Последние пять лет превратили термин «endpoint detection and response» из модного лозунга в обязательный компонент практически любой корпоративной инфраструктуры. Агент на рабочей станции видит системные вызовы, перехватывает подозрительную библиотеку, блокирует скрипт, сверяет хэш файла с облачной сигнатурой.
Казалось бы, жизнь злоумышленника становится невыносимой. На деле же вырос целый подпольный рынок утилит, созданных исключительно для того, чтобы спрятать малварь на глазах у защитника. Разработчики выстраивают сложные схемы: перебрасывают нагрузку в ядро, подменяют процессы, стирают следы в журналах и даже прикрываются цифровыми подписями, принадлежащими реальным компаниям.
Ниже — подробное исследование приёмов, с помощью которых профессиональные группировки ускользают от EDR и затрудняют судебную экспертизу.
Почему EDR мешает, но не остановит опытного оператора
Агент конечной точки — это набор перехватов API, мониторинг Event Tracing for Windows, сенсоры в драйверах и поведенческий анализ. Каждая прослойка увеличивает поверхность атаки защитника, но одновременно открывает двери для «обратных» манипуляций. Именно поэтому банды шифровальщиков инвестируют в инструменты, способные «ослепить» или «оглушить» защитное ПО ещё до развертывания полезной нагрузки.
Тактика эволюционирует: если в 2019-м хватало незаметно выгрузить процесс антивируса, то к 2025-му злоумышленник предпочитает временно лишить агент доступа к ядру, а затем вернуть всё как было, оставив минимум шумовых артефактов.
Process Hollowing, Doppelgänging и Herpaderping: тонкая игра с образами
Манипуляции с контейнером процесса остаются базовым блоком большинства цепочек. «Пустотелый» executable загружается с корректной подписью Microsoft, после чего рабочий раздел памяти подменяется шеллкодом. Трюки с NTFS-транзакциями позволяют вовсе отказаться от сохранения злонамеренного файла на диск — подход, получивший имя process doppelgänging, позже эволюционировавший в ещё более скрытный herpaderping.
Исследователи Elastic показали, что уведомление EDR о создании процесса приходит только после запуска первого потока, создавая короткий промежуток для подмены содержимого секции. К середине 2025 года появились инструменты, автоматизирующие подобную атаку в один клик, что снижает порог входа для менее квалифицированных преступников.
Reflective DLL Injection и прямые системные вызовы без перехватов
Поскольку большинство EDR-агентов базируется на user-mode hooks, популярной стала стратегия «single-syscall». Вызов обходится без стандартной библиотеки ntdll.dll: скомпилированный фрагмент ассемблера оформляет запрос напрямую, минуя таблицу импорта. Особенно часто приём комбинируют с reflective DLL injection, когда библиотека разворачивается целиком в RAM и исполняет свой PE-заголовок изнутри.
Метод не оставляет на диске ни одного нового файла, зато даёт полный доступ к процессу, включая возможность изменить структуру PEB и скрыть родительский PID. Для защиты компаниям приходится внедрять Guardian-классы, анализирующие не API, а поведение потока: частотность переходов в kernel-mode, количество аллокаций RWX-памяти, а также сигнатуры shellcode-дешифраторов.
Альтернативные пути: Process Ghosting, Fantomas и динамические секции
Сообщество пентестеров шутливо называет новый виток образных атак «фантомными», поскольку конечный бинарник не существует на диске в момент проверки антивирусом. Вариант Process Ghosting маскируется под корректное удаление файла сразу после открытия дескриптора, сохраняя дескриптор в оперативной памяти. Приём любят APT-коллективы, потому что он компактен, а исходный код легко встроить в любой рантайм.
Аналитики Picus подчёркивают: утечка памяти в секции изображений остаётся практически единственным надёжным индикатором, способным выдать «призрак». Однако эта особенность замечается лишь при глубоком корелляционном анализе, недоступном большинству малых SOC.
AMSI, ETW и другие «глаза» операционной системы
Windows Antimalware Scan Interface проверяет скрипты PowerShell, JavaScript и VBA до запуска, поэтому злоумышленники массово ищут способы нейтрализовать механизм. Модификация одной-двух инструкций внутри dll поверхностно выглядит как случайная ошибка, а новый «patchless» подход VEH² вовсе использует аппаратный breakpoint, не трогая кода библиотеки.
Параллельно исследуется направление отключения ETW-сенсоров: атака подменяет структуру _ETW_GLOBALS в kernel-space, заставляя событие маршрутизироваться в пустой список сессий. Вендоры реагируют медленно, так как изменение ядра требует согласования с PatchGuard, а путём BYOVD можно загрузить уязвимый драйвер и обойти защиту.
Драйверные трюки и Bring Your Own Vulnerable Driver
Сценарий BYOVD набрал популярность вместе с повсеместной цифровой подписью драйверов. Преступник скачивает легитимный, но устаревший модуль, содержащий произвольную запись в MSR или прямой доступ к физической памяти. После загрузки он патчит SSDT, отключает Callbacks, снимает DSE и выгружает агент EDR.
Подпись остаётся валидной, что значительно усложняет реагирование: блокировать сертификат — означает рисковать совместимостью сотен устройств. Halcyon фиксировал случаи, когда группы вымогателей интегрировали инсталлятор драйвера прямо в пакет с шивровальщиком, благодаря чему «слепота» агента наступала через восемь секунд после запуска полезной нагрузки.
Манипуляции с журналами и артефактами
Антифорензика не заканчивается на блокировке сенсоров. Получив привилегии SYSTEM, оператор выбирает стратегию «очищать или приукрашивать». Очищение — классическое удаление журналов при помощи wevtutil cl, дезактивация Prefetch, стирание теневых копий.
Приукрашивание сложнее: злоумышленник вставляет ложные события, меняет временные метки («timestomping»), корректирует атрибуты USN-журнала или подменяет MFT-запись через прямой доступ к диску. Второй вариант предпочтительнее для тех, кто рассчитывает на долгосрочное присутствие: расследование видит «нормальную» активность вместо пробела, а соответствие таймлайну кажется достоверным.
Файловая система и скрытые контейнеры
Альтернативные потоки данных NTFS любят не только энтузиасты — в APT-среде они служат временным хранилищем конфигурации бота или украденных токенов. Модуль шифрует JSON-профиль, прикрепляя его к legit.exe:Zone.Identifier, после чего файл на глазах администратора остаётся неизменным.
На Linux-системах создатели вредоносов переходят к overlay-файлам, помещая головной ELF в слой aufs, доступный только внутри Mount Namespace. При этом inotify-события не фиксируют чтения, что сбивает с толку даже продвинутый XDR, ориентированный на файловые дескрипторы.
Скрытность в сети: от домен-фронтирования до каналов в облаке
Даже идеальная маскировка в памяти ничего не стоит, если C2-канал выдаёт себя характерным TLS-сертификатом. Поэтому злоумышленники идут двумя путями. Первый — domain fronting: реальный сервер спрятан за облачным CDN, а SNI выглядит как безобидный «ajax.googleapis.com». Второй — «серой» канал: обмен через легальные API Dropbox, OneDrive или GitHub Action-артефакты.
Опускать шум помогают обфускация User-Agent под Chrome Beta, ротация IP-адресов каждые три минуты и применение ESNI, скрывающего имя сайта даже от межсетевого экрана.
Жизнь после вторжения: стойкое присутствие без следов
Персистентность складывается из маленьких деталей. LNK-ущербные ярлыки, задачи Task Scheduler с выставленной «Expired» датой вчерашним числом, WMI-событие, запускающее скрипт при каждом подключении батареи. На Linux выбирают systemd-unit c Type=oneshot, удалённый через хук ExecStopPost сразу после первого цикла.
Общая идея — внедриться в точку, которую администратор редко проверяет, либо «израсходовать» механизм сразу после успешного запуска, затрудняя реконструкцию атаки.
Что может сделать защитник
Секрет успешного противодействия — не гоняться за каждым новым PoC, а выстраивать многоуровневую модель наблюдения. Первым слоем служит усиленный HVCI, очищающий пространство ядра от неподписанных объектов. Вторым — контроль целостности памяти (RAP, DEXGuard) и непрерывная валидация ntdll.dll. Третьим — корреляция телеметрии с данными сторонних сенсоров: проксировщики, DNS-логи, NetFlow. Наконец, периодические резерч-оценки: воспроизводите BYOVD-скрипты, анализируйте трек-рекорд агента, проводите Red Team-упражнения, сверяя результаты с детектами.
Заключение
Обход EDR не является уделом элитных APT: сервисы «malware-as-a-service», готовые комплекты BYOVD, сконфигурированные Cobalt Strike-профили — всё это доступно за несколько сотен долларов. Значит, ставка только на сигнатуру или даже на поведенческую аналитику уже не спасает. Побеждает та команда, которая собирает максимально разнородные данные, мгновенно коррелирует их и регулярно проверяет гипотезы через контролируемый взлом.
Стоит остановиться — и упрямая статистика инцидентов вновь напомнит: противник развивается быстрее, чем заказчик успевает подписать контракт на обновление агента. Единственный способ удержаться в гонке — не бояться ломать собственную инфраструктуру раньше, чем это сделает конкурент на тёмном форуме.
