Добавить в корзинуПозвонить
Найти в Дзене
Root без прав
1 подписчик

Хакер залетел в корпоративную сеть за пару часов. Ему даже вирус писать не пришлось.

1
5 мин
Представь: хакеру не нужно быть гением. Не нужно годами учиться ассемблеру, писать сложные вирусы, обходить антивирусы. Иногда достаточно уметь гуглить и пользоваться чужим кодом. Именно так в середине апреля 2026 года неизвестный злоумышленник захватил корпоративную сеть за несколько часов. И сделал это почти бесшумно. Его оружие? VPN, украденный пароль и Open Source проект с GitHub. Сегодня разберём эту схему. Чтобы ты понимал: такие атаки будут только нарастать. И защититься от них сложно, но можно. Всё началось с одного VPN-сеанса. Хакер подключился к корпоративной сети с IP-адреса, который принадлежал провайдеру виртуальных серверов в Нидерландах. Ничего подозрительного — обычный удалённый вход. Как он получил учётные данные? Тут вариантов много: Но факт остаётся фактом: он зашёл как легальный пользователь. Система не заподозрила неладного. С первой захваченной машины хакер включил удалённый рабочий стол (RDP) — стандартную функцию Windows. Открыл нужный порт в брандмауэре. И подк
Оглавление

Представь: хакеру не нужно быть гением. Не нужно годами учиться ассемблеру, писать сложные вирусы, обходить антивирусы.

Иногда достаточно уметь гуглить и пользоваться чужим кодом.

Именно так в середине апреля 2026 года неизвестный злоумышленник захватил корпоративную сеть за несколько часов. И сделал это почти бесшумно.

Его оружие? VPN, украденный пароль и Open Source проект с GitHub.

Сегодня разберём эту схему. Чтобы ты понимал: такие атаки будут только нарастать. И защититься от них сложно, но можно.

Часть 1. Вход через чёрный ход — VPN и украденные данные

Всё началось с одного VPN-сеанса.

Хакер подключился к корпоративной сети с IP-адреса, который принадлежал провайдеру виртуальных серверов в Нидерландах. Ничего подозрительного — обычный удалённый вход.

Как он получил учётные данные? Тут вариантов много:

  • Слив базы паролей (сотрудник использовал тот же пароль на стороннем сервисе)
  • Фишинг (перешёл по ссылке и сам ввёл логин и пароль)
  • Брутфорс (подобрал слабый пароль по словарю)

Но факт остаётся фактом: он зашёл как легальный пользователь. Система не заподозрила неладного.

Часть 2. Первые шаги внутри — ручной контроль

С первой захваченной машины хакер включил удалённый рабочий стол (RDP) — стандартную функцию Windows. Открыл нужный порт в брандмауэре. И подключился уже по RDP вручную.

Дальше он использовал утилиту smbexec из известного набора инструментов Impacket. Эта штука позволяет выполнять команды на удалённых машинах без необходимости ставить туда дополнительный софт.

Всё выглядело как легитимная администрирование. Но это был взлом.

Часть 3. Главное оружие — Komari с GitHub

Хакер не стал писать вредоносное ПО. Он просто скачал проект Komari с GitHub.

Что такое Komari?

Это легальный Open Source инструмент для мониторинга серверов. Написан на языке Go. У него тысячи звёзд на GitHub, активные разработчики, регулярные обновления.

Внешне — полезная программа для администраторов.

Но у неё есть одна особенность: все функции для удалённого управления включены по умолчанию.

Через агент Komari можно:

  • Выполнять любые команды в системе
  • Получить интерактивный доступ к командной строке (как будто сидишь за компьютером)
  • Проверять доступность других узлов в сети
  • Загружать и выгружать файлы

И всё это — без дополнительных настроек. Установил и пользуйся.

Хакер установил Komari на захваченную машину и замаскировал службу под «Windows Update Service». Кто же подумает плохое про обновления Windows?

Часть 4. Как закрепиться в системе

Просто установить программу мало. Надо, чтобы она не умерла после перезагрузки.

Хакер использовал NSSM (Non-Sucking Service Manager) — утилиту, которая превращает любую программу в системную службу Windows. И настраивает автоматический перезапуск, если что-то пошло не так.

В итоге Komari получил права SYSTEM — самый высокий уровень доступа в Windows. И стал работать как постоянный канал связи с сервером хакера.

Соединение было зашифрованным и внешне не отличалось от обычного HTTPS-трафика. Антивирус не квакал. Сетевые экраны пропускали. Идеальный шпион.

Часть 5. Почему это сложно обнаружить

Проблема в том, что Komari сам по себе не вредоносный. Это легальный инструмент. Его можно скачать с официального сайта. У него нет сигнатур для антивирусов.

Хакер даже не пытался маскировать установку. Скрипт загрузки скачал прямо из официального репозитория GitHub.

Блокировать GitHub? Не вариант. Там тысячи легитимных разработчиков, целые компании зависят от него.

Блокировать Komari по названию? А если инженеры компании сами его используют для мониторинга? Тогда заблокируешь своих же.

Единственный способ — смотреть на поведение, а не на имя программы.

Часть 6. Что выдало хакера (и спасло компанию)

Хакер попытался извлечь данные из реестра Windows — видимо, искал пароли или ключи.

В этот момент встроенная защита Windows (Defender) забила тревогу. Антивирус заметил подозрительную активность и заблокировал часть действий.

Хакер быстро переключился на Komari как основной канал управления. Но было поздно.

Системные администраторы заметили неладное:

  • Долгое исходящее соединение с подозрительного процесса
  • Неожиданный запуск командной строки без участия пользователя
  • Новую системную службу с именем «Windows Update Service», которая не была похожа на настоящую

Они изолировали скомпрометированную машину, отключили учётную запись и разорвали соединение с сервером хакера.

Данные не утекли. Дальше по сети хакер не пошёл. Повезло.

Часть 7. Как защититься от таких атак.

Здесь нет серебряной пули. Но есть несколько принципов, которые реально работают.

1. Включи двухфакторку на VPN

Украденного пароля недостаточно. Пусть хакер имеет пароль, но без кода из телефона он не войдёт.

2. Ограничь права учётным записям

Не давай пользователям (и тем более приложениям) права администратора, если это не нужно. Пусть хакер заходит — без прав он ничего не установит.

3. Настрой мониторинг поведения, а не имён файлов

Смотри на:

  • Долгие исходящие соединения с необычных процессов
  • Запуск PowerShell или cmd без участия человека
  • Новые службы, особенно замаскированные под системные
  • Изменения в реестре и брандмауэре

4. Используй список разрешённых приложений (Application whitelisting)

Только те программы могут запускаться, которые ты одобрил. Всё остальное — блокируется.

5. Отключи RDP (удалённый рабочий стол), если он не нужен

Хакеры обожают RDP. Не нужен — отключи. Нужен — поставь сильную аутентификацию и смени порт с 3389 на любой другой.

6. Регулярно проверяй список служб и автозагрузку

Раз в неделю заходи в services.msc и смотри нет ли подозрительного. «Windows Update Service» от Microsoft — это одно. А «Windows Update Service» с подозрительным путём к файлу — это уже красный флаг.

Часть 8. Главный вывод

Хакерам больше не нужно быть супер-программистами. Они берут готовые легальные инструменты и используют их по назначению. Против этого сложно воевать традиционными антивирусами.

Komari сам по себе — хороший проект. Проблема не в нём. Проблема в том, что любой мощный инструмент администрирования — это и мощное оружие в руках злоумышленника.

Твоя защита — не в блокировке конкретных программ. А в контроле за тем, что происходит в системе, и строгом ограничении прав.

И ещё: если ты работаешь в компании — поговори с сисадминами. Спроси, мониторят ли они поведенческие аномалии. Или до сих пор надеются на антивирусную базу, которая обновляется раз в день?

Потому что атаки, как эта, не спрашивают разрешения. Они уже идут.

Подпишись, чтобы не пропустить.

Root без прав, но с головой.