10 июля 2026

eur = 87.67 1.08 (1.24 %)

btc = 63 867.00$ 553.60 (0.87 %)

eth = 1 788.64$ 36.82 (2.10 %)

gram = 1.66$ 0.04 (2.19 %)

usd = 76.66 0.73 (0.97 %)

eur = 87.67 1.08 (1.24 %)

btc = 63 867.00$ 553.60 (0.87 %)

Почему заражение одного компьютера может закончиться шифрованием сети

4 минуты на чтение
Почему заражение одного компьютера может закончиться шифрованием сети

Читайте в Telegram

|

Поддельный сайт с привычной программой для Windows выглядит как мелкая пользовательская ошибка: человек скачал установщик не там, запустил файл и получил троян.

Для компании такой эпизод может стать началом совсем другой истории. Если зараженный ноутбук подключается к корпоративной сети или VPN, атакующий получает не один скомпрометированный ПК, а возможный вход во внутреннюю инфраструктуру.

Так работают многие кампании с троянами удаленного доступа, в том числе с AsyncRAT. Он крадет учетные данные, дает удаленное управление устройством, помогает изучать сеть и может стать первым звеном атаки, которая позже закончится утечкой данных или шифрованием.

AsyncRAT опасен не уникальностью кода. Наоборот, его сила в доступности. Код проекта открыт с 2019 года, готовые сборки, конструкторы и плагины продаются в Telegram-каналах и на даркнет-площадках. Злоумышленнику уже не нужно писать инструмент с нуля: он может взять готовую основу, изменить ее под задачу, обфусцировать код и добавить нужные модули.

«Здесь опасен не только сам троян, а доступность всей экосистемы вокруг него. Код AsyncRAT находится в открытом доступе с 2019 года, готовые сборки, конструкторы и плагины можно найти за небольшие деньги. Порог входа для злоумышленников низкий, а вариантов сборок уже очень много», — комментирует Михаил Пырьев, менеджер продукта UDV NTA компании UDV Group.

Для пользователя заражение часто выглядит почти незаметно. Сайт похож на настоящий, программа знакомая, установщик запускается без явных признаков атаки. Для ИБ-службы проблема начинается позже, когда устройство выходит в корпоративную сеть и начинает передавать данные, обращаться к управляющему серверу или нетипично взаимодействовать с внутренними системами.

Известно уже более 40 форков AsyncRAT. Каждая сборка может отличаться от предыдущей, использовать другой способ упаковки или обфускации, работать в памяти, догружать модули и менять поведение. Поэтому антивирус, который вчера находил один вариант трояна, не обязательно остановит свежую модификацию.

Это не отменяет хостовую защиту, но ограничивает ее возможности. Сигнатуры и поведенческие правила работают лучше, когда угроза уже известна и достаточно изучена. В случае с массово модифицируемыми RAT-инструментами защите приходится реагировать на быстро меняющиеся варианты одного и того же семейства. Поэтому смотреть только на файл недостаточно. Важнее понять, что зараженный узел делает после запуска.

Для корпоративной атаки AsyncRAT обычно нужен не как «вирус на компьютере», а как инструмент доступа. В типовом наборе функций — кейлоггер, выгрузка сохраненных паролей из браузеров, скрытый удаленный рабочий стол и догрузка дополнительных модулей. В браузерах сотрудников часто остаются учетные данные от VPN, почты, внутренних порталов и облачных сервисов. Для атакующего это быстрый путь от зараженного ПК к легитимному входу.

После этого устройство может стать jump host. С него изучают сеть, проверяют доступы, ищут соседние узлы, смотрят, какие ресурсы доступны пользователю и куда можно продвинуться дальше. На этом этапе AsyncRAT уже перестает быть локальным заражением. Он превращается в точку опоры внутри компании.

Украденный доступ используют по-разному. В одном сценарии его продают брокерам, которые затем передают его операторам шифровальщиков. В другом злоумышленники продолжают атаку сами: заходят в VPN под легитимной учетной записью, проводят разведку и постепенно расширяют контроль.

Самый сложный для защиты этап начинается после кражи учетных данных. Атакующим уже не обязательно запускать заметное вредоносное ПО. Они могут использовать штатные инструменты Windows: SMB, DCE-RPC, WMI, PowerShell Remoting. Такой подход называют Living off the Land: действия выполняются легитимными средствами системы и могут выглядеть как обычное администрирование.

«На хосте в такой ситуации антивирусу почти не за что зацепиться. Процессов с очевидным вредоносным поведением может не быть, файлы не всегда появляются, а действия выглядят как административные. Поэтому важно смотреть не только на файл, но и на то, что зараженный узел начинает делать в сети», — объясняет Михаил Пырьев, менеджер продукта UDV NTA компании UDV Group.

В сетевом трафике такие действия видны иначе. Отдельная команда на устройстве может выглядеть допустимой, но в сети складывается цепочка: какой узел начал подключаться к новым направлениям, какие протоколы использует, какие команды проходят, какие внутренние системы оказались затронуты. Именно эта картина помогает отличить обычную активность от начала атаки.

Для этого нужен не просто сбор событий, а разбор трафика на уровне прикладных протоколов и конкретных команд. В таком подходе NTA становится способом связать разрозненные действия в сценарий: от первого выхода к управляющей инфраструктуре до попыток движения внутри сети.

Наиболее опасная цепочка начинается с одного зараженного компьютера. Сначала атакующий получает учетные данные, затем добирается до соседних систем, после этого может выйти на контроллер домена, выгрузить ценные данные или интеллектуальную собственность, а в финале запустить шифровальщик. В разборах инцидентов между первым заражением и остановкой бизнеса иногда проходит меньше недели.

Поэтому критично обнаружить атаку до финальной стадии. Если компания видит проблему только в момент шифрования, времени на безопасную локализацию почти не остается. Гораздо важнее поймать ранние признаки: обращение зараженного узла к управляющему серверу, нетипичные исходящие соединения, необычное использование SMB или WMI, попытки доступа к соседним системам.

Полностью скрыть сетевую активность AsyncRAT не может. Трояну нужен канал к C2-серверу, даже если он замаскирован и не выглядит как очевидное вредоносное соединение. В трафике остаются следы: домены и IP-адреса известной управляющей инфраструктуры, обращения к динамическим DNS, редкие TLS-отпечатки, нестандартные направления и изменение поведения узла.

Отдельный признак связан с JA3 и JA3s. Многие варианты AsyncRAT собираются на нестандартных криптобиблиотеках .NET и могут выдавать себя редкими TLS-отпечатками. Для этого не нужно расшифровывать сессию: достаточно анализировать параметры соединения и сопоставлять их с другими признаками.

Один такой сигнал сам по себе еще не доказывает заражение. Исходящий TLS-сеанс может быть нормальной активностью. Но если у него редкий отпечаток, направление связано с подозрительным доменом, узел раньше так не взаимодействовал, а затем появляются нетипичные обращения к внутренним ресурсам, уровень риска меняется.

«В таких инцидентах ценна не просто сработка, а контекст. Нужно быстро понять, какой узел заражен, с кем он взаимодействовал, какие учетные записи могли быть затронуты и куда атака могла пойти дальше. Без сетевой ретроспективы это приходится собирать по кускам, а время работает против компании», — отмечает Михаил Пырьев, менеджер продукта UDV NTA компании UDV Group.

Если есть риск заражения AsyncRAT, удаление файла или переустановка компьютера не закрывают проблему. Сначала нужно изолировать узел и проверить его сетевые связи: были ли обращения к C2, какие учетные записи могли утечь, были ли подключения к VPN, файловым ресурсам, соседним системам или контроллеру домена. После этого стоит сбросить подозрительные пароли и проверить, не использовались ли они повторно.

Главная ошибка компаний — воспринимать такой инцидент как заражение одного рабочего места. Для частного пользователя это может быть история про вредоносный файл на ПК. Для бизнеса это возможный вход в сеть, канал кражи учетных данных и старт атаки, которая дойдет до шифровальщика.

Защищаться в таком сценарии нужно от цепочки, а не только от файла. Компании должны видеть C2-связи, движение внутри сети, использование легитимных протоколов, нетипичные исходящие соединения и попытки закрепления. Если AsyncRAT удается поймать на ранней сетевой активности, у компании еще есть шанс остановить инцидент до утечки данных, компрометации домена и шифрования.

Обсудить
Блоги 715
ЦНИС
Слетать.ру
OTP Bank
Softline
StudyAI
билайн
Т-Банк
ВТБ
ВКонтакте
Газпромбанк

Привет, это Кодик! Я создан, чтобы помогать вам с  разными задачами. Задайте мне вопрос…