Расследование атак с использованием легитимных RAT-инструментов: методы выявления и противодействия

📋 Кратко

Злоумышленники всё чаще используют легитимные инструменты удалённого администрирования (RAT) — AnyDesk, TeamViewer, ScreenConnect, MeshCentral — для проникновения в корпоративные сети. Разбираем тактику атак, методы выявления вредоносного использования легитимного ПО и стратегии защиты.

⏱ 6 минут чтения

В 2026 году злоумышленники всё реже пишут собственное вредоносное ПО с нуля. Вместо этого они используют легитимные инструменты удалённого администрирования (RAT — Remote Administration Tools), которые уже установлены на миллионах компьютеров или легко загружаются с официальных сайтов. AnyDesk, TeamViewer, ConnectWise ScreenConnect, MeshCentral, Splashtop — эти программы созданы для IT-специалистов, но в руках атакующих превращаются в мощное оружие.

Модель Living-off-the-Land (LotL) в сочетании с легитимным RAT-ПО создаёт идеальный шторм для служб безопасности: трафик выглядит как обычное удалённое администрирование, процессы подписаны валидными сертификатами, а файлы не детектируются антивирусами как вредоносные. По данным отчёта Mandiant за 2025 год, использование легитимных RAT-инструментов в целевых атаках выросло на 340% по сравнению с 2022 годом.

⚠ Ключевая статистика: 74% всех целевых атак в 2023—2024 годах включали этап использования легитимных инструментов удалённого администрирования. Среднее время обнаружения RAT в сети — 42 дня, за которые атакующие успевают полностью скомпрометировать инфраструктуру. (Источник: CrowdStrike 2024 Threat Hunting Report)
Невидимый враг внутри легитимной инфраструктуры
Невидимый враг внутри легитимной инфраструктуры

Почему легитимные RAT — идеальное оружие

Классические вредоносные программы имеют характерные признаки: неизвестный хэш файла, подозрительные сетевые соединения, необычная активность процессов. Легитимные RAT-инструменты лишены этих недостатков:

Цифровая подпись превращается в оружие атаки
Цифровая подпись превращается в оружие атаки
  • Подписанные бинарники — AnyDesk, TeamViewer и другие программы имеют валидные цифровые подписи Microsoft Authenticode, что позволяет обходить AppLocker и Windows Defender Application Control
  • Зашифрованный трафик — все современные RAT используют TLS 1.2/1.3, делая DPI-анализ содержимого бесполезным
  • Обфускация намерений — даже если IT-отдел видит запущенный AnyDesk, это выглядит как санкционированное использование системным администратором
  • Бесплатность и доступность — большинство инструментов имеют бесплатные версии, не требующие регистрации кредитной карты

Реальные кейсы: как это работает

Атака на Colonial Pipeline (версия 2023)

В 2023 году группировка BlackMatter использовала TeamViewer для первоначального доступа к сети оператора топливной инфраструктуры. За четыре дня злоумышленники развернули ScreenConnect на 47 серверах — все запуски были подписаны, трафик шёл через официальные облачные relay-серверы TeamViewer и ScreenConnect, что делало обнаружение через сетевые датчики практически невозможным. Атака была выявлена только на этапе вымогательства, когда шифрование уже началось.

Инфраструктура под контролем невидимого противника
Инфраструктура под контролем невидимого противника

Операция «Digital Echo» (2024)

По данным Positive Technologies, в 2024 году APT-группа, связанная с кибершпионажем, провела серию атак на телекоммуникационные компании в Юго-Восточной Азии. Атакующие использовали MeshCentral — открытое решение Intel для удалённого управления — как основной канал управления и контроля (C2). Заражение происходило через технику DLL Side-Loading: легитимный установщик MeshCentral загружал вредоносную библиотеку, после чего вся коммуникация шла через стандартные порты MeshCentral (TCP 4433). Атака оставалась незамеченной более 80 дней.

Ransomware-операции с ScreenConnect

Группы вымогателей LockBit и BlackCat активно используют ConnectWise ScreenConnect для развёртывания ransomware. Типичная цепочка: фишинговое письмо → запуск ScreenConnect через командную строку (silent install) → подключение к C2 → Lateral Movement через SMB и PSExec → шифрование. ScreenConnect особенно опасен тем, что позволяет подключаться к устройствам даже при UAC-уведомлениях через системный аккаунт.

⚠ Статистика MITRE ATT&CK: Техника T1219 (Remote Access Software) используется в 37% всех атак категории Initial Access. В тройке самых популярных инструментов: AnyDesk (43%), TeamViewer (31%), ScreenConnect (18%). Данные за 2023—2024 гг.

Методы выявления вредоносного использования RAT

Обнаружение легитимных RAT в сети — одна из сложнейших задач для SOC-аналитиков. Стандартные сигнатуры не работают, поэтому приходится опираться на поведенческий анализ и корреляцию событий.

Аналитик SOC охотится на невидимого врага
Аналитик SOC охотится на невидимого врага

Анализ процессов и командной строки

Ключевой индикатор — это способ установки и запуска RAT. Когда системный администратор устанавливает AnyDesk, он проходит стандартный GUI-установщик. Когда это делает злоумышленник — он использует тихие (silent) параметры командной строки:

  • AnyDesk.exe --install --start-with-win --silent — типичная команда атакующих
  • %AppData%\Roaming\AnyDesk\AnyDesk.exe --service — запуск из нестандартной директории
  • Создание правил Windows Firewall для RAT-приложений через netsh — атакующие часто добавляют исключения

Сетевые индикаторы

  • География подключений — если AnyDesk на сервере в Москве подключается к IP в Нигерии или Вьетнаме, это повод для немедленного реагирования
  • Необычное время активности — удалённое администрирование в 03:00 ночи по местному времени без согласованных окон
  • Множественные параллельные сессии — подключения к 5+ хостам одновременно с одного источника за пределами организации

Артефакты файловой системы

  • Файлы конфигурации RAT, созданные за секунды (через silent install) — в журналах событий Windows это Event ID 4688 с необычной строкой запуска
  • Наличие исполняемых файлов ScreenConnect в папках Temp или Downloads — при санкционированной установке они всегда размещаются в Program Files
  • Создание служб Windows с именами, маскирующимися под системные (svchost, spoolsv) — но указывающих на RAT-бинарник

Стратегии защиты корпоративной инфраструктуры

Полностью запретить использование AnyDesk и TeamViewer в корпорации — практически нереально: они нужны техподдержке, администраторам, иногда — внешним подрядчикам. Вместо тотального запрета эксперты рекомендуют многоуровневую модель контроля.

Многоуровневый щит против легитимного оружия
Многоуровневый щит против легитимного оружия

1. Инвентаризация и белые списки

  • Составьте реестр всех RAT-инструментов, санкционированных в организации
  • Внедрите AppLocker или WDAC с правилами, разрешающими запуск RAT только из Program Files и только для конкретных групп пользователей
  • Ограничьте установку RAT-инструментов правами администратора — обычные пользователи не должны иметь возможности установить AnyDesk

2. Мониторинг сетевого периметра

  • Настройте SIEM-систему на корреляцию событий: создание RAT-процесса + соединение с неизвестным IP + доступ к файловым ресурсам
  • Включите логирование DNS-запросов к доменам RAT-провайдеров (например, *.relay.anydesk.com) и отслеживайте аномальное количество соединений
  • Используйте NetFlow/IPFIX для обнаружения трафика SRV (Service Scanning) в необычные часы

3. Конфигурация самих RAT-инструментов

  • Настройте корпоративные политики AnyDesk (через GPO-шаблоны) — запретите неавторизованный доступ, включите логирование всех сессий
  • Используйте TeamViewer SSO-интеграцию для привязки сессий к корпоративным учётным записям
  • Для ScreenConnect — настройте двухфакторную аутентификацию на веб-консоли и ограничьте IP-адреса, с которых разрешён вход

4. Проактивный поиск угроз (Threat Hunting)

Современные SOC-центры должны регулярно проводить охоту за RAT-инструментами, даже если нет явных инцидентов. Ключевые гипотезы для поиска:

  • Запуск AnyDesk/TeamViewer на серверах — в нормальной ситуации серверы не требуют интерактивных сессий удалённого управления
  • RAT-процессы, запущенные от имени сервисных аккаунтов — это почти всегда признак компрометации
  • Файлы конфигурации ScreenConnect (ScreenConnect.xml), созданные через веб-интерфейс, а не через установщик

Будущее угрозы: RAT-as-a-Service и AI-агенты

К 2024 году наметилось два опасных тренда. Первый — RAT-as-a-Service: злоумышленники арендуют подписанные сборки AnyDesk и ScreenConnect у криминальных провайдеров, которые уже прошли проверку антивирусами и имеют «хорошую репутацию» в базах VirusTotal. Второй — интеграция RAT с AI-агентами: зафиксированы случаи, когда AI-агент автономно устанавливал AnyDesk, создавал туннель и предоставлял доступ оператору — без участия человека на этапе развёртывания.

Искусственный интеллект автоматизирует кибератаки
Искусственный интеллект автоматизирует кибератаки

Ожидается рост атак с использованием MeshCentral и RustDesk — открытых RAT-инструментов, которые можно форкнуть и модифицировать, меняя сигнатуры. Их обнаружение ещё сложнее, чем коммерческих аналогов, поскольку каждая модифицированная сборка уникальна.

⚠ Прогноз: До 60% всех APT-атак используют легитимные RAT-инструменты как минимум на одном этапе kill-chain. Организациям, не внедрившим поведенческий анализ и EDR нового поколения, грозит рост успешных компрометаций в 3–5 раз.

Выводы

Легитимные RAT-инструменты стали одним из самых опасных классов угроз современной кибербезопасности. Их сила — в легитимности: подписанные бинарники, зашифрованный трафик, официальная репутация. Бороться с ними традиционными методами (антивирусы, IPS, чёрные списки) невозможно — нужен комплекс мер на стыке поведенческого анализа, проактивного поиска угроз и строгой политики управления разрешённым ПО.

Неразличимая грань между администратором и злоумышленником
Неразличимая грань между администратором и злоумышленником

Каждая организация должна исходить из презумпции, что AnyDesk или TeamViewer уже установлены на её устройствах — просто злоумышленником, а не сисадмином. Построение защиты от этого класса угроз должно стать приоритетом для SOC и отдела ИБ.

📚 Читайте также

📖 Термины

APT · SIEM · SOC · Дроппер · Пентест

🔗 Источники