0 на VirusTotal и root-доступ: хакеры смогли обмануть все антивирусы с помощью легального софта для админов

Злоумышленники начали использовать легитимный инструмент мониторинга серверов как «готовую» платформу для удалённого управления уже взломанными системами. По данным Ontinue Cyber Defense Center, в новых инцидентах фигурирует Nezha — популярная система наблюдения и администрирования с открытым исходным кодом, которая умеет работать и с Windows, и с Linux.

В данной кампании Nezha выступает не как вредоносная программа в привычном смысле, а как постэксплуатационный инструмент удалённого доступа. Именно из-за своей легальности и активной поддержки проектом он практически не вызывает подозрений: на VirusTotal, как отмечают исследователи, его компоненты не получили срабатываний ни у одного из 72 проверенных движков. Агент устанавливается тихо и может долго не привлекать внимания, пока атакующие не начинают отдавать команды — поэтому классические сигнатурные методы защиты в таких случаях часто оказываются бессильны.

Специалисты называют это примером растущей тенденции, когда атакующие системно злоупотребляют «нормальным» ПО, чтобы закрепиться в инфраструктуре и перемещаться по сети, обходя детектирование. В Qualys Майуреш отметили, что в среде, где Nezha и так считается привычным инструментом, защитники могут вообще не обратить внимания на аномалии: активность выглядит как обычное администрирование.

Nezha изначально создавался для китайского ИТ-сообщества и набрал почти 10 тысяч звёзд на GitHub. Архитектура у него типичная для подобных платформ: есть центральная панель управления и лёгкие агенты на контролируемых машинах. Агенты поддерживают выполнение команд, передачу файлов и интерактивные терминальные сессии — полезные функции для администраторов, но ровно такие же удобные для атакующих.

Согласно отчету Ontinue, в атаке использовался bash-скрипт, который пытался развернуть агента, подключив его к инфраструктуре, контролируемой злоумышленниками. В скрипте были китайские статусные сообщения и параметры конфигурации, указывавшие на удалённую панель управления, размещённую в облаке Alibaba Cloud, причём в регионе Японии. При этом исследователи подчёркивают, что язык в сообщениях — слишком слабая улика для атрибуции: такие «следы» легко подделать.

Отдельную тревогу вызывает то, что агент Nezha по своей задумке работает с повышенными привилегиями. В тестовой среде Nezha на Windows даёт интерактивную сессию PowerShell с правами NT AUTHORITY\SYSTEM, а на Linux — доступ уровня root, и для этого не требуется ни отдельная эксплуатация уязвимости, ни повышение привилегий.

По словам специалистов, проблема не в том, что Nezha «вредоносен», а в том, что он позволяет атакующим сэкономить время на разработке собственных инструментов и надёжно выполнять удалённые команды, работать с файлами и получать интерактивную оболочку на скомпрометированной машине.

В рамках расследования Ontinue также изучила открытый дашборд, связанный с инцидентом: косвенные признаки указывали на то, что к нему могли быть подключены сотни конечных точек. Такой масштаб возможен, если компрометируется общий секрет или ключ доступа и одна панель управления начинает «держать» большое количество машин.

Главная сложность для защиты, как признают исследователи, — отделить легитимное использование инструмента от злоупотребления. В подобных случаях всё решает контекст: кто установил агент, когда он появился, куда подключается, какие команды выполняются и насколько это похоже на обычную работу администратора. Как резюмируют в Qualys, пора перестать делить инструменты на «плохие» и «хорошие» и вместо этого смотреть на поведение и сценарий применения.