Статья Атаки на endpoint management системы: разбор TTP 2026 и detection для SOC

13 февраля 2026 года CISA дала организациям три дня на устранение CVE-2026-1731 - pre-authentication RCE в BeyondTrust Remote Support с CVSS 9.9. Три дня. Эксплуатация шла в активных ransomware-кампаниях ещё до того, как большинство команд успели скачать патч, не говоря уже о тестировании.

Для атакующего скомпрометированная система управления конечными точками - не одна точка входа, а сотни одновременно: каждый управляемый эндпоинт становится следующей целью через штатные механизмы software deployment. Не нужен свой C2 - он уже стоит, оплачен и подписан вендором.

Ниже - разбор kill chain от pre-auth RCE до lateral movement, готовые Sigma-правила для SOC и чеклист hardening.

Бизнес-логика атаки: почему endpoint management - приоритетная мишень​

Системы управления конечными точками - BeyondTrust, ConnectWise ScreenConnect, SimpleHelp - построены на архитектуре доверия. Агент на каждом хосте принимает команды от центрального сервера без дополнительной аутентификации. Для IT-отдела это удобство. Для атакующего - готовый C2-канал с легитимным трафиком, неотличимым от baseline.

Три причины, почему это цель номер один:

1. Одна скомпрометированная консоль даёт выполнение команд на всех управляемых машинах через штатные механизмы software deployment (T1072, Software Deployment Tools, MITRE ATT&CK). Cobalt Strike не нужен - штатного агента хватает за глаза.
2. RMM-трафик между агентом и сервером - baseline для SOC. Шифрованный, на стандартных портах, процессы подписанные. SOC его не трогает, потому что "это наш инструмент".
3. Агенты работают под привилегированными учётными записями. Компрометация сервера открывает доступ к сохранённым credentials или позволяет перехватить хеши в процессе аутентификации.

Финансовый контекст: по данным Verizon DBIR 2025, медианная сумма уплаченного выкупа - $46,000, максимальная зафиксированная - $75M. Для healthcare-сектора, где Qilin и Akira остаются наиболее активными группами (данные ransomware.live за июнь 2026: 15 и 9 жертв в последних 100 публикациях соответственно), последствия выходят за рамки выкупа: оборотные штрафы за утечку персональных данных пациентов, простой клинического оборудования, уголовная ответственность при доказанной халатности. По данным IBM X-Force 2025, 70% атак затронули критическую инфраструктуру.

Kill chain: от pre-auth RCE до lateral movement через RMM​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

T+5 минут. Credential harvesting. На сервере RMM работают привилегированные процессы - из их памяти извлекаются NTLM-хеши доменных учётных записей. Дополнительный вектор - CVE-2025-24054 (CVSS 6.5, CWE-73, external control of file name or path в Windows NTLM): через .library-ms файлы на файловых шарах целевой сети инициируется утечка NTLMv2-хешей. В публичном доступе три exploit'а (EDB-52480, EDB-52478, EDB-52280). CISA SSVC: Attend, exploitation active, но automatable: no - требуется действие пользователя (UI:R).

T+15 минут. Lateral movement. Через штатный RMM-канал (агент BeyondTrust на целевых хостах) или через классические техники:

• Pass the Hash (T1550.002): NTLM-хеш из предыдущего шага реплеируется для аутентификации по SMB (порт 445) или WMI (порт 135). Предусловия: NTLM включён, отсутствует Credential Guard, нет микросегментации SMB.
• SMB/Windows Admin Shares (T1021.002): PsExec или Impacket smbexec подключается к ADMIN$ share, копирует бинарь и запускает его. По данным CISA #StopRansomware advisories, Conti, Black Basta, Akira и LockBit используют PsExec как основной инструмент распространения ransomware. Предусловия: украденные admin credentials, SMB-связность workstation-to-workstation.
• RDP (T1021.001): предусловия - RDP включён, NLA отключена или обходится, отсутствует сетевое ограничение RDP-доступа.

T+30-60 минут. По данным CrowdStrike GTR 2025, среднее breakout time в eCrime-операциях - 62 мин. (рекорд: 51 с.). В рамках этого окна - ransomware deployment через штатные механизмы software deployment RMM-платформы. Час - и всё зашифровано. Через ваш же инструмент администрирования.

Отдельный тренд: ransomware-группы сознательно переходят на менее распространённые RMM-инструменты. Ориентировочное распределение на основе публикаций ReliaQuest (точные цифры не верифицированы по первоисточнику):

Инструмент	Доля инцидентов	Почему опасен
ConnectWise ScreenConnect	~25%	Троянизированные сборки через drive-by compromise
BeyondTrust (Bomgar)	~17%	Прямая эксплуатация CVE-2026-1731
SimpleHelp	~8%	Малая install base - нет detection-правил
Nezha	~8%	Малая install base - нет detection-правил

SimpleHelp и Nezha используются именно потому, что большинство SOC-команд строят алертинг вокруг ConnectWise и AnyDesk. Инструменты с малой install base - слепая зона. Нет правил - нет алертов. Нет алертов - нет инцидента. До момента, когда уже поздно.

Detection: Sigma-правила и корреляция для SOC​

Ключевые Sigma-правила по TTP​

Для каждой техники в SigmaHQ есть готовые правила. Привожу ключевые с привязкой к вендорным SIEM.

T1550.002 (Pass the Hash) - 6 правил в SigmaHQ:

• win_security_pass_the_hash_2.yml - PtH через события account management (Security log, EventID 4624/4625)
• win_susp_ntlm_auth.yml - аномальная NTLM-аутентификация
• win_system_lsasrv_ntlmv1.yml - NTLMv1-подключения (System log, LsaSrv) - устаревший протокол, в 2026 году это почти всегда индикатор атаки

T1021.001 (Remote Desktop Protocol) - 16 правил:

• win_security_rdp_reverse_tunnel.yml - RDP-туннели через SSH
• zeek_rdp_public_listener.yml - RDP с публичных IP (сетевой уровень, Zeek)
• proc_creation_win_ssh_port_forward.yml - SSH port forwarding для проброса RDP

T1021.002 (SMB/Admin Shares) - 43 правила:

• zeek_smb_converted_win_susp_psexec.yml - PsExec через SMB (Zeek)
• pipe_created_pua_remcom_default_pipe.yml - named pipe RemCom (Sysmon EventID 17/18)
• posh_ps_susp_new_psdrive.yml - PowerShell-маппинг сетевых дисков

Пример Sigma-правила для детекции Pass the Hash (адаптация win_security_pass_the_hash_2.yml):

title: Potential Pass the Hash Activity
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 3
        LogonProcessName: 'NtLmSsp'
        AuthenticationPackageName: 'NTLM'
        KeyLength: 0
    filter:
        TargetUserName: 'ANONYMOUS LOGON'
    condition: selection and not filter
level: medium

Правило срабатывает на network logon (type 3) через NTLM с нулевой длиной ключа - характерный паттерн PtH. В CrowdStrike Falcon этот паттерн покрывается через Identity Threat Detection; в Elastic Security 8.x+ - через встроенные ML-правила для lateral movement. В Kaspersky EDR Expert аналогичная логика реализуется через пользовательские IoA-правила с фильтрацией по EventID 4624 + LogonType 3.

Нюанс: правило генерирует false positives в средах с легаси-приложениями на NTLM. Перед включением - baseline 2-4 недели, иначе утонете в алертах.

Корреляционная логика и D3FEND countermeasures​

Detection-сценарий для RMM abuse строится на трёх слоях:

Слой 1: процесс-аномалия на RMM-сервере. Любой cmd.exe, powershell.exe или bash, запущенный как child process RMM-сервиса (bomgarservice.exe, screenconnect.exe) - алерт high. В Elastic Security 8.x+: паттерн process where process.parent.name in ("Bomgar[I]", "bomgar-scc[/I]", "screenconnect.clientservice.exe") and process.name in ("cmd.exe", "powershell.exe") (имена процессов зависят от версии и компонента - сверяйте с BeyondTrust KB и фактическими процессами в вашей среде). В SentinelOne: Deep Visibility query по parent process name.

Слой 2: незнакомый RMM-агент. SHA256-хеши SimpleHelp, Nezha, MeshAgent - в чёрный список Application Control. В CrowdStrike Falcon - через IOA-правило на создание процесса с совпадением по хешу. В Kaspersky EDR Expert - через Application Control в deny-by-default режиме. Если в вашей среде утверждён один RMM - всё остальное блокируется. Точка.

Слой 3: SMB workstation-to-workstation. Рабочая станция инициирует SMB-подключение к ADMIN$ на другой рабочей станции. В штатном режиме такой трафик практически отсутствует. Sigma: zeek_smb_converted_win_susp_psexec.yml на сетевом уровне; на хостовом - Sysmon EventID 17/18 для named pipes.

MITRE D3FEND рекомендует конкретные защитные техники:

TTP	D3FEND	Тип	Что мониторить
T1550.002 (Pass the Hash)	Process Lineage Analysis (D3-PLA)	Detect	Цепочка parent-child процессов lsass
T1550.002 (Pass the Hash)	Process Spawn Analysis (D3-PSA)	Detect	Аномальный запуск под PtH-паттерном
T1021.001 (Remote Desktop Protocol)	User Geolocation Logon Pattern Analysis (D3-UGLPA)	Detect	Вход с нетипичной геолокации
T1021.001 (Remote Desktop Protocol)	Protocol Metadata Anomaly Detection (D3-PMAD)	Detect	Нестандартные параметры RDP-сессии
T1021.002 (SMB/Windows Admin Shares)	Network Traffic Signature Analysis (D3-NTSA)	Detect	Сигнатуры PsExec/RemCom в SMB
T1558 (Steal or Forge Kerberos Tickets)	Per Host Download-Upload Ratio Analysis (D3-PHDURA)	Detect	Аномалии в Kerberos-трафике

Adversary simulation и hardening​

Эмуляция TTP через Atomic Red Team​

Требования к окружению:

• ОС: Windows Server 2019/2022 (DC + member server), Windows 10/11 (рабочие станции)
• RAM: минимум 16 ГБ для 3 VM, рекомендуется 24 ГБ
• Инструменты: Atomic Red Team (активный проект, github.com/redcanaryco/atomic-red-team), Mimikatz, Impacket
• Сеть: изолированная лаба, host-only
• EDR (опционально): CrowdStrike Falcon Trial или Elastic Agent (бесплатная лицензия) для проверки детекшна

Готовые тесты Atomic Red Team для описанных TTP:

• T1550.002 (3 теста): Mimikatz PtH, crackmapexec PtH, Invoke-WMIExec PtH
• T1021.002 (3 теста): Map admin share, Map Admin Share PowerShell, Copy and Execute File with PsExec
• T1021.001 (3 теста): RDP to DomainController, Changing RDP Port (PowerShell и cmd)

Запуск теста PtH и проверка detection gap:

# Atomic Red Team: T1550.002 Test #2 - crackmapexec PtH
Invoke-AtomicTest T1550.002 -TestNumbers 2
# После выполнения - проверить SIEM на сработку Sigma-правил
# Нет алерта = detection gap, документируем и закрываем

После прогона каждого теста проверяйте: сработало ли правило из предыдущего раздела в вашем SIEM. Нет алерта - документируйте gap и пишите новое правило. Без этого цикла "тест -> проверка -> правило" все Sigma-правила выше - теория.

Hardening-чеклист​

1. RMM allowlist. Составить утверждённый список RMM-инструментов. Всё остальное - блокировать через Application Control (CrowdStrike Falcon, Kaspersky EDR Expert, SentinelOne).
2. Патч CVE-2026-1731. Обновить BeyondTrust RS/PRA. При невозможности - изолировать от интернета или вывести из эксплуатации (рекомендация CISA).
3. SMB workstation-to-workstation - запретить. Через Windows Firewall GPO или микросегментацию: рабочие станции не подключаются по SMB к другим рабочим станциям. Только designated management серверы.
4. Отключить NTLMv1. GPO: LmCompatibilityLevel = 5. Мониторинг через Sigma win_system_lsasrv_ntlmv1.yml.
5. Credential Guard. Включить на Windows 10/11, Server 2016+. Блокирует извлечение NTLM-хешей через Mimikatz.
6. LAPS. Развернуть Local Administrator Password Solution - ротация локальных admin-паролей исключает reuse хеша при lateral movement.
7. RDP - только с designated admin workstations. Включить NLA. Sigma: win_security_not_allowed_rdp_access.yml для мониторинга.
8. Sysmon EventID 17/18. Мониторинг named pipes для детекции RemCom/PsExec.
9. Аудит ADMIN$ shares. Windows Security EventID 5140/5145 - логировать все обращения.
10. Baseline RMM-трафика. Задокументировать нормальный паттерн трафика между RMM-сервером и агентами. Алерт на аномалии объёма (D3-PHDURA).

В моей практике adversary simulation (7 организаций за два года) в пяти случаях RMM-трафик не мониторился вообще. Выборка мала, но паттерн устойчив. И причина не в слабости SOC - RMM воспринимался как "наш инструмент", а не потенциальный C2. Это фундаментальная ошибка восприятия, особенно характерная для healthcare-проектов, где BeyondTrust обслуживает медицинское оборудование.

Группы Qilin и Akira прямо сейчас эксплуатируют эту слепую зону: 15 жертв Qilin за последние недели, включая healthcare-организации в США. 79% обнаруженных вторжений - malware-free (CrowdStrike GTR 2025): hands-on-keyboard через LOTL-техники и валидные credentials. Пока SOC настраивает детекшн на "подозрительные бинари", атакующий работает через PsExec и штатный RMM-канал.

Что реально сдвигает ситуацию - RMM allowlist как hard control и мониторинг east-west SMB между рабочими станциями. Не "рекомендация", а решение уровня "внедрить или принять риск в письменном виде с подписью CISO". Если у вас другой стек детекции - на codeby.net обсуждают адаптацию detection-правил для RMM-abuse сценариев под конкретные SIEM-платформы.