В прошлом году мы провели десятки пентестов российских компаний, и в 94% случаев наши специалисты получили контроль над доменом. Речь идет не о частичном доступе или компрометации отдельных систем, а о полном захвате инфраструктуры с правами администратора.
При этом у большинства исследованных компаний был внушительный бюджет на безопасность, современные межсетевые экраны и даже собственный SOC. Некоторые из них тратят на кибербез больше, чем иные организации зарабатывают за целый год. И все равно среднее время от первого входа до захвата домена измеряется часами, а не неделями.
Так почему же миллиардные инвестиции в безопасность не работают, откуда берутся «зомби-серверы» с открытым RDP и почему ваша парольная политика, скорее всего, помогает хакерам?
В этой статье мы покажем реальную картину защищенности российского бизнеса в 2025 году. Поверьте, она отрезвляет и местами даже пугает.
Статья основана на отчете Бастиона о кибербезопасности российских компаний за 2025 год. Если вам нужна полная версия отчета, напишите нам на pr@bastion-tech.ru.
Иллюзия надежности периметра
Зачастую укрепление внешнего периметра становится «карго-культом» для безопасников и бизнеса. Да, большинство кибератак начинается с разведки и попытки пробить периметровую защиту, так что недооценивать ее не стоит. Однако миллионы на оборудование и софт будут потрачены впустую, если забыть о базовой логике эксплуатации. Не верите? Вот немного цифр из нашей практики.
Нерабочий «зоопарк» СЗИ
По нашей статистике, 73% компаний используют WAF (Web Application Firewall) или системы обнаружения вторжений, только вот незадача — 80% атак проходят сквозь эту защиту, как нож сквозь масло. Ведь межсетевой экран уровня приложений требует постоянной калибровки. В суровой реальности это дорогостоящее решение часто работает в режиме мониторинга, чтобы, чего доброго, не помешать бизнес-процессам. Или же WAF настроен на дефолтные правила пятилетней давности. В свою очередь, злоумышленники не забывают, какой год на календаре: они прекрасно знают сигнатуры популярных вендоров и умеют их обходить.
Обратимся к бизнес-логике
Не говоря уже о том, что современная атака на веб — это удар по логике приложения. Тот же WAF отлично ловит автоматические сканеры, но без должной настройки пасует перед ошибками бизнес-логики, на которые приходится более 18% всех критических уязвимостей.
Ярким примером таких логических дыр служит так называемый IDOR — небезопасная прямая ссылка на объект. Сегодня это, пожалуй, рекордсмен среди уязвимостей высокого уровня. Представьте, что злоумышленник кладет товар в корзину на маркетплейсе, потом перехватывает запрос и меняет цену или идентификатор пользователя в URL, получая доступ к личному кабинету другого клиента. Для защитного экрана такой трафик выглядит легитимным, ведь это не вредоносный код, а простой запрос. Если приложение само не проверяет права доступа, периметровая защита бесполезна.
Теневая IT-инфраструктура
Это еще одна причина уязвимости внешнего периметра. Инфраструктура современных компаний растет настолько стремительно, что ИБ-службы не успевают ее инвентаризировать. Типичный сценарий выглядит так: маркетологи просят срочно поднять виртуальную машину для лендинга под акцию. Инженеры быстро запускают сервер, ставят туда популярную CMS и гостеприимно открывают порты. Акция заканчивается, а виртуальная машина превращается в «заброшку» и «зарастает бурьяном». Проходит два года, а злосчастный сервер все еще работает без каких-либо обновлений безопасности. Мы видим картину, когда в инфраструктуру может зайти каждый, кто пожелает.
Простой запрос в публичных поисковиках по интернету вещей (IoT) выдает десятки тысяч устройств с открытым протоколом RDP в России, включая древние машины на базе Windows Server 2008. Для успешной атаки злоумышленнику достаточно найти один такой «зомби-сервер»: забытую тестовую среду, демонстрационный стенд или временный шлюз для подрядчиков.
Попав на такой ресурс, атакующий закрепляется в инфраструктуре. Он заливает веб-шелл для удаленного управления, получает права локального пользователя и начинает сканировать внутреннюю сеть уже изнутри. Для внутренней инфраструктуры скомпрометированный сервер считается своим: трафик с него часто не фильтруется, а доступ к соседним системам открыт по умолчанию.
Кризис доверия в цепочке поставок
Если дыры в периметре уже давно стали классической проблемой, то атаки через цепочку поставок — это главный тренд последних лет. В 2025 году такие угрозы приобрели угрожающие масштабы. Рост числа атак через подрядчиков и стороннее программное обеспечение составил 80% только за первый квартал прошедшего года. В чем причина столь пугающей статистики?
Угрозы из репозиториев, или Опасная транзитивная зависимость
Дело в том, что мы живем в эпоху компонентной разработки, когда никто не создает софт с нуля. Типичное корпоративное приложение — это конструктор, собранный из сотен открытых библиотек и фреймворков. Разработчики пишут лишь малую часть кода, отвечающую за бизнес-логику, а остальное подтягивается из публичных репозиториев. Это создает сеть доверия, которую хакеры научились эксплуатировать с пугающей эффективностью.
Взять, к примеру, уязвимость в библиотеке XStream. Эта популярная Java-библиотека для сериализации объектов в XML содержала ошибку, позволяющую при обработке специально подготовленного файла выполнить произвольный код на сервере. Проблема заключалась не столько в самой библиотеке, сколько в ее вездесущности. XStream используется внутри таких гигантов, как Apache ActiveMQ, JMeter и десятках других корпоративных продуктов. Разработчик внедряет очередь сообщений и даже не подозревает, что внутри лежит уязвимый компонент.
Это называется транзитивная зависимость. Вы зависите от библиотеки «А», которая завязана на библиотеку «Б», где есть уязвимость. И вы об этом даже не подозреваете, потому что в России практика использования «паспорта программного продукта» или SBOM пока не прижилась. Разработчики редко знают полный состав своего продукта на всю глубину зависимостей.
В инфраструктуру — через подрядчиков
При этом цепочка поставок — это не только код, но и партнеры. Более четверти успешных атак на российские компании происходит через инфраструктуру подрядчиков.
Логистические компании, рекламные агентства, интеграторы и разработчики на аутсорсе зачастую получают легитимный доступ во внутренние сети заказчиков. Это наталкивает злоумышленника на рациональную мысль: зачем атаковать крупный банк с его центром мониторинга и эшелонированной защитой? Гораздо проще и дешевле взломать, скажем, небольшое рекламное агентство, которое администрирует сайт финансовой организации. У подрядчика безопасность часто ограничивается роутером и антивирусом, а права доступа сопоставимы с возможностями штатного сотрудника.
Если упростить, типичный вектор атаки 2025 года выглядит так:
происходит компрометация небольшого интегратора через фишинг;
злоумышленники получают доступ к VPN-шлюзу интегратора;
злоумышленники подключаются к сети крупного заказчика через доверенный туннель и атакуют внутреннюю инфраструктуру с привилегиями доверенного партнера.
Итак, концепция доверенной зоны умерла (вечная ей память!).
Напрашивается неумолимый вывод, что «доверять в наше время нельзя никому». Любое подключение, будь то библиотека из интернета или канал связи от партнера, должно рассматриваться как потенциально враждебное. Без внедрения принципов нулевого доверия (Zero Trust) и жесткого контроля зависимостей компании не обеспечить безопасность.
Active Directory как ахиллесова пята
Допустим, хакер прошел через дырявый периметр или проник в корпоративную сеть через подрядчика. Дальше начинается самая остросюжетная часть этого триллера. По нашим данным, 94% проверок внутренней инфраструктуры завершились полным захватом домена. Причина в том, что лишь 5% компаний имеют корректно настроенную и защищенную конфигурацию Active Directory, а ведь это сердце корпоративной сети, управляющее пользователями и доступами.
Настройки в режиме «решето»
Масса доменов разворачивалась десять–пятнадцать лет назад, когда стандарты безопасности были совершенно другими. Администраторы руководствовались принципом «работает — не трогай». В результате инфраструктура превращается в «решето».
Например, во многих сетях до сих пор включен устаревший протокол аутентификации NTLMv1 для совместимости со старым оборудованием. Хэш этого протокола взламывается за секунды. Отсутствие обязательной подписи SMB позволяет проводить атаки типа Relay, перенаправляя аутентификацию администратора на сервер злоумышленника. Сетевая сегментация тоже предусматривается не всегда: рабочая станция секретаря нередко имеет прямой сетевой доступ к серверу базы данных и контроллеру домена.
Реальный кейс 2025 года: как забытый сервер с PrintNightmare привел к захвату домена
Давайте реконструируем реальный инцидент 2025 года, чтобы понять, как вышеописанные проблемы приводят к компрометации. Точкой входа стала учетная запись менеджера логистики, купленная у брокера доступов в даркнете за символические пятьдесят долларов. Попав в сеть, хакер не стал спешить. Он запустил инструменты разведки (скрипт ADRecon или утилиту BloodHound), чтобы построить карту сети, найти администраторов и пути к контроллеру домена. Примечательно, что даже встроенный защитник Windows часто фиксирует запуск этих скриптов. В центре мониторинга безопасности такие оповещения либо игнорируют, принимая за действия администраторов, либо просто не видят из-за отсутствия сбора логов.
Следующий этап — повышение привилегий. Злоумышленник нашел в сети сервер с известной уязвимостью PrintNightmare. Патч для нее вышел давно, но на конкретном сервере его забыли установить или откатили. Эксплуатация уязвимости дает права системы на сервере. Теперь хакер завладел узлом. Используя максимальные права, он запустил утилиту Mimikatz и извлек из памяти пароли и хэши всех, кто входил на этот сервер. Злоумышленнику повезло: на сервере осталась активная сессия системного администратора.
Имея хэш пароля администратора, злоумышленник использует техники горизонтального перемещения, например, Pass-the-Hash или атаку DCSync. В последнем случае он просит контроллер домена реплицировать данные, притворяясь другим контроллером. Это позволяет получить хэши паролей всех пользователей компании. Финальная точка — полный контроль над доменом, доступ к почте руководства, финансовым системам и управлению производством. Весь путь от первоначального входа до захвата домена занимает от нескольких часов до пары дней.
Повторимся, что современные версии даже бесплатных антивирусов успешно детектируют инструменты атаки. Проблема не в технологиях обнаружения, а в процессах. Оповещения теряются в информационном шуме или игнорируются. Инфраструктура падает не из-за гениальности хакеров, а из-за «открытых дверей», которые следовало запереть еще десять лет назад.
Дипфейки и омниканальный фишинг
Инфраструктура инфраструктурой, но наиболее слабым звеном все чаще оказываются люди, которые легко поддаются уловкам социальной инженерии. Почему же сотрудники продолжают попадаться на удочку мошенников, ведь об опасности того же фишинга давно наслышан даже школьник?
Почему социальная инженерия становится опаснее?
Во-первых, злоумышленники отказались от массовых веерных рассылок в пользу точечных, растянутых во времени и более продуманных операций.
Во-вторых, социальная инженерия превратилась в высокотехнологичное оружие корпоративного шпионажа, а против рядового сотрудника работает не столько человек, сколько генеративный ИИ. Благодаря большим языковым моделям фишинг — это больше не письма от «нигерийских принцев», которые легко фильтруются спам-шлюзами.
Теперь такие рассылки неотличимы от легитимной деловой переписки. ИИ идеально копирует стиль общения, сленг и контекст конкретной компании, обучаясь на слитых ранее переписках. В результате 16% сотрудников переходят по вредоносным ссылкам, и лишь 1% сообщает о подозрительных письмах в службу безопасности.
«Омниканальный фишинг»
Впрочем, главная угроза теперь исходит не из почты. Защита корпоративного e-mail стала достаточно надежной, поэтому злоумышленники мигрировали в «серые зоны» — мессенджеры и личные каналы связи. Это «великое переселение мошенников» получило название «омниканальный фишинг». Атака может начаться с сообщения в Telegram или WhatsApp якобы от генерального директора, продолжиться звонком и закончиться отправкой документа на рабочую почту. Поскольку мессенджеры часто находятся вне периметра контроля корпоративных средств защиты, служба безопасности остается слепой к первым этапам атаки.
Особую популярность набирает техника Clickfix. Это изощренная форма социальной инженерии, когда мошенник прикидывается специалистом поддержки и заставляет жертву самостоятельно открыть терминал и выполнить вредоносную команду под предлогом решения технической проблемы (например, «ошибка отображения шрифтов» или «сбой микрофона в Zoom»). Поскольку технически все выполняется руками самого пользователя, антивирусные системы часто интерпретируют это как легитимное администрирование.
Дипфейки: от экзотики к рутине
Но настоящим кошмаром для служб безопасности стали дипфейки. Технологии синтеза голоса и видео в 2025 году достигли уровня, когда отличить подделку от реальности практически невозможно. Стоимость генерации убедительного «голосового клона» снизилась до нескольких долларов. Мошенники регулярно используют клонированные голоса топ-менеджеров для авторизации срочных финансовых транзакций или получения паролей. Вишинг (голосовой фишинг) перестал быть экзотикой и стал рутиной.
Ситуацию усугубляет эксплуатация доверенных каналов. Самые разрушительные атаки выполняются не с анонимных адресов, а с уже скомпрометированных учетных записей реальных подрядчиков или коллег. Письмо с вложением «Счет на оплату» от знакомого менеджера подрядной логистической компании не вызывает подозрений ни у человека, ни у почтового шлюза. Именно так начинается большинство инцидентов, приводящих к полной компрометации инфраструктуры. В итоге технические средства защиты отходят на второй план, и человек становится единственным, хотя и ненадежным рубежом обороны.
Эхо даркнета: экономика массового взлома
За всеми техническими деталями важно видеть экономическую подоплеку. Атак стало так много, потому что это дешево и выгодно. Барьер входа в киберпреступность снизился до минимума. Благодаря сервисной модели преступности любой школьник с криптовалютным кошельком может стать хакером. Злоумышленнику не нужно уметь писать эксплойты или администрировать ботнеты — все это легко арендовать.
Только задумайтесь: купить первоначальный доступ в сеть небольшой компании через VPN или веб-шелл можно у брокеров всего за 10–50 долларов. Доступ к привилегированной учетной записи в крупной международной компании может стоить до 50 000 долларов, но эта инвестиция окупается сторицей после успешной атаки вируса-шифровальщика. Готовый набор для фишинга, включающий сайт, базу рассылки и инструменты обхода спам-фильтров, доступен по подписке за 100 долларов в месяц.
Таким образом, происходит коммодитизация хакерского инструментария. Еще недавно доступные только элитным группировкам инструменты сегодня лежат в открытом доступе. Исходные коды известных шифровальщиков «утекли» в паблик, и теперь кто угодно может на коленке собрать своего вымогателя. Профессиональные фреймворки для тестирования на проникновение стали стандартом де-факто для злоумышленников.
Это создает ситуацию идеального шторма. Количество атакующих растет экспоненциально, потому что для старта нужны копейки, а потенциальная прибыль огромна. Защитники вынуждены закрывать все дыры, в то время как атакующему достаточно найти всего одну.
Практические шаги: анти-карго-культ
Что же, с суровой реальностью в общих чертах разобрались. Самое время поискать ответ на вопрос классика «что делать?». И решение не в покупке очередного дорогого оборудования и даже не в увеличении бюджета на кибербез, а в зрелости процессов и наведении порядка.
Попытаемся накидать примерный пошаговый план оздоровления инфраструктуры, основанный на рекомендациях аналитиков. Большинство этих мер не требует покупки лицензий — понадобится лишь рабочее время и усилия администраторов.
Конечно, каждая сеть уязвима по-своему, но есть и универсальные шаги к киберустойчивости.
Шаг 1. Ликвидация «плоского доверия»
Чтобы пресечь на корню продвижение злоумышленников по сети, необходимо внедрить жесткую модель эшелонирования, известную как Tier Model.
Инфраструктуру нужно разделить на изолированные контуры. Администраторы высшего уровня (Tier 0 — контроллеры домена) должны иметь право авторизоваться только на контроллерах и только с выделенных, чистых консолей управления. Любую попытку входа доменного администратора на рядовой сервер или рабочую станцию следует блокировать технически, через политики Authentication Silos, а не просто запрещать на бумаге. Это разрывает цепочку атаки: даже если хакер захватит половину офисных компьютеров, он не найдет там учетных данных, позволяющих добраться до ядра сети.
Шаг 2. Устранение легаси-протоколов
В 2025 году наличие включенных протоколов LLMNR и NBT-NS в корпоративной сети — это преступная халатность. Такие протоколы позволяют любому устройству в локальной сети отвечать на широковещательные запросы, что дает карт-бланш атакам типа Responder. Злоумышленник просто «слушает» эфир и собирает хэши пользователей, которые ошиблись при вводе адреса сетевой папки.
В свою очередь, NTLMv1 и отсутствие подписи SMB оставляют открытыми двери для атак NTLM Relay, позволяя хакеру перенаправлять аутентификацию и получать доступ к серверам без знания пароля. Отключение этого наследия не стоит ни копейки, но повышает сложность атаки на несколько порядков.
Шаг 3. Автоматизация смены локальных паролей
Если на ста компьютерах в вашей сети стоит одинаковый пароль локального администратора, то компрометация одного ПК означает и компрометацию остальных девяноста девяти. Поэтому решение Microsoft LAPS (Local Administrator Password Solution) должно быть развернуто повсеместно. Оно автоматически генерирует уникальные сложные пароли для каждого хоста и хранит их в защищенных атрибутах Active Directory. Это превращает горизонтальное перемещение из легкой прогулки в тяжелую позиционную войну: хакеру придется взламывать каждый компьютер по отдельности.
Шаг 4. Преодоление «диагностической слепоты»
Как показывает наш опыт, сроки реакции на инцидент часто превышают время захвата домена. Дежурные администраторы видят алерты антивируса, но бездействуют в страхе что-то «сломать». Вместо многотомных инструкций по реагированию внедрите «правило одной страницы»: предельно четкий алгоритм действий при критическом срабатывании (например, обнаружении Mimikatz или Cobalt Strike).
Алгоритм должен быть примитивным: изолировать хост на уровне сети (отключить порт на коммутаторе или виртуальный адаптер), принудительно сбросить пароли всех активных сессий и только потом разбираться. Практика показывает, что скорость изоляции в первые пятнадцать минут атаки важнее качества последующего расследования. Лучше ошибочно отключить одного менеджера от сети, чем через час потерять контроль над всей инфраструктурой.
Да, все эти меры бесплатны условно, так как все равно требуют усилий и времени специалистов. Но реализация предложенного плана все равно дешевле бесчисленного «зоопарка» СЗИ, которые без базовых мер предосторожности будут работать вхолостую.
Статистика неумолима: пока вы читали эту статью, кто-то с большой вероятностью купил доступ в чужую корпоративную сеть.
Хорошая новость в том, что большинство дыр закрывается бесплатно. Прямо сейчас откройте консоль и проверьте три вещи: внедрен ли у вас LAPS, отключены ли LLMNR и NBT-NS, настроен ли сбор логов с критичных серверов. Если на любой из вопросов ответ «нет» или «не знаю» — вы знаете, чем заняться в понедельник. Это не сделает вас неуязвимыми, но как минимум вычеркнет из списка легких целей злоумышленников.
PURP — Telegram-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
