ТЕХНІЧНИЙ ОПИС

Зловмисники, які успішно скомпрометували систему, можуть спробувати підтримувати стійкість (Persistence), «закриваючи двері» за собою — іншими словами, запобігаючи первинному доступу або утриманню позицій іншими суб’єктами загроз на тій самій системі.

Наприклад, зловмисники можуть встановити патч на вразливу скомпрометовану систему, щоб запобігти використанню цієї вразливості іншими хакерами в майбутньому. Вони можуть «закрити двері» іншими способами, такими як вимкнення вразливих служб, позбавлення облікових записів привілеїв або видалення іншого шкідливого ПЗ, яке вже знаходиться на скомпрометованому пристрої.

Перешкоджання іншим суб’єктам загроз може дозволити зловмиснику підтримувати одноосібний доступ до скомпрометованої системи або мережі. Це позбавляє зловмисника необхідності конкурувати з іншими хакерами або навіть ризику бути видаленим ними. Це також зменшує «шум» у середовищі, знижуючи ймовірність бути поміченим і виселеним захисниками. Нарешті, у випадку захоплення ресурсів (Resource Hijacking), використання повної потужності скомпрометованого пристрою дозволяє зловмиснику максимізувати прибуток.

Чому зловмисники стають «захисниками»?

  • Захист інвестицій: Проникнення в захищену мережу коштує дорого (час, експлойти). Зловмисник не хоче, щоб «дилетант» з простим вірусом привернув увагу адміністраторів до цього сервера.
  • Прихованість: Два різні бекдори в одній мережі створюють удвічі більше аномального трафіку. Видаливши конкурента, основний атакуючий стає тихішим.
  • Монополія на дані: Якщо метою є шпигунство, зловмисник хоче бути єдиним, хто читає пошту або документи організації.

Як це виглядає на практиці?

  • Скрипти чистки: Шкідливе ПЗ сканує реєстр та папки на наявність сигнатур інших поширених вірусів.
  • Брандмауер: Зловмисник додає правила в iptables або Windows Firewall, які дозволяють вхідні з’єднання лише з його IP-адрес.
  • Зміна паролів: Після захоплення облікового запису адміністратора, зловмисник змінює паролі іншим адмінам, щоб вони не могли зайти і зупинити атаку.