Использование легитимных низкоуровневых инструментов в качестве оружия: как программы-вымогатели обходят антивирусную защиту
Содержание
- Введение
- «Дилемма двойного назначения»: почему злоумышленники предпочитают легитимные инструменты
- Почему важна нейтрализация антивирусов
- Историческая эволюция нейтрализации антивирусов
- Цепочка атак программ-вымогателей
- Этапы злоупотребления легитимными низкоуровневыми инструментами
- Этап 1: Низкоуровневые инструменты для нейтрализации антивирусов и повышения привилегий.
- Этап 2: Кража учетных данных, манипуляции с ядром и инструменты развертывания программ-вымогателей.
- Примеры реальных кампаний: от блокировки антивируса до атаки программ-вымогателей.
- Картирование TTP субъектов угроз (MITRE ATT&CK)
- Новые тенденции и будущие угрозы
- Как Seqrite Защита от этих действий
- Рекомендации по обнаружению и реагированию на инциденты, связанные с продвинутыми угрозами
- Лучшие практики и рекомендации по безопасности
- Заключение
Введение:
Программы-вымогатели — это уже не просто вредоносный код, а коммерческий бизнес. Современные атаки разворачиваются в тщательно спланированных этапах, нацеленные на всех: от домашних пользователей до малых и крупных предприятий. Вместо того чтобы полагаться только на специально разработанное вредоносное ПО, современные злоумышленники действуют скорее как специалисты по тестированию на проникновение со злыми намерениями: они изучают средства защиты, ищут слабые места, а затем используют легитимные низкоуровневые инструменты против тех самых систем, которые должны быть защищены.
Возьмем, к примеру, такие утилиты, как Process Hacker, IOBit Unlocker, PowerRun или AuKill. Изначально они были созданы для того, чтобы помочь ИТ-командам устранять неполадки в системах, управлять реестром или работать с драйверами. Но в чужих руках они превращаются в оружие, используемое для незаметного отключения антивирусной защиты еще до того, как проявится действие программ-вымогателей.
Почему злоумышленники отдают им предпочтение:
- Фактор доверия: Поскольку они имеют цифровую подпись и широко используются, системы безопасности часто рассматривают их как безопасные.
- Возможности: Они предоставляют злоумышленникам контроль на уровне системы или даже ядра, чего обычное вредоносное ПО зачастую не может достичь самостоятельно.
- Stealth: Их действия выглядят как обычная административная работа, оставляя после себя очень мало следов.
Именно эта «дилемма двойного назначения» делает их такими опасными — инструменты, предназначенные для решения проблем, с такой же легкостью могут быть превращены в идеальное оружие для подрыва системы безопасности, и все это без привлечения внимания.
Почему важна нейтрализация антивирусов
Отключение антивируса — это не просто незначительный шаг в кампании по распространению программ-вымогателей, а преднамеренная тактика, призванная расчистить путь для выполнения вредоносной программы. Инструменты безопасности созданы для блокировки вредоносных файлов, регистрации подозрительного поведения и оповещения защитников в режиме реального времени. Отключая их, злоумышленники гарантируют, что их операции будут проходить беспрепятственно и незаметно.
Вот как отключение мер безопасности напрямую выгодно злоумышленнику:
- Антивирус блокирует вредоносные программы-вымогатели в момент их запуска.
- Система EDR будет фиксировать и регистрировать аномальное поведение при шифровании файлов.
- Судебно-криминалистические артефакты могут дать группам оперативного реагирования шанс отреагировать на ситуацию.
- Отключая эти средства защиты, злоумышленники создают скрытую зону, где программы-вымогатели могут работать незамеченными.
Историческая эволюция нейтрализации антивирусов
Группы, занимающиеся распространением программ-вымогателей, не стоят на месте — они постоянно совершенствуют способы обхода антивирусной защиты. Начавшись с простых атак на основе скриптов, они переросли в высокотехнологичные операции, включающие манипуляции на уровне ядра и готовые модули, которые теперь входят в стандартную комплектацию наборов Ranmoware-as-a-Service (RaaS). В таблице ниже приведено краткое описание этой эволюции:
| период | Метод первичной нейтрализации | Типичные семейства программ-вымогателей |
| 2015 – 2017 | Простые скрипты (taskkill/net stop) | CryptoLocker, WannaCry |
| 2018 – 2020 | Злоупотребление Process Hacker | Рюк, ДоппельПеймер |
| 2021 – 2023 | Манипулирование драйверами на уровне ядра | Conti, LockBit 2.0 |
| 2024 - по настоящее время | Предварительно настроенные модули антивирусной защиты в комплектах RaaS. | LockBit 3.0, BlackCat |
За прошедшие годы злоумышленники перешли от выполнения простых команд к прямому вмешательству в операционную систему, и теперь они полагаются на автоматизированные комплекты RaaS, которые по умолчанию включают в себя нейтрализаторы антивирусов, что делает эти атаки быстрее, незаметнее и сложнее для предотвращения.
Цепочка атак программ-вымогателей
Атаки программ-вымогателей обычно следуют продуманной последовательности шагов, часто называемой «цепочкой поражения», которая включает в себя вторжение от первоначального взлома до широкомасштабного шифрования и нарушения работы системы. Когда злоумышленники используют легитимные низкоуровневые инструменты, эта цепочка становится еще более скрытной и эффективной. Каждый этап тщательно продуман, чтобы обойти средства защиты, получить более высокие привилегии и гарантировать, что программа-вымогатель завершит свою миссию незамеченной.
- Первоначальный доступ – Злоумышленники проникают в систему через фишинговые электронные письма, украденные учетные данные или неправомерно используемые инструменты удаленного доступа (RAT), создавая таким образом свою первую точку опоры.
- Повышение привилегий – Такие инструменты, как PowerRun или YDArk, используются для получения разрешений на уровне системы или ядра.
- Нейтрализация антивируса – Программное обеспечение безопасности отключается путем остановки или выгрузки процессов антивируса и EDR.
- Кража учетных данных – Такие утилиты, как Mimikatz, извлекают сохраненные пароли и токены для передачи по сети.
- Стойкость и очистка – Такие инструменты, как Unlock_IT или Atool_ExperModel, удаляют журналы и отключают процедуры запуска, чтобы скрыть следы вторжения.
- Выполнение полезной нагрузки – Наконец, развертывается программа-вымогатель, которая шифрует файлы, сливаясь с обычной системной активностью.
Этапы злоупотребления легитимными низкоуровневыми инструментами
Злоумышленники обычно используют двухэтапный процесс при злоупотреблении административными и низкоуровневыми утилитами в кампаниях по распространению программ-вымогателей. Каждый этап имеет четкую цель и использует определенный набор инструментов:
Этап 1: Низкоуровневые инструменты для нейтрализации антивирусов и повышения привилегий.
Злоумышленники часто используют комбинацию программ для разблокировки файлов, запуска процессов, утилит для повышения привилегий и программ для извлечения учетных данных. Злоупотребляя этими категориями легитимных инструментов, они систематически отключают антивирусную защиту, стирают следы и подготавливают среду для запуска программ-вымогателей. В таблице ниже наиболее часто используемые инструменты сгруппированы в четыре основные категории.
| Инструмент | Законная цель | Сценарий атаки (Злонамеренное использование + Бесшумная командная строка Пример + технический алгоритм) | Влияние на безопасность |
| IOBit Unlocker | Разблокировать заблокированные файлы | Удаляет исполняемые файлы антивируса в фоновом режиме → IOBitUnlocker.exe /delete “C:\Program Files\AV\avp.exe” → Использует API NtUnlockFile для обхода блокировок ОС | Предотвращает перезапуск или обновление антивируса. |
| TDSSKiller | Удаление руткита | Используется для выгрузки драйверов ядра антивируса → tdsskiller.exe -silent -tdlfs → Блокирует перезагрузку модулей ядра антивируса | Ослабляет защиту на уровне ядра. |
| Проводник ядра Windows (WKE) | Отладчик ядра | Прямая выгрузка драйверов и манипулирование объектами ядра через PsSetCreateProcessNotifyRoutine → злоумышленник контролирует ядро ОС | Предоставляет полный контроль над операционной системой. |
| Atool_ExperModel | Диагностика реестра/процесса | Удаляет ключи автозагрузки антивируса → atool.exe /regdel HKLM\SOFTWARE\AVVendor\Startup → Нарушает сохранение состояния путем удаления запланированных задач | Антивирус не запускается автоматически после перезагрузки. |
| Хакер процесса | Диспетчер задач/отладчик | Завершает процессы антивируса с помощью SeDebugPrivilege → taskkill /IM Antivirusguard.exe /F | Мгновенно отключает мониторинг антивируса в режиме реального времени. |
| ПроцессКО | Быстрое завершение процесса | Мгновенно завершает работу антивирусных служб → ProcessKO.exe -kill Antivirusservice.exe | Сбрасывает защиту в режиме реального времени за считанные секунды. |
Этап 2: Кража учетных данных, манипуляции с ядром и инструменты развертывания программ-вымогателей.
После нейтрализации антивирусных процессов злоумышленники переключаются на кражу учетных данных, манипулирование средствами защиты на уровне ядра и выполнение вредоносных программ-вымогателей с повышенными привилегиями. Эти инструменты гораздо опаснее, поскольку работают на уровне системы или ядра, позволяя злоумышленникам перемещаться по сети, отключать механизмы обратной связи безопасности и запускать программы шифрования без прерывания. В таблице ниже приведены наиболее часто используемые инструменты на этом этапе:
| Инструмент | Законная цель | Сценарий атаки (злонамеренное использование + пример скрытой командной строки + техническая схема) | Влияние на безопасность |
| 0th3r_av5.exe | Защитная оболочка административной утилиты | Инструмент, управляемый скриптами, незаметно обрабатывает антивирусные службы и одновременно завершает несколько процессов. | Нейтрализует сразу несколько антивирусных агентов. |
| HRSword | Утилита для управления сервисами/драйверами (легальный инструмент администрирования) | Изменяет состояние службы/драйвера, чтобы отключить антивирус и предотвратить его переустановку → пример команды для тихого запуска: HRSword.exe /service stop “avservice” /disable → останавливает целевую службу, устанавливает ServiceStart в значение disabled и обновляет путь к исполняемому файлу службы или параметры восстановления, чтобы предотвратить автоматический перезапуск. | Предотвращает восстановление и переустановку антивирусной службы; увеличивает время пребывания злоумышленника в системе и затрудняет устранение последствий атаки. |
| YDArk | манипуляции ядром | Отключает обратные вызовы антивируса → ydark.exe -unload Antivirusdriver.sys → Перехватывает PsSetCreateThreadNotifyRoutine для скрытого сохранения активности | Подрывает защиту ядра. |
| Power Run | Запускать приложения от имени СИСТЕМЫ | Выполняет вредоносную программу-вымогатель на системном уровне → PowerRun.exe ransomware.exe | Обходит ограничения на уровне пользователя, предоставляет полные привилегии. |
| Unlock_IT | Разблокировать файлы/реестр | Удаляет журналы антивируса → UnlockIT.exe /unlock HKLM\Security\AVLogs → Удаляет записи реестра и следы криминалистического анализа | Расследование на основе журналов нарушений |
| HackTool AuKill | Нейтрализатор антивируса | Завершает процессы антивируса/EDR явным образом → Antiviruskiller.exe –kill –all | Создает «слепую зону» для развертывания программ-вымогателей. |
| Mimikatz | инструмент для извлечения учетных данных | Извлекает кэшированные учетные данные администратора → mimikatz.exe privilege::debug sekurlsa::logonpasswords → Читает память LSASS | Обеспечивает распространение по сети с помощью украденных учетных данных. |
Примеры действующих кампаний: от блокировки антивируса до программ-вымогателей:
Операторы программ-вымогателей часто используют легитимные низкоуровневые системные утилиты для нейтрализации антивирусной защиты, повышения привилегий и создания идеальной среды для выполнения вредоносной программы. Ниже представлен сводный обзор широко используемых инструментов и кампаний программ-вымогателей, в которых они были обнаружены:
| Инструмент | Связанные кампании по борьбе с программами-вымогателями |
| IOBit Unlocker | LockBit Black 3.0, Weaxor, TRINITY, Proton / Shinra, Mimic, Makop, Dharma, Mallox, Phobos |
| Хакер процесса | Фобос, Макоп, Дхарма, GlobeImposter 2.0 |
| Проводник ядра Windows (WKE) | Дхарма (семья Цезарь), Тринити, МедузаЛокер |
| HRSword | Phobos, GlobeImposter 2.0, Makop |
| YDArk | Виаксор, Фобос |
| TDSSKiller | BlackBit |
| Atool (Atool_ExperModel) | Тригона |
| ПроцессКО | Makop |
| 0th3r_av5.exe | MedusaLocker |
| Unlock_IT | ЦелеваяКомпания |
| Mimikatz | INC-вымогатели |
Картирование TTP субъектов угроз (MITRE ATT&CK)
Каждая кампания по распространению программ-вымогателей следует определённой схеме, и злоумышленники редко действуют случайным образом. На каждом этапе атаки они тщательно выбирают инструменты и методы, соответствующие их целям. Сопоставив эти действия с фреймворком MITRE ATT&CK, мы можем лучше понять, как легитимные низкоуровневые утилиты перепрофилируются для вредоносных целей.
В таблице ниже показано, как злоумышленники переходят от повышения привилегий к отключению средств защиты, краже учетных данных и, наконец, выполнению своей вредоносной программы-вымогателя — и все это, используя доверенные инструменты, которые изначально не предназначались для противоправных действий. Эта схема облегчает специалистам по защите визуализацию действий злоумышленника и позволяет выявлять возможности для обнаружения или предотвращения вторжения до того, как будет нанесен ущерб.
| Этап | Техника | Идентификатор подтехники MITRE ATT&CK | Инструменты Вовлеченный | Действия |
| Повышение привилегий | Механизм контроля за повышением уровня злоупотреблений | T1548.002 | PowerRun, WKE, YDArk | Доступ к системе/ядру |
| Уклонение от защиты | Отключить средства защиты | T1562.001 | AuKill, IOBit Unlocker, ProcessKO, Process Hacker | Обход антивируса/EDR |
| Доступ к учетным данным | Сброс учетных данных ОС | T1003.001 | Mimikatz | Боковое движение |
| Настойчивость | Изменить реестр | T1112 | Unlock_IT, Atool_ExperModel | Сохраните отключенное состояние антивируса. |
| Уклонение от защиты | Удаление файлов / Очистка журналов | T1070.004 | Unlock_IT | Удаляет улики, полученные в ходе судебно-медицинской экспертизы. |
| Дискавери | Обнаружение системных служб | T1082 | Process Hacker, PowerRun | Выявление запущенных процессов антивируса |
| Влияние | Запретить восстановление системы | T1490 | ProcessKO, Unlock_IT | Варианты восстановления блокировки |
| Влияние | Данные, зашифрованные для воздействия | T1486 | Все инструменты | Подготавливает полезную нагрузку для программы-вымогателя. |
Новые тенденции и будущие угрозы
Программы-вымогатели становятся быстрее, умнее и их сложнее обнаружить. Ключевые новые тенденции включают:
- RaaS Antivirus Killers – Встроенные скрипты в комплектах программ-вымогателей предназначены для автоматического отключения антивирусной защиты.
- Эскалация на уровне ядра – Злоумышленники используют уязвимости драйверов для получения скрытого контроля над системами на высоком уровне.
- Многофункциональные цепочки инструментов – Такие утилиты, как PowerRun, Unlock_IT и AuKill, используются в сочетании для надежного обхода уровней безопасности.
- Методы с использованием искусственного интеллекта – Искусственный интеллект помогает автоматически выбирать наиболее эффективный метод нейтрализации для каждой среды.
- Атаки на цепочку поставок – Введенные в систему административные инструменты, зараженные троянами, и поддельные обновления программного обеспечения создают новые векторы заражения.
- Целевое назначение конечных точек в облаке – Гибридные облачные инфраструктуры и используемые в них средства обеспечения безопасности становятся все более уязвимыми для сложных атак.
Эти тенденции указывают на то, что программы-вымогатели эволюционируют в сторону более автоматизированных, точных и скрытных операций, что делает стратегии упреждающей защиты крайне важными.
Как Seqrite Защита от этих действий
Seqrite предлагают многоуровневую защиту для противодействия изощренным программам-вымогателям и тактикам нейтрализации антивирусов посредством Seqrte EPP:
- Защита от вируса – Выявляет и блокирует троянизированные установщики, вредоносные скрипты и программы-вымогатели до того, как они смогут выполниться.
- Антивирусная самозащита – Предотвращает принудительное завершение или удаление антивирусного программного обеспечения злоумышленниками.
- Поведенческое обнаружение – Отслеживает подозрительные действия, такие как массовое завершение процессов, вмешательство в реестр.
- Защита Ransomware – Обнаруживает аномальную активность шифрования файлов в режиме реального времени, останавливая программы-вымогатели до того, как они распространятся.
- Управление приложениями – Ограничивает выполнение несанкционированных утилит и административных инструментов для предотвращения неправомерного использования. В совокупности эти функции обеспечивают как проактивную, так и реактивную защиту, обеспечивая безопасность конечных точек даже от сложных многоэтапных атак.
Мы постоянно отслеживаем ландшафт угроз и активно ищем новые или модифицированные варианты вредоносных утилит, оперативно обновляя наши модули обнаружения и правила поведения для поддержания эффективного охвата.
Рекомендации по обнаружению и реагированию на инциденты, связанные с продвинутыми угрозами
Для защиты от современных программ-вымогателей необходимы проактивный мониторинг и структурированные стратегии реагирования:
- Мониторинг завершения процесса – Выявление подозрительного массового завершения процессов антивируса или EDR.
- Реестр и аудит файлов – Отслеживание изменений в ключах реестра, журналах и записях автозагрузки, связанных с антивирусом.
- Поведенческий анализ – Выявление необычных действий на системном уровне и изменений на уровне ядра.
- Обнаружение кражи учетных данных – Отслеживать шаблоны доступа к LSASS и другим хранилищам учетных данных.
- Управление приложениями – Ограничить выполнение только для административно разрешенных инструментов, чтобы предотвратить неправомерное использование.
- Сценарии и оповещения – Автоматизация оповещений о последовательностях атак, таких как повышение привилегий → завершение работы антивируса → изменения в реестре/журналах → запуск программы-вымогателя.
- Изоляция конечных точек – Необходимо оперативно изолировать затронутые устройства, чтобы локализовать угрозу и предотвратить их распространение.
Эти шаги помогают организациям выявлять сложные атаки на ранних стадиях и реагировать структурированным и своевременным образом, снижая риск полномасштабных сбоев.
Лучшие практики и рекомендации по безопасности
Внедрение упреждающих мер безопасности может значительно снизить риск атак программ-вымогателей и сложных кибератак:
- Внедрить многофакторную аутентификацию для администраторов. – Для защиты привилегированных учетных записей от компрометации необходимо ввести многофакторную аутентификацию.
- Включить белый список приложений – Блокировать несанкционированные или непроверенные исполняемые файлы, предотвращая запуск вредоносных программ до того, как они смогут выполниться.
- Мониторинг событий завершения – Непрерывно обнаруживать и оповещать о подозрительных командах, таких как sc stop, net stop или taskkill.
- Ограничить использование низкоуровневых инструментов. – Ограничьте выполнение только проверенными, критически важными для бизнеса административными инструментами.
- Изменения в реестре аудита – Отслеживать и отмечать изменения ключей реестра, связанных с антивирусом, EDR или настройками автозагрузки.
- Обучайте команды SOC. – Обучить аналитиков по безопасности выявлять скрытые попытки обойти или нейтрализовать средства защиты.
- Изолировать административные службы – Предоставляйте доступ к конфиденциальным инструментам только через защищенные, контролируемые промежуточные серверы.
Следование этим передовым методам гарантирует, что организации будут поддерживать строгий контроль над критически важными системами, выявлять подозрительную активность на ранних стадиях и минимизировать последствия потенциальных атак.
Заключение
Низкоуровневые административные инструменты, изначально разработанные для повышения эффективности ИТ-операций, все чаще используются в качестве оружия в кампаниях по распространению программ-вымогателей. Злоумышленники используют их для отключения антивирусной защиты и средств реагирования на угрозы (EDR), обеспечения скрытого присутствия и подготовки систем к незаметному масштабному шифрованию. То, что когда-то считалось надежными утилитами, теперь стало одним из самых опасных инструментов, способствующих кибератакам.
Главный вывод очевиден: инструменты двойного назначения представляют серьезную угрозу для безопасности предприятия. Для борьбы с этой угрозой необходимы многоуровневые средства защиты, сочетающие в себе преимущества Quick Heal / Seqrite Защита обеспечивается строгим управлением и контролем над административными утилитами. Превратив эти инструменты в надежных союзников защитников, а не в оружие злоумышленников, организации могут лишить противников их скрытности и защитить критическую инфраструктуру от современных кампаний по распространению программ-вымогателей.
Мы постоянно отслеживаем ландшафт угроз, активно ищем новые или модифицированные варианты инструментов и передаем эти данные непосредственно в наши модули обнаружения, обеспечивая тем самым постоянное обновление нашего покрытия по мере изменения тактики злоумышленников.
Авторы
Автор: Матин Тадви
Соавтор: Сумит Патил
