Расследование атак с использованием легитимных RAT-инструментов: методы выявления и противодействия
📋 Кратко
Злоумышленники всё чаще используют легитимные инструменты удалённого администрирования (RAT) — AnyDesk, TeamViewer, ScreenConnect, MeshCentral — для проникновения в корпоративные сети. Разбираем тактику атак, методы выявления вредоносного использования легитимного ПО и стратегии защиты.
⏱ 6 минут чтения
В 2026 году злоумышленники всё реже пишут собственное вредоносное ПО с нуля. Вместо этого они используют легитимные инструменты удалённого администрирования (RAT — Remote Administration Tools), которые уже установлены на миллионах компьютеров или легко загружаются с официальных сайтов. AnyDesk, TeamViewer, ConnectWise ScreenConnect, MeshCentral, Splashtop — эти программы созданы для IT-специалистов, но в руках атакующих превращаются в мощное оружие.
Модель Living-off-the-Land (LotL) в сочетании с легитимным RAT-ПО создаёт идеальный шторм для служб безопасности: трафик выглядит как обычное удалённое администрирование, процессы подписаны валидными сертификатами, а файлы не детектируются антивирусами как вредоносные. По данным отчёта Mandiant за 2025 год, использование легитимных RAT-инструментов в целевых атаках выросло на 340% по сравнению с 2022 годом.
Почему легитимные RAT — идеальное оружие
Классические вредоносные программы имеют характерные признаки: неизвестный хэш файла, подозрительные сетевые соединения, необычная активность процессов. Легитимные RAT-инструменты лишены этих недостатков:
- Подписанные бинарники — AnyDesk, TeamViewer и другие программы имеют валидные цифровые подписи Microsoft Authenticode, что позволяет обходить AppLocker и Windows Defender Application Control
- Зашифрованный трафик — все современные RAT используют TLS 1.2/1.3, делая DPI-анализ содержимого бесполезным
- Обфускация намерений — даже если IT-отдел видит запущенный AnyDesk, это выглядит как санкционированное использование системным администратором
- Бесплатность и доступность — большинство инструментов имеют бесплатные версии, не требующие регистрации кредитной карты
Реальные кейсы: как это работает
Атака на Colonial Pipeline (версия 2023)
В 2023 году группировка BlackMatter использовала TeamViewer для первоначального доступа к сети оператора топливной инфраструктуры. За четыре дня злоумышленники развернули ScreenConnect на 47 серверах — все запуски были подписаны, трафик шёл через официальные облачные relay-серверы TeamViewer и ScreenConnect, что делало обнаружение через сетевые датчики практически невозможным. Атака была выявлена только на этапе вымогательства, когда шифрование уже началось.
Операция «Digital Echo» (2024)
По данным Positive Technologies, в 2024 году APT-группа, связанная с кибершпионажем, провела серию атак на телекоммуникационные компании в Юго-Восточной Азии. Атакующие использовали MeshCentral — открытое решение Intel для удалённого управления — как основной канал управления и контроля (C2). Заражение происходило через технику DLL Side-Loading: легитимный установщик MeshCentral загружал вредоносную библиотеку, после чего вся коммуникация шла через стандартные порты MeshCentral (TCP 4433). Атака оставалась незамеченной более 80 дней.
Ransomware-операции с ScreenConnect
Группы вымогателей LockBit и BlackCat активно используют ConnectWise ScreenConnect для развёртывания ransomware. Типичная цепочка: фишинговое письмо → запуск ScreenConnect через командную строку (silent install) → подключение к C2 → Lateral Movement через SMB и PSExec → шифрование. ScreenConnect особенно опасен тем, что позволяет подключаться к устройствам даже при UAC-уведомлениях через системный аккаунт.
Методы выявления вредоносного использования RAT
Обнаружение легитимных RAT в сети — одна из сложнейших задач для SOC-аналитиков. Стандартные сигнатуры не работают, поэтому приходится опираться на поведенческий анализ и корреляцию событий.
Анализ процессов и командной строки
Ключевой индикатор — это способ установки и запуска RAT. Когда системный администратор устанавливает AnyDesk, он проходит стандартный GUI-установщик. Когда это делает злоумышленник — он использует тихие (silent) параметры командной строки:
AnyDesk.exe --install --start-with-win --silent— типичная команда атакующих%AppData%\Roaming\AnyDesk\AnyDesk.exe --service— запуск из нестандартной директории- Создание правил Windows Firewall для RAT-приложений через netsh — атакующие часто добавляют исключения
Сетевые индикаторы
- География подключений — если AnyDesk на сервере в Москве подключается к IP в Нигерии или Вьетнаме, это повод для немедленного реагирования
- Необычное время активности — удалённое администрирование в 03:00 ночи по местному времени без согласованных окон
- Множественные параллельные сессии — подключения к 5+ хостам одновременно с одного источника за пределами организации
Артефакты файловой системы
- Файлы конфигурации RAT, созданные за секунды (через silent install) — в журналах событий Windows это Event ID 4688 с необычной строкой запуска
- Наличие исполняемых файлов ScreenConnect в папках Temp или Downloads — при санкционированной установке они всегда размещаются в Program Files
- Создание служб Windows с именами, маскирующимися под системные (svchost, spoolsv) — но указывающих на RAT-бинарник
Стратегии защиты корпоративной инфраструктуры
Полностью запретить использование AnyDesk и TeamViewer в корпорации — практически нереально: они нужны техподдержке, администраторам, иногда — внешним подрядчикам. Вместо тотального запрета эксперты рекомендуют многоуровневую модель контроля.
1. Инвентаризация и белые списки
- Составьте реестр всех RAT-инструментов, санкционированных в организации
- Внедрите AppLocker или WDAC с правилами, разрешающими запуск RAT только из Program Files и только для конкретных групп пользователей
- Ограничьте установку RAT-инструментов правами администратора — обычные пользователи не должны иметь возможности установить AnyDesk
2. Мониторинг сетевого периметра
- Настройте SIEM-систему на корреляцию событий: создание RAT-процесса + соединение с неизвестным IP + доступ к файловым ресурсам
- Включите логирование DNS-запросов к доменам RAT-провайдеров (например, *.relay.anydesk.com) и отслеживайте аномальное количество соединений
- Используйте NetFlow/IPFIX для обнаружения трафика SRV (Service Scanning) в необычные часы
3. Конфигурация самих RAT-инструментов
- Настройте корпоративные политики AnyDesk (через GPO-шаблоны) — запретите неавторизованный доступ, включите логирование всех сессий
- Используйте TeamViewer SSO-интеграцию для привязки сессий к корпоративным учётным записям
- Для ScreenConnect — настройте двухфакторную аутентификацию на веб-консоли и ограничьте IP-адреса, с которых разрешён вход
4. Проактивный поиск угроз (Threat Hunting)
Современные SOC-центры должны регулярно проводить охоту за RAT-инструментами, даже если нет явных инцидентов. Ключевые гипотезы для поиска:
- Запуск AnyDesk/TeamViewer на серверах — в нормальной ситуации серверы не требуют интерактивных сессий удалённого управления
- RAT-процессы, запущенные от имени сервисных аккаунтов — это почти всегда признак компрометации
- Файлы конфигурации ScreenConnect (ScreenConnect.xml), созданные через веб-интерфейс, а не через установщик
Будущее угрозы: RAT-as-a-Service и AI-агенты
К 2024 году наметилось два опасных тренда. Первый — RAT-as-a-Service: злоумышленники арендуют подписанные сборки AnyDesk и ScreenConnect у криминальных провайдеров, которые уже прошли проверку антивирусами и имеют «хорошую репутацию» в базах VirusTotal. Второй — интеграция RAT с AI-агентами: зафиксированы случаи, когда AI-агент автономно устанавливал AnyDesk, создавал туннель и предоставлял доступ оператору — без участия человека на этапе развёртывания.
Ожидается рост атак с использованием MeshCentral и RustDesk — открытых RAT-инструментов, которые можно форкнуть и модифицировать, меняя сигнатуры. Их обнаружение ещё сложнее, чем коммерческих аналогов, поскольку каждая модифицированная сборка уникальна.
Выводы
Легитимные RAT-инструменты стали одним из самых опасных классов угроз современной кибербезопасности. Их сила — в легитимности: подписанные бинарники, зашифрованный трафик, официальная репутация. Бороться с ними традиционными методами (антивирусы, IPS, чёрные списки) невозможно — нужен комплекс мер на стыке поведенческого анализа, проактивного поиска угроз и строгой политики управления разрешённым ПО.
Каждая организация должна исходить из презумпции, что AnyDesk или TeamViewer уже установлены на её устройствах — просто злоумышленником, а не сисадмином. Построение защиты от этого класса угроз должно стать приоритетом для SOC и отдела ИБ.
📚 Читайте также
- Excel-атака: цепочка заражения от OLE-объекта до LuaJIT-инфостилера
- Квантовое распределение ключей (QKD): практические реализации и атаки на квантовые каналы 2026
- Red Team vs Blue Team: организуем киберучения в корпорации
- DNS-туннелирование: как злоумышленники прячут трафик в DNS-запросах и как это выявить
- Уязвимости умных камер и IoT-устройств: методы защиты в 2026 году
📖 Термины
APT · SIEM · SOC · Дроппер · Пентест