Головна Спільнота

Поза радаром антивірусів: чому атаки Living off the Land стали головним болем українських ІТ-команд

4 хвилин читання

Українські компанії сьогодні зіштовхуються з новим типом загрози — такою невидимою, що звичний антивірус навіть не розуміє, що перед ним атака. CERT-UA у своїх останніх звітах фіксує: російські угруповання масово переходять на тактику living off the land (LotL), і це змінює правила гри.

Що таке атаки Living off the Land і чому вони небезпечні?

Хакери більше не приносять у систему “віруси ззовні”. Вони діють значно хитріше: використовують законні інструменти самої операційної системи — ті, що є на кожному сервері та кожному корпоративному ноутбуці.

Читайте також: Більшість кібератак на бізнес не виглядає як атаки. Вони тихі, непомітні і часто починаються задовго до того, як компанія щось виявляє. Ми поговорили з Євгенієм Богаченком — директором КП «Міський інформаційно-обчислювальний центр» та експертом з кібербезпеки і захисту критичної інфраструктури. 

Наприклад:

  • PowerShell — стандартний інструмент для адміністраторів.
  • Chisel чи plink — цілком легальні утиліти для тунелювання трафіку.
  • Вбудовані компоненти Windows (WMI, rundll32, certutil) — теж абсолютно “законні”.

І якщо хакер запускає PowerShell — антивірус не реагує. Бо PowerShell — це не вірус, а системна утиліта.

Проблема в тому, що цей PowerShell починає виконувати дії, які звичайний адміністратор ніколи б не робив.

CERT-UA чітко вказує: російські групи створюють у системах приховані тунелі, підміняють облікові дані, проводять збір інформації — і все це під виглядом “звичайної роботи сервера”.

Чому антивірус цього не бачить?

Підписуйтеся на наші соцмережі

Традиційний AV працює за принципом: “бачу підозрілий файл — блокую”. Але у LotL-атаках немає файлів, немає троянів, немає шкідливих .exe.

Є лише:

  • стандартні утиліти,
  • системні процеси,
  • законні команди.

Для антивіруса це виглядає нормально: «PowerShell працює? Звісно, це ж Windows».

Саме тому класичний AV не просто програє — він сліпий у цій моделі.

Що тоді працює? Поточний тренд: поведінкові системи захисту

Сучасні системи захисту (EDR/XDR) дивляться не на файли — вони дивляться на поведінку.

Умовно кажучи, для них важливо не те, що PowerShell запустився, а хто, коли і з якого процесу його запустив.

Приклад: EDR знає, що веб-сервер (наприклад, IIS) НІКОЛИ не повинен запускати PowerShell. Тому якщо такий ланцюжок виникає — це не просто “дивно”, це майже точно атака.

Системи нового покоління відслідковують:

  • підозрілі послідовності команд,
  • нетипові для ролі сервера процеси,
  • створення тунелів,
  • збір облікових даних,
  • зміни прав доступу.

І в таких сценаріях вони реагують майже миттєво.

Українській інфраструктурі потрібен новий рівень кіберзахисту

В умовах війни ми вже зрозуміли, що атаки не завжди виглядають як атаки. LotL — це не “хакер з флешкою”, а невидимий процес, який тихо, по-адміністраторськи робить свою справу.

Український бізнес має перейти на:

  • постійний моніторинг поведінки систем,
  • контроль ланцюжків процесів,
  • zero trust до будь-якої дії у мережі,
  • EDR/XDR-рішення, здатні бачити контекст,
  • реакцію на аномалії, а не на файли.

Така модель не просто тренд — це вимога реальності, яку нам диктує війна.

Отже

Сьогодні хакери маскуються під легітимних адміністраторів. Вони заходять не через двері — вони вже всередині будинку і користуються вашими ж інструментами.

Питання не в тому, чи впорається антивірус (він не впорається). Питання в тому, чи здатна ваша система розпізнати “ненормальну нормальність”.

Бо саме там сьогодні і проходить лінія фронту кіберзахисту.

Інші матеріали

Кібербезпека атаки хакерів антивірус бізнес-лонгрід SHERIFF Cybersecurity Спільнота
Читати на speka.media