UDV Group: Backdoor — скрытые входы в систему

Ольга Луценко, ведущий ИБ-эксперт компании UDV Group, рассказала о том, как искать бэкдоры и с помощью каких механизмов атакующий может вернуться в систему. 

Как эффективнее всего искать бэкдоры, которые не являются файлами и используют встроенные инструменты системы?

Основной метод поиска таких бэкдоров – поведенческий анализ и поиск аномалий, поскольку сигнатурные способы в данном случае неэффективны.

Мониторинг цепочек выполнения процессов. Осуществляется с использованием EDR-систем. Ключевые индикаторы: запуск powershell.exe или cscript.exe из офисных приложений или почтовых клиентов; использование системных утилит для сетевой активности.

Анализ сетевой активности. Необходимо выявлять аномальные соединения для легитимных процессов. Например, установка внешних соединений служебными процессами вроде svchost.exe или msdtc.exe. Для полного анализа требуется инспектирование TLS-трафика для верификации содержимого соединений с внешними сервисами.

Контроль целостности конфигурации. Регулярный мониторинг изменений в областях персистентности: задачи Планировщика, службы Windows, подписки WMI, автозагрузка. Любые изменения должны сверяться с эталонными конфигурациями.

Какие скрытые механизмы позволяют атакующему вернуться в систему, даже если основной бэкдор уже нашли и удалили?

Речь идет о механизмах обеспечения персистентности. Они крайне разнообразны и часто остаются нетронутыми после первичного реагирования.

Дополнительные учетные данные. Злоумышленник заранее создает резервные наборы учетных данных (логины/пароли, сертификаты, API-ключи) и размещает их в различных частях системы. Обнаружение и удаление одного бэкдора не гарантирует устранения всех методов доступа.

Персистентность через подписки на события. Например, настройка подписки Windows Event Forwarding для выполнения скрипта при определенном событии (например, вход пользователя). Это не требует изменения файлов на диске и сложно для детектирования.

Модификация учетных записей. Использование таких техник, как Skeleton Key, когда для учетной записи создается два работающих пароля, или создание скрытых клонов учетных записей с идентичными привилегиями.

Компрометация инфраструктуры доверия. Наиболее опасный сценарий - компрометация домена Kerberos. Получив его хэш, злоумышленник может в любой момент сгенерировать билет доступа к любой системе в домене, даже после полного удаления бэкдоров с конечных точек.

Компрометация резервных копий. Внедрение вредоносного кода в образы резервных копий. Процедура восстановления системы из такой резервной копии приводит к повторному заражению.

Современная защита от бэкдоров требует сдвига парадигмы от поиска вредоносных файлов к комплексному мониторингу поведения и конфигурации. Критически важны: строгий контроль цепочки поставок ПО, внедрение принципа минимальных привилегий, а также постоянный мониторинг аномальной активности на конечных точках и в сети. Необходимо исходить из допущения о компрометации и вести поиск не только точек входа, но и скрытых механизмов персистентности.