Ваши доверенные admin tools — часть attack surface

Риск не только в malware: PowerShell, WMIC, Certutil и другие доверенные tools могут стать незаметной частью атаки.

2026-05-18 GIGATAP Team #security
#attack-surface#living-off-the-land#windows-security

Риск — не только malware#

Полезный вопрос для безопасности звучит не так: «какой malware мы заблокировали?» Гораздо важнее спросить: «какие доверенные tools выполняют мощные действия внутри нашей среды?»

Материал The Hacker News со ссылкой на анализ Bitdefender формулирует простую мысль: значительная часть опасной активности в современных организациях не приходит в виде чужого binary. Она часто выглядит как администрирование. PowerShell, WMIC, netsh, Certutil, MSBuild и похожие utilities — легитимные tools. IT-команды используют их для реальной работы. Attackers используют их по той же причине.

Именно это пересечение важно. Command-line utility, подписанная доверенным vendor, может пройти многие первичные проверки. Script может запускаться под валидным account. Изменение сети может выглядеть как обычный troubleshooting. Certificate utility может использоваться для легитимной операции с файлом — или для staging, transfer либо abuse в цепочке, которая станет понятной только позже.

Источник рассматривает это через идею наблюдения за собственными tools в течение 45 дней. Точный dataset и findings в предоставленном материале не раскрыты, поэтому более безопасный вывод — не конкретная statistic. Главное здесь — operating model: достаточно долго наблюдать за tools, которым вы уже доверяете, чтобы понять, как на самом деле выглядит normal.

Почему от trusted tools сложно защищаться#

Традиционный подход к security часто делит активность на простые категории: good software и bad software; известный admin и неизвестный attacker; blocked executable и allowed executable. Living-off-the-land активность ломает эту модель.

PowerShell сам по себе не подозрителен. WMIC — тоже. Certutil имеет легитимные administrative uses. MSBuild — часть обычных development environments. Netsh может использоваться для network configuration и diagnostics. Полная блокировка таких tools может нарушить operations, особенно в Windows-heavy environments.

Более сложная задача — context.

Кто запустил tool? С какого host? Под каким account? Команда была interactive или scripted? Она обращалась к sensitive path? Выходила в internet? Использовалась в необычное время? Появилась после login из новой geography, после открытия document или перед поведением, похожим на credential access?

Именно поэтому понятие «attack surface» должно включать внутренние administrative capabilities, а не только internet-facing systems и CVE. Реальная exposure организации включает каждую доверенную utility, которая может execute code, move files, менять network state, query systems или помогать связывать активность между hosts.

Attackers не нужно, чтобы каждый tool был malicious. Им нужно, чтобы легитимные tools были доступны, плохо monitored и воспринимались как background noise.

Что могут показать 45 дней наблюдения#

Фиксированное окно наблюдения полезно потому, что переводит security из теории в практику. Вместо вопроса «может ли этот tool быть abused?» команды могут спросить: «как он реально используется?»

Период в 45 дней может показать patterns: повторяющиеся scripts, обычные admin hosts, maintenance windows, типичные command flags, ожидаемые service accounts и routine destinations. Он также может выявить неприятные факты: старую automation, за которую никто не отвечает, privileged accounts, запускающие широкие commands, workstations, использующие tools, которые обычно ожидаются только на servers, или binaries, появляющиеся там, где они не должны быть active.

Ценность здесь не только в detection. Это построение baseline.

Baseline помогает defenders отделять обычное администрирование от активности, которая заслуживает review. Он также поддерживает более точные controls. Если Certutil редко используется за пределами небольшого набора systems, alerts можно сделать более sharp. Если PowerShell распространен, но запускается только из известных management platforms, необычные parent processes становятся более meaningful. Если MSBuild появляется на machines, которые не являются developer systems или build servers, это может быть поводом для investigation.

Такой подход также практичнее, чем blanket restriction. Некоторые организации могут harden или ограничить конкретные tools. Другие — нет. Но почти каждая организация может улучшить visibility, ownership и alert quality вокруг high-power utilities.

Чего не стоит утверждать сверх фактов#

Предоставленный source material не доказывает, что эти tools всегда malicious, что задействован новый exploit или что идет конкретная campaign. Он также не дает достаточно detail, чтобы сравнивать наблюдения Bitdefender с telemetry другого vendor или выводить универсальную frequency of abuse.

Такая сдержанность важна. «Attackers используют admin tools» — это правда, но неполная. Defenders должны знать, какие tools присутствуют, как часто они запускаются, какой business process от них зависит и какое поведение будет abnormal именно в их собственной environment.

Поэтому лучший способ прочитать этот материал — operational, а не dramatic. Риск не в том, что PowerShell существует. Риск в том, что мощные trusted tools могут стать невидимыми, потому что все считают: им там место.

Практические проверки для security teams#

Начните с короткого inventory dual-use utilities в вашей environment. Включите PowerShell, WMIC, WMI providers, Certutil, MSBuild, netsh, rundll32, regsvr32, bitsadmin, PsExec и другие tools, которые могут выполнять code, переносить files, менять configuration или помогать lateral movement.

Затем проверьте несколько вопросов:

  • где эти tools реально запускаются;
  • какие accounts их используют;
  • какие parent processes для них обычны;
  • какие command-line arguments встречаются чаще всего;
  • есть ли запуск с user workstations, где это не ожидается;
  • есть ли network connections, downloads или обращения к unusual destinations;
  • совпадает ли активность с change windows и documented automation;
  • есть ли owner у scripts и scheduled tasks, которые вызывают эти utilities.

После этого имеет смысл настроить detections не только на сам факт запуска, а на context. Например, PowerShell из management platform может быть нормой, а PowerShell от Office document, browser cache или временной директории — поводом для срочной проверки. Certutil на certificate management host может быть ожидаемым, а Certutil с download-like behavior на обычной workstation — нет.

Наконец, полезно разделить controls на несколько уровней. Где возможно — ограничить execution через allowlisting, policy и role-based access. Где блокировка невозможна — усилить logging, command-line visibility, script block logging, EDR telemetry и review privileged usage. Где tool действительно нужен — назначить owner и documented use cases.

Главная цель не в том, чтобы объявить все admin tools опасными. Цель — перестать считать их автоматически безопасными. Доверенный tool остается частью attack surface, если он дает powerful capability и при этом плохо виден defenders.