СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.12.2025
#ИБ

Weyhro C2: скрытность, обход EDR и расширенные возможности

Новый вариант вредоносного ПО Weyhro C2 демонстрирует эволюцию от классических программ-вымогателей к многофункциональному импланту с расширенными возможностями закрепления, внедрения кода и коммуникации с командованием и контролем (C2). Эксперты отмечают сочетание продуманных методов скрытности и ряда технических решений, которые затрудняют обнаружение на конечной точке.

Ключевые особенности

  • Эвристика обхода EDR: для маскировки операций используется шифрование ChaCha20, применяемое для расшифровки пути к ntdll.dll, а также модификация событийной трассировки Windows — перезапись первого байта функции EtwEventWrite в ntdll.dll, что отключает ETW и снижает видимость активности.
  • Прикрепление к системе: имплант устанавливается в папку AppData текущего пользователя, проверяя наличие целевых файлов перед копированием — это минимизирует избыточность и повышает вероятность повторного запуска после перезагрузки.
  • Внедрение в процессы: реализуется через внедрение в «пустой» процесс (process hollowing / code injection) — заражающий код вводится в законные процессы, например cmd.exe, при этом путь целевого процесса шифруется, а для управления используются низкоуровневые Windows API.
  • Скрытый удалённый доступ: используется HVNC (hidden virtual network computing) — невидимый сеанс рабочего стола позволяет злоумышленникам действовать, не привлекая внимания локального пользователя.
  • Атаки на аутентификацию: реализована функция сброса заявок Kerberos, позволяющая извлекать локальные токены аутентификации и облегчать дальнейшее латеральное перемещение внутри сети.
  • Скрытный загрузчик: загрузчик разрешает Windows API по поиску по хэшу вместо стандартного импорта, что повышает скрытность вызовов и затрудняет статический анализ.

Командный набор и сетевые функции

Weyhro C2 поддерживает набор утилит, необходимых для управления компрометированной системой:

  • обработка файловых команд по указанным путям;
  • создание прокси-сервера SOCKS5 на машине жертвы для маршрутизации трафика злоумышленника;
  • реализация обратной оболочки (reverse shell) с перехватом и перенаправлением стандартных потоков ввода/вывода;
  • поддержание связи с C2 посредством команды heartbeat, обеспечивающей живучесть импланта.

Технические приёмы уклонения и скрытности

Вредоносное ПО сочетает несколько приёмов, направленных на уклонение от средств обнаружения:

  • шифрование отдельных частей полезной нагрузки (ChaCha20) для сокрытия критичных путей и строк;
  • переопределение работы ETW через модификацию EtwEventWrite в ntdll.dll;
  • разрешение API по хэшу вместо явного импорта;
  • скрытые рабочие сессии через HVNC и внедрение в легитимные процессы.

Слабые места и оперативные векторы детекции

Несмотря на высокую степень скрытности, у Weyhro C2 есть заметный и эксплуатируемый недостаток: отправляемые и получаемые данные C2 передаются в открытом виде (plaintext). Это значит, что хотя отдельные части полезной нагрузки и пути скрыты шифрованием, фактический трафик команд и ответов не защищён. Последствия:

  • возможность сетевого детектирования и перехвата команд/ответов при наличии соответствующих средств мониторинга;
  • возможность корреляции активности и идентификации C2-серверов без анализа файловой системы;
  • потенциал для создания правил IDS/IPS на основе характерных паттернов трафика.

Что это значит для организаций

Появление таких инструментов, как Weyhro C2, показывает, что злоумышленники всё чаще переосмысливают набор возможностей вредоносных программ: от прямого шифрования данных к платформам с удалённым доступом, прокси и методами перемещения по сети. Компрометация рабочих станций теперь может служить плацдармом для долгосрочного присутствия и перехвата трафика.

Краткие рекомендации для защиты

  • контролировать изменения в системных библиотеках и функциях (ntdll.dll, EtwEventWrite);
  • выявлять аномалии в установке и запуске файлов из папок типа AppData;
  • аналитика сети: мониторить подозрительные исходящие соединения и трафик в открытом виде, характерный для C2-каналов;
  • отслеживать появление скрытых сессий удалённого рабочего стола и нетипичные процессы, использующие возможности VNC/HVNC;
  • анализ аутентификационных событий Kerberos для обнаружения попыток извлечения/перехвата токенов.

В заключение: Weyhro C2 — это пример современного, многофункционального импланта, сочетающего технически изощрённые приёмы скрытности с практичными инструментами для длительного удержания контроля над инфраструктурой. При этом его заметный недостаток — нешифрованная передача C2 — остаётся точкой входа для эффективных мер обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: