UDV Group: троянские программы — скрытая угроза, которая проникает незаметно

Троянские программы уже не те «старые знакомые» из старых плейбуков по кибербезопасности. Сегодня это гибкие, модульные и часто автономные инструменты, которые умеют маскироваться под легитимный трафик, встраиваться в цепочки поставок и незаметно жить в инфраструктуре месяцами. Cyber Media разбирает, почему современные трояны стали опаснее, чем когда-либо, и как они трансформировали цифровую преступность.

Что такое современные трояны и почему они не похожи на классические

Раньше троян ассоциировался с чем-то простым — файлом, который тихо подбрасывал в систему вредоносный модуль. Сегодня же это полноценная многоуровневая платформа. По сути, «классический троян» умер, а вместо него появились гибридные инструменты, которые одновременно и дропперы, и бэкдоры, и мини-центры управления.

Олег Скулкин. Руководитель BI.ZONE Threat Intelligence
В 2025 году мы не фиксируем принципиально новых методов маскировки, а наблюдаем лишь развитие уже известных подходов. Злоумышленники по-прежнему маскируют вредоносные файлы под различные документы, используют соответствующие иконки и такие приемы, как двойные расширения, например, .pdf.exe. Все также применяются техники DLL hijacking (замена легитимного DLL-файла на вредоносную библиотеку), включая DLL side-loading (распространение вредоносной библиотеки DLL вместе с легитимным приложением, которое ее выполняет). Продолжается эксплуатация 0-day-уязвимостей в популярных инструментах — например, в кампании группировки Paper Werewolf использовалась уязвимость CVE-2025-8088.

Современные трояны не стремятся быстро заразить и разрушить — наоборот, им крайне важно остаться незамеченными. Это уже не одиночный файл, а экосистема модулей, которая подтягивает нужный функционал по мере развития атаки. В начале — минимальный набор для выживания и первичного доступа, потом — тихие обновления, добавление инструментов для разведки, фиксации в системе, скрытого взаимодействия с командным сервером.

При этом все это упаковано так, чтобы не «шуметь»: подмена процессов, работа через легитимные API, маскировка трафика под облачные сервисы — стандартная практика. А еще многие трояны стали «леденяще терпеливыми»: они могут неделями ничего не делать, пока не появится нужный триггер или команда снаружи.

Олег Скулкин. Руководитель BI.ZONE Threat Intelligence
Злоумышленники активно применяют polyglot-файлы, которые по-разному интерпретируются различными программами. Такой тип файлов использовал кластер Rainbow Hyena. Кроме того, не теряет актуальности применение стеганографии. Один из свежих примеров — фишинговая кампания Lone Wolf, где вредоносная нагрузка незаметно размещалась внутри изображения, а ярлык запускал цепочку действий, извлекающую и активирующую спрятанный загрузчик. Такой подход позволяет злоумышленникам передавать вредоносные компоненты в виде визуально безвредных файлов и обходить первичные механизмы анализа.

Именно поэтому сегодня троян — это не просто вредонос, а тихий оператор на стороне злоумышленника. А значит, и обнаруживать его приходится не по очевидным артефактам, а по микропаттернам поведения, которые сложно заметить без зрелого мониторинга.

Главные векторы проникновения: от фишинга до атак на ИТ-подрядчиков

Трояны не «взламывают дверь», они спокойно заходят через те же входы, которыми пользуются сотрудники. И если раньше основным способом заражения был массовый фишинг, то теперь злоумышленники действуют точнее, аккуратнее и куда изобретательнее.

Социальная инженерия и таргетированный фишинг все еще остаются королями проникновения. Только подход изменился: вместо сомнительных писем «от банка» приходят идеально вылизанные сообщения от имени внутреннего сервис-деска, подрядчика или реального сотрудника. Троян маскируется под документ, обновление или полезную утилиту — и попадает на рабочую станцию буквально в один клик. Чем более персональным выглядит письмо, тем выше шанс, что цель ничего не заподозрит.

Не менее популярный путь — компрометация сайтов и «drive-by» загрузки. Здесь жертве даже не нужно ничего скачивать: достаточно зайти на зараженный ресурс, чтобы браузер получил вредоносный скрипт или загрузчик. Внешне все выглядит как нормальный рабочий процесс, а в фоне уже разворачивается первый модуль трояна.

Семен Рогачев. Руководитель отдела реагирования на инциденты Бастион
Признак использования Living-off-the-Land тактик — запуск инструментов, являющихся частью ОС, так называемых LOLBAS или GTFOBins, для реализации действий атакующими. Чаще всего они используются для выполнения кода и скачивания полезной нагрузки.
Основные признаки использования подобных тактик — аномальные аргументы командной строки, передаваемые компонентам операционной системы. Например, в случае, если атакующий использует PowerShell, высока вероятность, что вредоносный сценарий будет содержать в себе Base64-кодирование или команды -ExecutionPolicy Bypass, -EncodedCommand, IEX и их аналоги. При использовании Living-off-the-Land тактик может использоваться несколько LOLBAS, поэтому аномальные цепочки процессов, например, Word, запускающий mshta, который, в свою очередь, порождает процесс PowerShell, также могут являться признаком использования Living-off-the-Land тактик.

Самый неприятный вектор — supply chain-атаки. ИБ-специалисты их особенно не любят, потому что здесь практически нечего «предъявить» сотруднику: он устанавливает обновление от легитимного поставщика, а вместе с ним — аккуратно встроенный троянский компонент. Поставщика могут взломать, подменить пакеты или внедрить вредоносный код в цепочку сборки. Компания получает вредонос «с доверенным сертификатом», а обнаружить подмену можно только через детальный анализ поведения и контроль целостности.

В итоге современные трояны редко «проламывают защиту лбом». Им гораздо удобнее маскироваться под работу, рутину или привычные действия. И именно это делает их попадание в инфраструктуру таким опасным — заражение выглядит как обычный рабочий день.

Как трояны маскируются: обход EDR, живучесть, персистентность

Современные трояны это минимум шума, максимум контроля над собственной «невидимостью». Их цель — не прорваться, а раствориться в инфраструктуре так, чтобы их было невозможно отличить от нормальной системной активности.

Один из ключевых приемов — маскировка сетевой коммуникации. Вредоносные модули прячут трафик за популярными облачными сервисами, используют системные API и даже вписывают свои пакеты в легитимный бизнес-трафик. Некоторые идут дальше и используют стеганографию: команды передаются внутри изображений, аудио или других медиафайлов, которые выглядят абсолютно безобидно.

Чтобы оставаться как можно менее заметными, трояны работают по принципу «low and slow»: никаких всплесков активности, только постепенные, тщательно дозированные операции. Плюс к этому многие семейства обзавелись автономным режимом — им не требуется постоянная связь с C2-сервером, что значительно уменьшает сетевой шум.

Кирилл Левкин. Проджект менеджер MD Audit (ГК Softline)
Основные механизмы контроля — это в первую очередь строгая проверка целостности артефактов (SBOM, контроль хэшей, сравнение версий), мониторинг изменений в репозиториях и автоматизированный анализ зависимости на предмет появления новых подозрительных библиотек. Важную роль играет контроль сборочных сред: воспроизводимые сборки, разделение сред разработки и продакшена, мониторинг действий сервисных аккаунтов. Аномалии в последовательности CI/CD-процессов, появление новых pipeline-шагов или неожиданные скрипты в образах контейнеров — типичный сигнал о компрометации. В крупных компаниях работает модель Zero Trust для всех элементов цепочки DevOps.

При этом авторы уделяют особое внимание защите от анализа. Вот лишь часть техник, которые встречаются сегодня:

• Антипесочница. Троян запускается только при определенных условиях среды, проверяет тайминги, загрузку системы, наличие виртуализации.
• Антиотладка. Отслеживание breakpoint’ов, проверка дебаггеров, переключение в иной код-путь при попытке анализа.
• Антифорензика. Удаление временных файлов, подмена артефактов, шифрование или перезапись собственных модулей.

Такая комбинация делает современные трояны не просто скрытными, а живучими. Они умеют существовать в инфраструктуре месяцами, подстраиваясь под рабочие процессы и маскируясь под легитимные службы. И именно поэтому их поиск все чаще становится охотой на поведенческие аномалии, а не на традиционные сигнатуры.

Почему инцидент с трояном часто замечают слишком поздно

Главная проблема современных троянов — не в том, что они мощные, а в том, что они встроены в логическую последовательность атаки и отлично умеют подстраиваться под нормальную работу инфраструктуры. Поэтому момент заражения редко выглядит как событие, на которое хочется немедленно реагировать.

Во многих случаях троян используется как инструмент подготовки, а не финального удара. Он собирает служебную информацию, проверяет конфигурации, анализирует доступность критичных узлов — все это выглядит как обычная активность рабочей станции или сервера. Отдельно ни одно действие не вызывает подозрений, но в совокупности оно позволяет злоумышленнику понять, куда двигаться дальше.

Алексей Варлаханов. Руководитель отдела прикладных систем Angara Security
Чаще всего остаются незамеченными при стандартном мониторинге следующие встроенные модули современных троянов:

• Кейлоггеры, криптоджекинговые модули (скрытая майнинг-деятельность), а также браузерные и криптостилеры, которые работают внутри легитимных процессов.
• Модули обхода двухфакторной аутентификации и сбора учетных данных, интегрированные как часть системных служб.
• Отложено загружающиеся дропперы и RAT-модули, которые проявляют себя только при специфических условиях и часто скрываются от стандартных средств мониторинга.

Далее начинается движение по инфраструктуре — но не агрессивное, а основанное на наблюдении и возможностях среды. Троян может использовать доступы, которые уже есть у пользователя, проверять соседние узлы осторожными, редко повторяющимися запросами, постепенно накапливать необходимые привилегии. Для системы мониторинга это напоминает поведение администратора, который «ходит» по сети, а не попытку прямого взлома.

Параллельно выполняется и еще одна важная задача — формирование базы разведданных для будущих действий. Это может быть:

• сбор токенов и ключей доступа;
• выгрузка конфигураций сервисов;
• изучение сервисных учеток;
• поиск систем, где проще всего закрепиться.

Проблема в том, что такой трафик и такие операции обычно разбросаны по времени. Они выглядят как фон, а не как инцидент. SOC видит сотни похожих действий каждый день, и вредонос прячется именно среди них.

Именно поэтому к моменту, когда заражение, наконец, замечают, троян уже выполнил свою основную роль: помог злоумышленнику собрать картину инфраструктуры и подготовить условия для следующего этапа атаки. А значит, точка раннего обнаружения была пройдена задолго до появления первого алерта.

Как защититься: практические рекомендации для ИБ-команды

Защита от современных троянов — это не про установку «еще одного агента». Противодействие должно быть системным и строиться на реальном поведении инфраструктуры.

Первый шаг — жесткий контроль привилегий и сегментация. Чем меньше прав у стартовой точки заражения, тем меньше у трояна возможностей для lateral movement. Ограниченные роли, временные токены, отдельные зоны для сервисных систем — технически сужают маршрут злоумышленника.

Вторая опора — полноценное логирование и корреляция событий. Важно видеть не отдельные логи, а цепочки: что происходило до и после, какие паттерны повторяются, где поведение пользователя отклоняется от нормы. Троян оставляет мелкие следы — задача мониторинга собрать их в картину.

Третий элемент — анализ поведения. Сигнатуры и IOC остаются вспомогательными. Реально работают поведенческая телеметрия, профилирование рабочих станций и выявление аномалий в активности сервисов. Троян может маскироваться под системный процесс, но редко умеет точно копировать естественные паттерны работы.

Михаил Пырьев. Менеджер продукта UDV NTA

Надежными индикаторами работы C2‑инфраструктуры троянов являются:

• Использование туннелирования DNS. Достаточно старый, но популярный способ эксплуатации уязвимости логики протокола. Опытным взглядом возможно заметить частые запросы к доменам с динамической генерацией имен (DGA), либо использование редких доменов верхнего уровня (TLD), но для выявления сложных паттернов потребуется аналитика с использованием механизмов машинного обучения.
• Периодические TLS‑сессии с малым объемом данных. Регулярные подключения к одному и тому же внешнему IP или домену с минимальной передачей данных, например, 100–300 байт, может быть характерным признаком beaconing‑поведения трояна.
• Скрытые каналы в HTTP/HTTPS трафике. Использование нестандартных HTTP‑заголовков, кодирования в URI или теле запроса, например, base64‑команды в параметрах GET/POST, могут свидетельствовать о скрытой передаче данных на C2-сервера.

Использование современных технологий анализа сетевого трафика поможет своевременно выявить и локализовать активность трояна в инфраструктуре, а также убедиться в отсутствии распространения угрозы.

И наконец, зона, которая долго казалась «чужой» для ИБ, но теперь стала критичной, — поставщики и подрядчики. Supply chain-атаки не редкость, поэтому в чек-лист защиты теперь входит аудит обновлений, контроль целостности, проверка источников пакетов, политика использования стороннего ПО. Иногда самый опасный троян попадает не через сотрудника, а через «официальное» обновление от давно знакомого вендора.

Если все это собрать воедино — ограничения движения, видимость событий, анализ поведения и контроль цепочки поставок — получается защита, которая не просто реагирует на троян, а лишает его среды, где он может тихо выживать.

Куда развивается ландшафт троянских программ

В ближайшие годы трояны будут становиться еще более автономными и «самодостаточными». Уже сейчас появляются вредоносные модули с элементами ИИ, которые могут самостоятельно выбирать цели внутри сети, подбирать оптимальные техники скрытности и адаптироваться к защитным мерам без постоянных команд от оператора.

Параллельно усиливается связка троянов с руткитами и ботнет-архитектурами. Это превращает зараженные машины не просто в точки доступа, а в устойчивые, глубоко спрятанные элементы инфраструктуры злоумышленника — почти мини-узлы управления в корпоративной сети.

Если смотреть вперед, то в 2026–2027 годах будут наблюдаться два тренда:

• появление гибридных троянов, которые могут переключаться между ролями (разведка, персистентность, управление, прокси) в зависимости от ситуации;
• усиление атак на цепочки поставок, где вредонос внедряется в процесс сборки или доставки обновлений и выглядит как часть обычного релиза.

Трояны становятся не инструментом атаки — а платформой. И именно в этом их главная угроза будущего.

Заключение

Современные трояны — это не про «страшные истории», а про зрелую дисциплину защиты. Они показывают, насколько уязвимы привычные процессы: обновления, доступы, взаимодействие с подрядчиками, фоновые сервисы. И именно поэтому фокус смещается с охоты за отдельными образцами вредоносного ПО на управление рисками в инфраструктуре: контроль окружения, прозрачность событий, проверенные поставщики и архитектура, которая не дает вредоносу свободы действий.

Трояны меняются, но и ИБ-команды сегодня куда лучше вооружены: есть инструменты, телеметрия и практики, которые позволяют ловить даже очень скрытные вещи. Главное — использовать их не ради «галочки», а как часть постоянной, живой работы по укреплению безопасности.

Источник: