VirusTotal показал 0 детектов: с помощью легального софта для админов хакеры получили root-доступ

Он не выглядит как вредонос и не определяется сигнатурными средствами, но при этом предоставляет доступ уровня root/SYSTEM.

Атакующие начали применять легальный инструмент для мониторинга серверов в качестве уже готовой платформы удалённого управления после компрометации систем. Как сообщили в Ontinue Cyber Defense Center, в ряде свежих инцидентов фигурирует Nezha — популярное open-source-решение для администрирования и наблюдения, поддерживающее как Windows, так и Linux.

В рамках этой кампании Nezha используется не как классическое вредоносное ПО, а как постэксплуатационный инструмент удалённого доступа. Благодаря своему легальному статусу и активному развитию сообществом он почти не вызывает подозрений: по данным исследователей, его компоненты на VirusTotal не сработали ни у одного из 72 антивирусных движков. Агент устанавливается незаметно и может долго оставаться вне поля зрения защитных средств, пока злоумышленники не начинают активно взаимодействовать с системой, из-за чего традиционные сигнатурные методы часто оказываются неэффективны.

Эксперты отмечают, что это наглядный пример усиливающейся тенденции злоупотребления «обычным» программным обеспечением для закрепления в инфраструктуре и перемещения внутри сети без срабатываний детекта. В Qualys Майуреш подчеркнул, что в среде, где Nezha воспринимается как стандартный администраторский инструмент, защитные команды могут вовсе не заметить подозрительную активность — она выглядит как штатная работа ИТ-персонала.

Изначально Nezha разрабатывался для китайского ИТ-сообщества и собрал почти 10 тысяч звёзд на GitHub. Его архитектура типична для подобных решений: центральная панель управления и лёгкие агенты, устанавливаемые на управляемые узлы. Эти агенты позволяют выполнять команды, передавать файлы и открывать интерактивные терминальные сессии — функции, полезные администраторам и столь же удобные для атакующих.

Согласно отчёту Ontinue, в ходе атаки применялся bash-скрипт, предназначенный для развёртывания агента и подключения его к инфраструктуре злоумышленников. В скрипте присутствовали статусные сообщения на китайском языке, а также параметры, указывавшие на панель управления, размещённую в облаке Alibaba Cloud в японском регионе. При этом исследователи подчёркивают, что язык сообщений не может служить надёжным признаком атрибуции, поскольку подобные элементы легко подделываются.

Особое беспокойство вызывает тот факт, что агент Nezha по своей логике работы запускается с повышенными привилегиями. В тестовой среде на Windows он предоставляет интерактивную PowerShell-сессию с правами NT AUTHORITY\SYSTEM, а на Linux — доступ уровня root, без необходимости эксплуатации уязвимостей или отдельного повышения привилегий.

По мнению специалистов, проблема заключается не в «вредоносности» Nezha, а в том, что он позволяет атакующим существенно сократить время на разработку собственных инструментов и сразу получить надёжный механизм удалённого управления, работы с файлами и интерактивной оболочки на уже скомпрометированной системе.

В ходе расследования Ontinue также проанализировала открытый дашборд, связанный с инцидентом. Косвенные признаки указывали на возможное подключение к нему сотен конечных узлов. Такой масштаб может быть достигнут в случае компрометации общего секрета или ключа доступа, когда одна панель управления начинает контролировать большое количество машин.

Основная сложность для защитников, как признают исследователи, заключается в разграничении легитимного использования инструмента и его злоупотребления. В подобных ситуациях решающим становится контекст: кто и когда установил агент, куда он подключается, какие команды выполняются и насколько это соответствует обычной административной деятельности. Как резюмируют в Qualys, вместо деления инструментов на «хорошие» и «плохие» стоит фокусироваться на поведении и сценариях их применения.