Ваш антивирус ищет хэши, а нужно – привычки. Почему классическая защита больше не справляется

Кажется, что каждый новый троян или стилер — это отдельная история со своим «почерком». Но специалисты Splunk Threat Research Team посмотрели на ситуацию шире и обнаружили неприятную закономерность. Многие популярные инфостилеры и RAT используют почти один и тот же набор приемов, а отличаются чаще деталями реализации, чем общей логикой атаки.

Команда Splunk изучила около 18 семейств вредоносов, часть из них наблюдалась в реальных атаках, часть подробно описана в публичных отчетах. Все это разложили по матрице MITRE ATT&CK, чтобы понять, какие тактики и техники повторяются чаще всего. Результат получился почти как «общий арсенал» для киберпреступников. Один и тот же набор шагов помогает закрепиться в системе, скрыться от защиты и вытащить данные.

Самой массовой техникой оказалась T1105, то есть загрузка дополнительных компонентов после заражения. По сути, это умение «докачать» следующий этап атаки, плагины или вспомогательные файлы. Сразу за ней идет сбор сведений о системе T1082. Вредоносы выясняют имя компьютера, версию Windows, параметры железа и другие детали, чтобы понять, куда они попали и как лучше действовать дальше. В исследовании отдельно отмечают и привычку общаться с управляющей инфраструктурой по веб-протоколам вроде HTTP T1071.001. Для защитников это означает простую вещь. Если строить обнаружение вокруг устойчивых техник, а не вокруг хэшей и разовых индикаторов, можно перекрыть сразу много разных семейств.

Дальше начинается самое интересное, потому что на практике важно не только «что делают», но и «как именно». Например, часть семейств использует WMI для сбора информации о системе и отправляет эти данные на C2 как часть «маячка». Другой популярный прием связан со сбором сетевых данных жертвы. Несколько семейств получают внешний IP и геолокацию, обращаясь к легитимным сервисам определения IP-адреса. Это помогает операторам отличать жертв друг от друга и выбирать приоритеты.

Для закрепления в системе часто используют банальные, но эффективные механизмы Windows. Это ключи автозапуска в реестре, включая Run и иногда RunOnce, а также запланированные задания через schtasks.exe. По данным Splunk, некоторые семейства дополнительно пытаются ослабить защиту, добавляя исключения в Windows Defender для каталога или пути к файлу, чтобы снизить шанс обнаружения. Встречается и более «силовой» подход. Часть вредоносов включает права вроде SeDebugPrivilege и манипулирует токенами, получая больше контроля над процессами в системе.

Отдельная большая тема — кража учетных данных из браузеров. Исследование отмечает, что многие семейства умеют доставать и расшифровывать сохраненные логины и пароли из браузерных хранилищ, а затем отправлять их злоумышленникам. Еще один повторяющийся трюк — злоупотребление легитимными веб-сервисами как инфраструктурой. Иногда это C2, иногда хранилище, откуда загрузчики подтягивают полезную нагрузку. В примерах фигурируют популярные площадки вроде GitLab и Dropbox.

При этом «одинаковых» вредоносов не бывает. Splunk выделяет и редкие, более характерные приемы, которые помогают отличать семейства друг от друга. Например, одна из вариаций njRAT способна перезаписывать MBR, фактически превращая заражение в разрушительную атаку. DarkCrystal RAT использует необычную задержку выполнения через команду w32tm с параметром stripchart, такой прием редко встречается в легитимной среде и может стать хорошей зацепкой для детекта. Castle RAT выделяется обходом UAC через AppInfo RPC и запуском полезной нагрузки с опорой на доверенный системный процесс. А RedLine Stealer, по наблюдениям исследователей, может отключать компоненты, связанные с Windows Update, чтобы дольше оставаться в системе без риска, что патчи закроют уязвимости или обновят защиту.

Главный вывод Splunk звучит прагматично. Общий набор техник дает защитникам шанс строить более универсальные правила обнаружения, которые переживут смену версий и сборок вредоносов. А редкие и специфические приемы полезны в расследованиях, когда нужно понять, с каким именно семейством вы имеете дело и насколько продвинута атака.