EDR молчит, пока атакующий ходит по сети как сисадмин
На каждом втором внутреннем пентесте картина одна и та же: EDR стоит на всех хостах, SIEM собирает логи, политики настроены. И всё равно путь от рядовой рабочей станции до контроллера домена проходится без единого алерта.
Почему? Потому что атакующий не запускает вредоносный код. Он аутентифицируется как легитимный пользователь через штатные протоколы Windows. Для СЗИ это неотличимо от сисадмина, который в три ночи решил проверить бэкапы.
🔥 По данным CrowdStrike Global Threat Report, среднее время от первичного доступа до начала горизонтального перемещения для eCrime-групп — 29 минут. При этом 82% всех детектов приходятся на действия без вредоносного кода — злоупотребление легитимными инструментами и валидными credentials. Согласно Verizon DBIR 2025, украденные учётные данные стали причиной 22% всех подтверждённых утечек — больше, чем любой другой вектор первичного доступа.
Это не баг конкретного вендора. Это фундаментальная слепая зона всей модели защиты, построенной вокруг сигнатур и поведенческого анализа кода.
🎯 Как это работает на практике
Разберём самую популярную технику — Pass the Hash (T1550.002). Windows NTLM по дизайну принимает хэш как доказательство аутентичности вместо пароля. Никакой отдельной уязвимости — протокол так устроен. Получил NTLM-хэш из памяти процесса lsass.exe — и ходишь по сети от имени владельца этого хэша.
Что видит EDR? Авторизованный сеанс от доверенной учётной записи. Что видит SIEM? Штатное событие входа. Что видит аналитик SOC? Если не настроен детект на аномальные паттерны — ничего.
Ещё интереснее работает DCSync (T1003.006): атакующий имитирует репликацию контроллера домена через протокол MS-DRSR и забирает NTLM-хэши всех аккаунтов домена. На контроллере при этом не запускается ни одного процесса — только сетевой трафик через TCP/135 и динамический RPC-порт. Классический EDR, заточенный под анализ процессов, это попросту не видит.
🔍 Какие артефакты всё-таки остаются
Полностью бесследным не бывает никто. Вот что реально попадает в логи:
• Kerberoasting оставляет событие 4769 с шифрованием RC4 (0x17) вместо AES — аномалия, которую SIEM должен ловить, но часто не ловит без тюнинга
• Pass the Hash через SMB генерирует событие 4624 с типом входа 3 — в потоке легитимных сетевых аутентификаций его почти не видно
• DCSync детектируется только если SIEM коррелирует события репликации с источником
Главный вывод, который неудобен для большинства команд защиты: выбор техники атакующим определяется не инструментом, а тем, какие артефакты он готов оставить. Опытный пентестер сначала смотрит на логи, потом выбирает вектор.
⚙️ Полная версия статьи разбирает каждую технику с артефактами, decision tree для выбора вектора и конкретными рекомендациями по детекту — читайте на форуме.
