0 на VirusTotal и root-доступ: хакеры смогли обмануть все антивирусы с помощью легального софта для админов
NewsMakerОн не выглядит как вирус и не ловится сигнатурами, но даёт root/SYSTEM.
Злоумышленники начали использовать легитимный инструмент мониторинга серверов как «готовую» платформу для удалённого управления уже взломанными системами. По данным Ontinue Cyber Defense Center, в новых инцидентах фигурирует Nezha — популярная система наблюдения и администрирования с открытым исходным кодом, которая умеет работать и с Windows, и с Linux.
В данной кампании Nezha выступает не как вредоносная программа в привычном смысле, а как постэксплуатационный инструмент удалённого доступа. Именно из-за своей легальности и активной поддержки проектом он практически не вызывает подозрений: на VirusTotal, как отмечают исследователи, его компоненты не получили срабатываний ни у одного из 72 проверенных движков. Агент устанавливается тихо и может долго не привлекать внимания, пока атакующие не начинают отдавать команды — поэтому классические сигнатурные методы защиты в таких случаях часто оказываются бессильны.
Специалисты называют это примером растущей тенденции, когда атакующие системно злоупотребляют «нормальным» ПО, чтобы закрепиться в инфраструктуре и перемещаться по сети, обходя детектирование. В Qualys Майуреш отметили, что в среде, где Nezha и так считается привычным инструментом, защитники могут вообще не обратить внимания на аномалии: активность выглядит как обычное администрирование.
Nezha изначально создавался для китайского ИТ-сообщества и набрал почти 10 тысяч звёзд на GitHub. Архитектура у него типичная для подобных платформ: есть центральная панель управления и лёгкие агенты на контролируемых машинах. Агенты поддерживают выполнение команд, передачу файлов и интерактивные терминальные сессии — полезные функции для администраторов, но ровно такие же удобные для атакующих.
Злоумышленники начали использовать легитимный инструмент мониторинга серверов как «готовую» платформу для удалённого управления уже взломанными системами. По данным Ontinue Cyber Defense Center, в новых инцидентах фигурирует Nezha — популярная система наблюдения и администрирования с открытым исходным кодом, которая умеет работать и с Windows, и с Linux.
В данной кампании Nezha выступает не как вредоносная программа в привычном смысле, а как постэксплуатационный инструмент удалённого доступа. Именно из-за своей легальности и активной поддержки проектом он практически не вызывает подозрений: на VirusTotal, как отмечают исследователи, его компоненты не получили срабатываний ни у одного из 72 проверенных движков. Агент устанавливается тихо и может долго не привлекать внимания, пока атакующие не начинают отдавать команды — поэтому классические сигнатурные методы защиты в таких случаях часто оказываются бессильны.
Специалисты называют это примером растущей тенденции, когда атакующие системно злоупотребляют «нормальным» ПО, чтобы закрепиться в инфраструктуре и перемещаться по сети, обходя детектирование. В Qualys Майуреш отметили, что в среде, где Nezha и так считается привычным инструментом, защитники могут вообще не обратить внимания на аномалии: активность выглядит как обычное администрирование.
Nezha изначально создавался для китайского ИТ-сообщества и набрал почти 10 тысяч звёзд на GitHub. Архитектура у него типичная для подобных платформ: есть центральная панель управления и лёгкие агенты на контролируемых машинах. Агенты поддерживают выполнение команд, передачу файлов и интерактивные терминальные сессии — полезные функции для администраторов, но ровно такие же удобные для атакующих.