СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.12.2025
#ИБ

Повторяемые веб-атаки: Golang-троянец agent.exe и отключение Защитника Windows

Анализ недавних инцидентов указывает: хотя общественные отчёты порой рисуют картину высокоорганизованной и инновационной кампании злоумышленников, реальные данные говорят о другом — о систематическом применении проверенных приёмов и уязвимостей. Злоумышленники использовали стандартные бреши в веб‑приложениях для выполнения команд на конечных точках через скомпрометированные веб‑серверы, внедряя троян на Golang под именем agent.exe и добиваясь закрепления в системе.

Ключевые выводы

  • Атаки выглядят менее «изобретательными», но остаются эффективными за счёт последовательного применения проверенных методов.
  • Источник доступа — уязвимости веб‑приложений, обеспечивающие удалённое выполнение команд (RCE) через скомпрометированные серверы.
  • Повторяющиеся артефакты: agent.exe, одинаковые соглашения об именовании, совпадающие операционные каталоги и одни и те же IP‑адреса инфраструктуры.
  • Типичная последовательность действий злоумышленников: разведка окружения → попытки расширить привилегии и подорвать защиту → закрепление и дальнейшие операции.
  • Наблюдаемая модель — по сути *«метод проб и ошибок»*, а не постоянный поиск новых эксплойтов.

«метод проб и ошибок» — характерный элемент поведения, выявленный в анализе нескольких инцидентов.

Три кейса: сводка инцидентов

В описанных трёх инцидентах прослеживается общая линия действий злоумышленников.

Инцидент 1. Актор инициировал перечисление системы с помощью команд whoami.exe, netstat -an и ipconfig /all. После сбора информации последовали попытки выполнить дополнительные вредоносные команды, которые были оперативно заблокированы Windows Defender.

Инцидент 2. После начального этапа в окружении была выполнена серия команд PowerShell, направленных на манипуляцию настройками Windows Defender — в частности, добавление исключений в мониторинг, что фактически подрывало механизмы защиты.

Инцидент 3. Поведение повторило предыдущие случаи: наличие доступа через Web shell, попытки отключить средства безопасности и запуск вспомогательных исполняемых файлов (включая попытки использования dllhost.exe, который не был успешно выполнен).

Технический анализ: инструменты и TTP

  • Троян: agent.exe написан на Golang, использовался для закрепления и выполнения команд.
  • Разведка: стандартные системные утилиты (whoami.exe, netstat, ipconfig) для сбора контекста окружения.
  • Эскалация и подрыв защиты: использование PowerShell для внесения исключений в Windows Defender и попытки отключения средств безопасности.
  • Инфраструктура: совпадение IP‑адресов, схем именования вредоносного ПО и рабочих каталогов указывает на единый оперативный план или повторное использование одной и той же «песочницы» злоумышленников.
  • Надёжность методов: повторяемость шагов в разных инцидентах подчёркивает зависимость от испытанных техник, а не от принципиально новых подходов.

Последствия для безопасности и рекомендации

Хотя используемые техники не являются прорывными, их повторяемость и эффективность делают их серьёзной угрозой. Рекомендуемые меры:

  • Приоритетное устранение уязвимостей в веб‑приложениях (patch management, WAF, code review).
  • Мониторинг появления и исполнения файлов вроде agent.exe и подозрительных попыток запуска системных утилит.
  • Аудит изменений конфигурации Windows Defender и ограничение прав на добавление исключений.
  • Ограничение и контроль использования PowerShell: включение транзакционной записи, блокировка неподписанных скриптов и применение Constrained Language Mode, где это оправдано.
  • Настройка EDR/SIEM‑правил на обнаружение повторяющихся TTP (RCE через веб, Web shell, попытки отключить защиту).
  • Сегментация сети и изоляция скомпрометированных хостов; проверка логов доступа к веб‑серверам и Web shell.
  • Инцидент‑реагирование: быстрый сбор артефактов, анализ IOC и блокировка используемой инфраструктуры (IP, домены, пути файлов).

Итог

Исследование подчёркивает: угроза остаётся значимой не из‑за высокой изощрённости, а благодаря последовательности и повторяемости хорошо отработанных приёмов. Организациям важно фокусироваться на базовых практиках кибергигиены — своевременном патче веб‑приложений, мониторинге исполнения кода и жестком контроле конфигураций защитных средств — чтобы нивелировать успешность таких кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: