Ваше облако — их база. Теперь хакеры незаметно выносят информацию через «белый» софт

Обычные утилиты, знакомые каждому администратору, всё чаще превращаются в инструмент кражи данных. Злоумышленники перестали полагаться на вредоносные программы и действуют куда проще: берут легальные средства, которые уже есть в инфраструктуре компании, и незаметно выносят информацию наружу.

Специалисты Cisco Talos описали такой подход в рамках проекта Exfiltration Framework. Работа показывает, как злоумышленники используют штатные возможности операционных систем, популярные сторонние программы и облачные клиенты для передачи данных. Такой подход серьёзно усложняет обнаружение, поскольку привычные признаки компрометации и блокировка по инструментам почти не работают.

Речь идёт не о редких или экзотических средствах. Для кражи данных применяют PowerShell, robocopy, curl, rclone, Syncthing, а также клиенты облачных платформ вроде AWS CLI или AzCopy. Все перечисленные программы активно используют в обычной работе, поэтому их запуск сам по себе не вызывает подозрений.

Главная проблема заключается в том, что злоумышленники маскируются под нормальную деятельность. Передача данных идёт через стандартные протоколы, чаще всего через HTTPS, с использованием разрешённых портов и шифрования. С точки зрения сети такой трафик выглядит как резервное копирование или синхронизация. Даже обращение к облачным сервисам не вызывает тревоги, поскольку компании сами активно ими пользуются.

Exfiltration Framework предлагает смотреть не на сами инструменты, а на поведение. Модель учитывает, как запускается программа, какие процессы её вызывают, куда идёт трафик, какие следы остаются в системе и как ведёт себя передача данных. Такой подход помогает находить устойчивые признаки злоупотребления, даже если утилиту переименовали или запустили из доверенного каталога.

Анализ показал несколько характерных приёмов. Один из самых распространённых – маскировка. Например, rclone часто переименовывают и размещают в привычных каталогах, чтобы скрыть передачу данных в облако. В логах такой процесс выглядит как обычная системная активность.

Ещё один приём – «медленная» кража данных. Вместо одной большой выгрузки злоумышленники разбивают данные на небольшие части и отправляют их постепенно. Такой метод позволяет не превышать пороги срабатывания защитных систем и оставаться незаметными неделями.

Поведение в облаке создаёт отдельные сложности. Передача данных через официальные клиенты почти не отличается от легитимной работы. IP-адреса и домены принадлежат крупным поставщикам, поэтому фильтрация по сетевым признакам теряет смысл. В результате многое зависит от контекста: кто именно отправляет данные, куда и в каком объёме.

Следы в системе тоже ведут себя по-разному. Одни утилиты оставляют конфигурационные файлы, журналы и учётные данные, другие почти ничего не записывают. Например, сценарии PowerShell могут работать только в памяти и исчезать без явных следов. Из-за этого нельзя рассчитывать на единый набор артефактов.

Авторы работы заключают, что надёжное обнаружение требует сопоставления данных сразу из нескольких источников. Нужны журналы с конечных устройств, сетевой трафик и информация из облачных сервисов. При этом важнее всего не отдельные события, а отклонения от нормального поведения – необычные объёмы передачи, непривычные направления или странный контекст запуска.

По сути, скрытность в таких атаках обеспечивают не сложные технологии, а доверие к разрешённым инструментам. Пока компании считают подобные утилиты безопасными по умолчанию, злоумышленники будут продолжать использовать их как самый простой и надёжный способ вывода данных.