Выключатель защиты: что известно о новом модульном ПО NtKiller для обхода EDR и антивирусов

Что известно о вредоносной утилите NtKiller

Сообщения о том, что на подпольных форумах стало распространяться модульное ПО NtKiller, появились в конце декабря. В рекламе, которую продвигает злоумышленник с ником AlphaGhoul, утверждается, что его утилита якобы способна незаметно отключать антивирусы и средства обнаружения на конечных устройствах. Эта особенность должна помочь киберпреступникам запускать вредоносную нагрузку на зараженных компьютерах и уходить от обнаружения.

Как утверждает AlphaGhoul, NtKiller, который можно приобрести за 500 долларов (плюс 300 долларов за каждую дополнительную функцию — например, руткит), способен работать против таких популярных защитных решений, как Microsoft Defender, ESET, Kaspersky, Bitdefender и Trend Micro. А в агрессивных режимах инструмент якобы может обходить даже корпоративные технологии кибербезопасности (EDR). Потенциально это может сделать NtKiller большой проблемой для компаний, которые рассчитывают на традиционный набор защитных средств.

Эксперты KrakenLabs обратили внимание на заявленную способность NtKiller закрепляться в системе на этапе старта Windows — еще до того, как многие компоненты мониторинга заработают в полную силу и смогут полноценно отслеживать происходящее. Этот временной зазор создает атакующим оптимальные условия для запуска полезной нагрузки: вероятность обнаружения минимальна, а дальнейшее удаление становится сильно сложнее.

Что говорят эксперты про появление NtKiller

Появление программы NtKiller на теневом рынке — закономерный шаг в развитии киберпреступности, говорит в беседе с SecPost куратор направления информационной безопасности офиса компании «Первый Бит» (Челябинск) Алексей Антропов. Киберпреступники все чаще действуют не спонтанно, а превращают свои разработки в коммерческий продукт для заработка.

«Главная опасность в том, что разработчики заявляют: утилита может обходить и антивирусы, и корпоративные EDR-системы. Раньше подобные программы были нацелены в основном на домашних пользователей, теперь же атаки стремятся пробить защиту целых компаний. Это серьезный сигнал для бизнеса: полагаться только на стандартные антивирусы уже нельзя», — отмечает эксперт.

Спрос на «услугу» снятия защиты системы перед запуском полезной нагрузки вредоносного кода велик, поэтому появление подобного «убийцы EDR», как NtKiller позиционирует его создатель, было ожидаемо, дополняет руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. Однако важно понимать, что этот инструмент работает только в определенных условиях и только с определенными EDR, говорит специалист.

По словам инженера группы расследований инцидентов центра исследования киберугроз Solar 4RAYS (ГК «Солар») Дениса Чернова, такие утилиты, как NtKiller, уже встречались раньше — и будут появляться в будущем. При этом появление подобной утилиты в продаже, если она действительно работает, может говорить о том, что ее изначальный владелец уже не заинтересован в данном инструменте.

«В первую очередь, такими инструментами пользуются профессиональные APT-группировки, которые обычно не делятся своими личными эксплойтами — подвидом вредоносных программ, которые используют для атаки уязвимости в программном обеспечении. Если эксплойт уже был использован и был кем-то обнаружен, вероятно, он вскоре может перестать работать из-за исправления уязвимостей в том или ином ПО», — объясняет Денис Чернов.

Что стало с предшественниками NtKiller

Такие инструменты, как NtKiller, не являются чем-то новым на теневом рынке — уже много лет существуют либо отдельные компоненты для отключения антивирусов внутри больших вирусов, либо специальные программы, созданные для отравления средств защиты, рассказывает ИБ-эксперт и технический директор компании «Стахановец» Сергей Щербаков.

«История таких решений обычно повторяется по кругу. Сначала они активно используются в атаках, а затем их образцы попадают в руки компаний, разрабатывающих антивирусы. Специалисты этих компаний тщательно разбирают, как работают вредоносы, и затем улучшают свои продукты», — говорит собеседник SecPost.

По словам Сергея Щербакова, специалисты по кибербезопасности учат защиту распознавать как саму программу по характерным признакам, так и ее подозрительное поведение, чтобы блокировать похожие методы в будущем. Главное отличие NtKiller в том, что его открыто продают как готовый товар. Это ускоряет распространение утилиты среди злоумышленников, но, с другой стороны, также быстрее привлекает к ней внимание защитников, которые начинают ее изучать и нейтрализовать.

В одном из расследований Solar 4RAYS 2024 года был зафиксирован случай с использованием злоумышленниками вредоносного ПО, схожего с NtKiller, рассказывает Денис Чернов. Тогда атакующие получили доступ к нескольким системам заказчика компании через RCE-уязвимость (уязвимость удаленного выполнения кода), и в результате атаки установили бэкдор в одной из систем. При этом антивирус не мог обнаружить этот файл несмотря на то, что вредоносное ПО уже было известно вендору.

«Далее в той же системе мы обнаружили вредоносный имплант, который хакеры разместили среди легитимных файлов антивируса — он мимикрировал под один из его компонентов. Данный имплант запускался при включении системы и каждый раз отключал защиту. Мы поделились результатами нашего анализа с вендором антивируса и вскоре проблема, из-за которой имплант функционировал, была решена», — отмечает Денис Чернов.

Насколько велики угрозы от «выключателей защиты»

Утилита NtKiller сама по себе является лишь инструментом — одним из звеньев в цепочке атаки, обеспечивающим скрытный запуск основной вредоносной нагрузки (пейлоада), говорит в беседе с SecPost ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов.

«Масштаб возможных последствий, включая финансовые и репутационные риски, полностью зависит от конечных целей злоумышленников и успешности всей атаки в целом. Он определяется тем, доступ к каким системам и данным в итоге был получен», — отмечает эксперт.

Основные последствия использования NtKiller и его аналогов лежат в финансовой и репутационной плоскостях, дополняет Алексей Антропов. Потери предприятий при атаках, в которых злоумышленники первоначально отключают защиту, могут исчисляться миллионами рублей. Каждый час простоя систем повышает общий ущерб в среднем на 10–12 миллионов рублей, подчеркивает специалист.

При этом не менее опасны и имиджевые потери. Утечка данных клиентов, остановка производства, новости о хакерской атаке — все это снижает доверие партнеров и клиентов. Восстановление репутации занимает месяцы или даже годы, говорит Алексей Антропов. Отдельный риск — длительное скрытое присутствие в сети. Если в системе оказывается руткит, злоумышленники могут оставаться незамеченными месяцами: собирать информацию, следить за внутренними процессами и готовить дальнейшие атаки.

«Для обычного человека угрозы также очень серьезны. Это потеря личных фотографий, документов и переписок, доступ злоумышленников к банковским картам и электронным кошелькам, а также тотальное нарушение личной жизни, когда за вами могут следить через камеру или микрофон», — предупреждает Сергей Щербаков.

Как защититься от NtKiller и его аналогов

Для рядовых пользователей лучшей защитой от NtKiller и его аналогов является своевременное обновление средств защиты и другого используемого ПО, говорит Денис Чернов. Подобные утилиты не могут оставаться рабочими длительное время и не используются широко — вендоры понимают риски и оперативно исправляют свои продукты.

«Для рядовых пользователей фундаментальными остаются базовые меры гигиены кибербезопасности. К ним относятся в том числе установка программ только из официальных и доверенных источников с использованием исключительно легитимных копий, а также проявление бдительности при установке нового ПО, особенно драйверов», — отмечает Александр Самсонов.

По словам собеседника SecPost, эти меры действительно работают и с высокой долей вероятности защищают от большинства известных атак. Такой комплекс мер относится и к компаниям — их сотрудникам, кроме того, важно обращать внимание не только на сработки антивирусов, но и своевременно реагировать на сработки любых средств защиты, а также раз в некоторое время проверять, что защита вообще функционирует, советует Денис Чернов.

«Антивирусы справляются со своими обязанностями намного чаще, чем не справляются, и, если злоумышленникам требуется Bootkit для скрытия своей активности, вероятно, ИБ-специалист попросту заметит их при боковом перемещении по инфраструктуре», — говорит эксперт.

Наконец, стоит использовать раздельные аккаунты для повседневной работы и для привилегий локального администратора — это касается как обычных пользователей, так и компаний. В большинстве сценариев нет необходимости постоянно иметь повышенные привилегии, а злоумышленники могут использовать их в том числе и для отключения средств защиты, заключает собеседник SecPost.