не должна использоваться для входа на рабочие станции.
Важно избегать использования одинаковых локальных административных учетных записей на большом числе хостов, поскольку компрометация одной системы в таком случае автоматически открывает доступ к другим. Для этого применяются системы управления локальными учетными записями, которые создают уникальные пароли для каждого устройства.
Наиболее зрелый подход к управлению привилегиями предполагает использование специализированных систем управления привилегированным доступом (PAM), где административный доступ предоставляется через централизованную точку контроля и выдается только на ограниченное время по принципу Just-in-Time.
Крайне важно разделять учетные записи для административных и повседневных задач. Такая политика не позволит критическим учетным записям кешировать пароли в общедоступных системах. Для систем, куда необходимо подключаться используя привилегированные учетные записи, стоит ввести дополнительные меры защиты: включить принудительную очистку памяти от учетных данных при выходе, запретить хранение паролей в штатном менеджере паролей Windows, защитить память процесса LSASS от доступа со стороны недоверенных процессов.
Дополнительной мерой безопасности станет двухфакторная аутентификация для привилегированных УЗ. Она не позволит злоумышленнику получить доступ к критической системе, даже если ему удастся извлечь пароль из системы или найти его в утечке.
Привилегированные учетные записи нуждаются в регулярном аудите. Тестирование на проникновение помогает выявить потенциальные пути компрометации домена.
Бесконтрольное использование легитимного ПО
В одной из компаний, пострадавших от атаки с шифровальщиком в 2025 г., одновременно использовались TeamViewer, AnyDesk, VNC, Ammyy Admin, Radmin и RustDesk. Подобный зоопарк создает хаос в управлении, усложняет мониторинг и помогает злоумышленникам маскировать свои действия под легитимную активность.
Рецепт. Для предотвращения атак, использующих RAT (Remote Access Tools), PsExec и другие подобные программы, необходимо жестко контролировать применение этих решений, стандартизировать их и внедрить мониторинг. Несанкционированное использование инструментов удаленного доступа и системных утилит должно быть запрещено. Все разнообразие используемых RAT и утилит нужно свести к одному утвержденному решению.
Такой контроль поможет быстрее обнаруживать нелегитимные действия и оперативно на них реагировать.
Отсутствие AV-/EDR-решения или его некорректная настройка
По данным BI.ZONE DFIR, 65% компаний не используют централизованное антивирусное решение, а EDR-система внедрена лишь примерно в каждой десятой организации. На хостах без EDR действия злоумышленников часто остаются незамеченными, что делает такие системы удобной точкой закрепления в инфраструктуре – например, для запуска средств туннелирования трафика, таких как Cobalt Strike Beacon или gsocket.
При этом проблема заключается не только в полном отсутствии средств защиты. Нередко решения для защиты конечных точек установлены, но настроены некорректно. Чтобы снизить нагрузку на системы, администраторы могут отключать отдельные защитные компоненты (например, поведенческий анализ), снижать уровень эвристики или увеличивать интервалы обновления сигнатур и аналитических модулей. В результате средство защиты формально присутствует на хосте, но фактически не способно эффективно выявлять современные угрозы.
Даже при наличии актуальных и корректно настроенных решений их эффективность во многом зависит от процессов мониторинга. Отсутствие централизованного контроля и специалистов, отвечающих за анализ срабатываний, сводит пользу от таких систем к минимуму – оповещения генерируются, но на них просто некому реагировать, что создает ложное ощущение защищенности.
Рецепт. Чтобы повысить устойчивость к атакам, необходимо обеспечить полное покрытие инфраструктуры средствами защиты с учетом критичности систем. AV- и EDR-агенты должны быть установлены на всех хостах, включая рабочие станции, серверы и виртуальные машины. При этом важно не только наличие средств защиты, но и их корректная настройка: все ключевые механизмы обнаружения должны быть включены, а параметры эвристики, поведенческого анализа и обновления экспертизы – соответствовать актуальному уровню угроз.
Следующий шаг – внедрение единой консоли управления вместо нескольких разрозненных систем, между которыми вынужден переключаться аналитик. Это существенно упрощает анализ угроз и реагирование на них. Кроме того, необходим постоянный мониторинг статуса агентов СЗИ и их интеграции с SIEM-системой, чтобы своевременно выявлять отключение, сбои или попытки модификации средств защиты злоумышленниками.
Дополнительно команде реагирования необходимо постоянно развивать свои компетенции. В этом помогут регулярные тренинги по анализу срабатываний (включая распознавание ложных), разбор каждого инцидента с обязательным вынесением вердикта, командные учения и симуляции атак. BAS-фреймворки, такие как Caldera, OpenBAS, Infection Monkey или их коммерческие аналоги, отлично дополнят регулярные учения и помогут проверить процессы реагирования.
Невыстроенные процессы
Если в компании не налажены процессы управления уязвимостями и мисконфигурациями, это автоматически означает, что уязвимости не закрываются своевременно, и злоумышленники могут использовать их для повышения привилегий и перемещения. Не менее опасны устаревшие протоколы, например, SMBv1 или RDP без NLA. Именно эксплуатация SMBv1 внутри сети привела к печально известной истории с WannaCry.
Процесс реагирования на инциденты отсутствует у 80% организаций, согласно данным BI.ZONE DFIR. Запоздалое обнаружение атаки и нескоординированные действия мешают остановить злоумышленников, и те, как правило, успевают достичь своей цели. Еще одна распространенная ошибка – стремление как можно быстрее восстановить систему (в которой атакующие уже могли оставить бэкдоры) вместо полноценного расследования инцидента. К сожалению, из-за этого часто случаются повторные инциденты.
Рецепт. Звучит банально, но процесс реагирования должен быть разработан и детально задокументирован. Четкий план действий с разделением ролей позволяет в момент инцидента сосредоточиться на реагировании, а не на решении организационных вопросов. Важно связать процесс реагирования с планом аварийного восстановления, чтобы свести ущерб от атаки к минимуму. Команда кибербезопасности и руководство должны быть готовы действовать – для этого необходимы регулярные практические занятия по симуляции сценариев атак (например, с шифровальщиками).
Не менее важно выстроить процессы управления уязвимостями и устранения мисконфигураций. Если регулярно обновлять ПО, отключать неиспользуемые протоколы и обеспечивать постоянный мониторинг, велик шанс, что полученные на тренингах навыки никогда не придется применять для разбора последствий реальной атаки.
Заключение
Устойчивость компании к развитию атаки после первоначального проникновения зависит не от конкретных инструментов, а от целостной стратегии защиты. Необходимо последовательно устранять системные недостатки: от архитектурных (плоская сеть, бесконтрольные привилегии) до процессных (реагирование на инциденты, управление уязвимостями). Комплексный подход, сочетающий технические меры сегментации, контроля доступа, мониторинга с регулярным обучением сотрудников и отработкой процедур, лишает злоумышленников свободы действий и существенно повышает шансы остановить атаку на ранней стадии.