Когда антивирус молчит: практика обнаружения невидимой атаки до требования выкупа

Когда антивирус молчит: как обнаружить атаку до требования выкупа

В корпоративной инфраструктуре до сих пор живёт опасная иллюзия: если антивирус не сигналит — значит, всё в порядке.

На практике всё чаще происходит иначе: защита формально установлена, логи собираются, отчёты формируются — а первая новость о взломе приходит в виде требования выкупа.
Разберём, почему классические средства защиты не видят современные атаки, как злоумышленники обходят антивирус «легальными» инструментами и какую роль в этом контексте играют решения вендора F6.

Иллюзия защищённости: почему антивирус «молчит»
Большинство компаний уверены, что базовый набор средств защиты — антивирус, NGFW, EDR — закрывает основные риски.

Проблема в том, что современные атаки давно перестали быть «шумными».
Если раньше вредоносное ПО легко определялось по сигнатурам, то сегодня злоумышленники:

• используют легитимные инструменты Windows (PowerShell, WMI, RDP),
• подключаются через штатные механизмы удалённого доступа,
• применяют встроенные администрируемые сервисы,
• эксплуатируют уже существующие учётные записи.

Вредоносного файла может не быть вовсе. А значит — нет и сигнатуры, по которой сработает антивирус.

Антивирус не обязан видеть злоумышленника, если тот действует как администратор.

Типичный сценарий сегодня выглядит так:

1. Первичный доступ (фишинг, уязвимость, компрометация VPN).
2. Закрепление в инфраструктуре.
3. Разведка и поиск критичных узлов.
4. Боковое перемещение.
5. Подготовка к шифрованию или выносу данных.
6. Финальная фаза — выкуп или публикация данных.

Ключевая проблема: на первых этапах нет вируса в классическом понимании. Есть только нетипичная активность.

Именно на этой стадии и возникает главный разрыв — между наличием средств защиты и реальной способностью увидеть атаку.

1. Легитимные инструменты администрирования
PowerShell, PsExec, RDP — всё это штатные механизмы. Если злоумышленник использует их корректно, сигнатурная защита не срабатывает.

2. Избыточные права доступа
Старые сервисные учётные записи, администраторские права «про запас», отсутствие регулярной ревизии доступов — всё это ускоряет развитие атаки.

3. Отсутствие поведенческой аналитики
Логи собираются, но не анализируются в контексте аномалий:
— вход в нетипичное время,
— необычная активность хоста,
— массовые подключения к серверам.

Без поведенческой аналитики события выглядят «нормальными».

Даже внедрённые SIEM или EDR не гарантируют обнаружения:

• корреляции могут быть настроены формально;
• события тонут в потоке логов;
• нет выделенной команды для глубокого анализа;
• нет экспертизы по сложным сценариям атак.

Инструмент есть — управляемости нет.
Именно здесь появляется необходимость либо зрелого SOC, либо управляемого сервиса, который берёт на себя постоянный анализ и реагирование.

Поговорим о практике выявления атак до требования выкупа и подходе, который реализуется в рамках решений и сервисов F6.

Ключевая идея — сместить фокус с поиска «вируса» на поиск признаков активности злоумышленника.

Что лежит в основе подхода:
Глубокая аналитика поведения
Отслеживаются не только файлы, но и:

• цепочки команд,
• нестандартные сценарии использования легитимных утилит,
• аномалии в сетевых взаимодействиях.

Выявление обхода защиты
Особое внимание уделяется ситуациям, когда злоумышленник:

• отключает средства безопасности,
• меняет политики,
• манипулирует журналированием,
• использует штатные инструменты для маскировки.

Корреляция событий на уровне сценария
Не отдельное событие, а последовательность действий:

• вход → разведка → эскалация → перемещение.

Именно цепочка даёт понимание, что происходит атака.

Отдельный акцент хочется сделать на управляемом сервисе F6.

Идея проста: проблема не в том, что у компаний нет инструментов, а в том, что их некому постоянно анализировать.

Управляемый сервис предполагает:

• непрерывный мониторинг событий;
• экспертный разбор подозрительных сценариев;
• выявление нетипичных цепочек активности;
• помощь в локализации инцидента до стадии шифрования;
• рекомендации по устранению первопричин.

Таким образом, защита становится не статичной конфигурацией, а живым процессом.

На практике раннее обнаружение строится на нескольких принципах:

1. Контроль горизонтального трафика
Выявление сканирования сети, массовых подключений, нетипичных RDP-сессий.
2. Мониторинг доменной активности
Создание новых администраторов, изменение групп доступа, массовые попытки аутентификации.
3. Поведенческая аналитика на рабочих станциях
Аномальные команды, запуск системных утилит в необычных сценариях.
4. Проверка реальной эффективности защиты
Имитация техник атак и проверка, проходит ли трафик через NGFW, реагирует ли система на обход.
Почему требование выкупа — это уже поздно

Когда компания получает письмо от злоумышленников:

• резервные копии уже удалены;
• данные уже выгружены;
• привилегированные доступы уже закреплены.

Это финал сценария, а не его начало.
Реальная работа должна происходить на стадии:

• первой аномальной активности,
• разведки,
• попытки закрепления.

Именно на этих этапах решения класса F6 и управляемые сервисы дают максимальный эффект.

Антивирус может быть установлен везде — и при этом не видеть реальную атаку.

Современные злоумышленники:

• используют легитимные инструменты,
• действуют тихо,
• развивают атаку постепенно,
• избегают сигнатурных детектов.

Поэтому вопрос уже не в наличии средства защиты, а в способности:

• анализировать поведение,
• видеть аномалии,
• выявлять цепочки действий,
• подключать экспертную аналитику.

Именно переход от «у нас стоит защита» к «мы понимаем, что происходит внутри сети» позволяет обнаруживать атаку до требования выкупа — когда ещё есть возможность остановить её без критических последствий.