Атаки через консоли управления EDR и антивирусов участились в два раза

Эксперты фиксируют двукратный рост атак, в которых киберпреступники, проникнув в сеть, целенаправленно атакуют серверы управления антивирусами и EDR. Получив админ-доступ к консоли, они получают возможность тихо распространять вредоносное ПО или выполнять деструктивные скрипты на всех хостах. SecPost узнал у экспертов, как атакующие используют легитимные средства защиты для массового заражения, почему это эффективно и какие организационные упущения этому способствуют.

Киберпреступники всё чаще используют для атак сами средства защиты. По данным экспертов центра мониторинга и реагирования на кибератаки RED Security SOC, за последние полгода злоумышленники стали в два раза чаще использовать защитное ПО для проведения атак на российские компании. SecPost побеседовал с представителями рынка, чтобы узнать — откуда возник такой скачок, и что необходимо для того, чтобы обезопасить антивирус.

Как утверждают эксперты, проникнув в инфраструктуру, злоумышленники целенаправленно ищут серверы управления системами безопасности. Получив доступ к центральной консоли управления антивирусом или EDR с административными привилегиями, они используют её для тотального распространения вредоносного ПО или для выполнения деструктивных скриптов на рабочих станциях и серверах организации.

«На наш взгляд, рост количества инцидентов, где используется эта механика, связан именно с её эффективностью и простотой. Антивирус есть практически в каждой компании. Очень часто сервер управления плохо защищён, несмотря на рекомендации вендоров», — заявил технический директор центра мониторинга и реагирования на кибератаки RED Security SOC Владимир Зуев в комментарии SecPost.

По словам Зуева, доступ злоумышленника к консоли управления — это гарантия широкого закрепления. Фактически каждый хост с агентом антивируса или EDR становится точкой доступа. Зуев отмечает: «Всё это — достаточно «тихая» активность, которую средства защиты не выявят автоматически».

В перечень причин успеха таких атак аналитики вносят пренебрежение корпоративных заказчиков базовыми политиками ИБ. Чаще всего нарушаются принципы строгой сегментации сети, изоляции и защиты критически важных систем управления. В то же время мошенники используют слабые или стандартные учётные данные для доступа к консолям администрирования.

По словам директора по продуктам для защиты рабочих станций и серверов Positive Technologies Сергея Лебедева, в компании не наблюдают резкой смены картины кибератак в части антивирусной защиты, но отмечают тренд на атаки с использованием ИИ, благодаря которому злоумышленники могут быстрее достигать целей.

«Антивирус всегда стоит на переднем плане в киберзащите организации и, естественно, что он один из первых, кто встречает злоумышленника. Кроме этого, антивирус предоставляет средства по управлению инфраструктурой и хостами», — подчеркнул Лебедев.

По мнению представителя Positive Technologies, это совершенно типично, что антивирусы и EDR пытаются взломать в первую очередь. Как отметил Лебедев, антивирус «как и был, останется под ударом первым».

Лебедев также отметил, что необходимо инвестировать в самозащиту антивируса — нужно сделать так, чтобы злоумышленник никак не мог использовать его нелегитимным способом. Как считает эксперт, самозащита — это один из самых важных векторов развития технологии антивируса в России и в мире.

проект-менеджер MD Audit (ГК Softline) Кирилл Лёвкин в комментарии SecPost, напротив, также отмечает тренд на атаки через антивирусы. По его словам, он имеет системный характер — и речь не о росте уязвимостей самих СЗИ, а о смещении фокуса атакующих на trusted systems (ПО, обладающее максимальными правами в инфраструктуре).

«Получив доступ к центральной консоли управления EDR или антивирусом, злоумышленник фактически получает «золотой ключ» ко всей сети: возможность удалённо выполнять команды, распространять ПО, отключать защиту или маскировать вредоносную активность под легитимные действия. Это логичное развитие тактики», — говорит Лёвкин.

Как отмечает эксперт, вместо сложного lateral movement (горизонтальное перемещение — продвижение по сети от точки входа к другим объектам) атакующий стремится захватить один высокопривилегированный узел. Увеличение числа таких атак Лёвкин связывает с повышением зрелости атакующих, распространением моделей Crime-as-a-Service и накоплением утечек учётных данных администраторов ИБ-систем.

«Антивирусы и EDR не стали «слабее», напротив, их функциональность и защищённость выросли. Однако именно расширение их возможностей сделало их более привлекательной целью», — подчеркивает Лёвкин.

Лёвкин также указывает, что современные EDR стали уже не просто средствами обнаружения, а полноценными платформами управления конечными точками. Любая ошибка в управлении доступом, сегментации или эксплуатации учётных записей резко повышает риск успешной атаки. Ключевая проблема заключается в организационном компоненте, отмечает эксперт.

«[Это] недостаточная защита консолей управления, отсутствие принципов Zero Trust, избыточные привилегии и слабый контроль действий администраторов. Необходимо изолировать системы защиты в отдельные сегменты, использовать многофакторную аутентификацию, строгий контроль ролей, журналирование действий и независимый мониторинг самих ИБ-инструментов. Средства защиты должны рассматриваться как критическая инфраструктура, а не «чёрный ящик», которому доверяют по умолчанию», — подчеркивает эксперт.

Руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы Джет» Руслан Амиров, как и Лёвкин, полагает, что одна из причин проблемы — повышение квалификации среди злоумышленников.

«Для массового распространения вредоносного ПО атакующие всё чаще захватывают легитимные инструменты ИТ-администрирования: консоли управления антивирусными платформами, RMM- и EDR-системы. Эти решения предоставляют злоумышленникам возможность обходить защитные механизмы и масштабировать атаки, особенно при недостаточном контроле привилегированных учётных записей и слабой сегментации сетей», — отмечает Амиров.

По словам представителя «Инфосистемы Джет», чтобы заблокировать подобные векторы атаки, необходим харденинг систем управления. Амиров указывает: ведущие вендоры ИБ-решений опубликовали детальные руководства по безопасной конфигурации — и реализация этих мер снижает риски компрометации без ущерба для операционной эффективности администрирования.