Тень в сети: как выявить Shadow IT и несанкционированные инструменты удаленного доступа

Что такое Shadow IT и как это используется в атаках?

В 2026 году концепция «безопасного периметра» окончательно стала достоянием истории. Современная корпоративная инфраструктура — это живой, постоянно развивающийся организм, где грань между санкционированным ПО и «теневыми» инструментами стирается до предела.

Теневые ИТ (Shadow IT) — это любые ИТ-активы, программное обеспечение или службы, используемые внутри организации без ведома и контроля ИТ-департамента. Традиционно под этим понимаются неучтенные серверы, забытая инфраструктура или личные облачные диски сотрудников. Однако в реалиях 2026 года главной угрозой стало использование легитимных инструментов двойного назначения в обход корпоративных политик безопасности. Когда системный администратор публикует RDP во внешнюю сеть «для удобства настройки», а рядовой сотрудник устанавливает AnyDesk или TeamViewer, чтобы работать из дома без VPN (или если таких правил в компании вообще нет), они создают неконтролируемую теневую инфраструктуру.

Сегодня Shadow IT — это не просто забытый кем-то облачный диск; это критическая брешь в защите, через которую в сеть проникают наиболее опасные APT-группировки. Злоумышленники активно ищут такие неучтенные ИТ-активы, например, забытые базы данных с публичным доступом, чтобы получить первоначальный доступ к сети.

Мы наблюдаем глубокий кризис прозрачности. По нашим данным, в каждой второй крупной компании ИТ-департамент не видит значительной части используемых активов, включая старые тестовые серверы и «забытые» шлюзы. Часто атака начинается не с вируса, а с «входа через парадную дверь» — использования легитимных учетных данных сотрудников, купленных на теневых форумах или полученных через фишинг.

Злоумышленники практически отказались от уникального вредоносного ПО в пользу тактик Living-off-the-Land (LotL). Они «растворяются» в легитимном трафике доверенных утилит. Для системы защиты такой трафик выглядит как обычная работа администратора, хотя за ним может стоять хактивист из группы Twelve или профессионал из C0met (бывшие Shadow).

Риск носит двойственный характер:

1. Внешний вектор: профессиональные группировки используют неучтенные серверы и легитимные инструменты двойного назначения для закрепления в системе и горизонтального перемещения (Lateral Movement).
2. Внутренний вектор: сотрудники «для удобства» устанавливают несанкционированные RAT (Remote Access Tools), фактически открывая «черный ход» в инфраструктуру.

Анатомия скрытых угроз: Инструменты LotL и методы маскировки

В 2026 году применение доверенных системных утилит превратилось в стандарт для атакующих. Сегодня эти программы фактически являются инструментами двойного назначения, что критически важно учитывать при построении модели угроз.

Коммерческие RAT и штатные протоколы

• AnyDesk и TeamViewer. Их трафик остается незамеченным главным образом потому, что это легитимные, не вызывающие подозрений инструменты. Для классических средств защиты отличить нелегитимный вход злоумышленника от санкционированного подключения сотрудника становится крайне сложно.
• MeshAgent. Активно используется группировкой Bearlyfy (также известной как Labubu) для обеспечения удаленного доступа и последующей доставки вируса-вымогателя GenieLocker.
• RDP, SSH и WinRM. Штатные средства ОС, которые эксплуатируются для прямого доступа к серверам. Один из признаков компрометации — попытки очистить журналы событий WinRM для сокрытия следов.
• WMIExec и Ngrok. Связка, которую часто применяет группа C0met для создания сетевых туннелей на порту 3389 и обеспечения скрытого RDP-доступа из публичного интернета.
• PsExec. Популярная утилита, которую группы вроде C0met используют для массового развертывания шифровальщиков или повышения привилегий до уровня SYSTEM.

Эксплуатация Shadow IT и методы маскировки

При построении модели угроз важно четко различать два независимых вектора: эксплуатацию существующего теневого ИТ и применение тактики Bring Your Own Tool (как части концепции LotL) самими атакующими после первоначального проникновения.

В первом случае — если сотрудник самостоятельно установил AnyDesk или TeamViewer в обход корпоративных политик (классический пример Shadow IT) — злоумышленнику остается лишь перехватить управление. Например, подобрать пароль или использовать утекшие учетные данные.

Во втором случае злоумышленник уже проник на устройство и стремится закрепиться, используя легитимные инструменты. С целью замаскировать свое присутствие в таком сценарии, атакующие избегают стандартной установки программ. Вместо этого они применяют портативные (portable) версии утилит, которые копируют во временные директории пользователя (например, %TEMP% или C:\ProgramData). Это делается целенаправленно: запись и запуск файлов из этих папок не требуют прав администратора, что позволяет злоумышленникам обойти механизмы UAC и скрыть свою активность от сотрудников ИБ. Дополнительно сетевая активность таких утилит часто маскируется под легитимные системные процессы (например, svchost.exe).

Почему точечные решения больше не эффективны

Традиционный «лоскутный» подход к ИБ в 2026 году ведет лишь к росту нагрузки на аналитиков без реального повышения уровня защищенности.

• Ограничения NTA: хотя NTA позволяет успешно выявлять сам трафик инструментов удаленного управления, проблема заключается в том, что в зашифрованном потоке система не может увидеть, что происходит внутри сессии и какие конкретно действия производит администратор или злоумышленник.
• Ограничения EDR: система обеспечивает мониторинг активности на устройствах и фиксирует запуск процессов,
  а также часть сетевых соединений (например, обращения к доменам). Но при этом EDR не позволяет определить, какие именно данные передаются по сети. В случае с инструментами двойного назначения канал связи не является «скрытым» в традиционном понимании — он абсолютно открыт. Из-за этого классифицировать легитимный на первый взгляд процесс как угрозу без дополнительного контекста крайне сложно.
• Критический рост MTTR и эффект «белого шума»: отсутствие автоматической корреляции между сетью и устройством заставляет аналитиков вручную сопоставлять тысячи разрозненных оповещений (алертов). Аналитики перегружены рутинными задачами, что критически замедляет реакцию на инцидент. Для злоумышленников это формирует идеальное «окно возможностей» (dwell time) для горизонтального перемещения и эксфильтрации данных. В результате компания вынуждена постоянно увеличивать штат аналитиков SOC, однако применение разрозненных средств защиты не приносит реального результата.

Синергия F6 MXDR: трехуровневый заслон

Платформа F6 MXDR объединяет телеметрию из разных источников, создавая глубоко эшелонированную оборону.

Модуль защиты электронной почты (BEP, Business Email Protection)

В дополнение к базовым антиспам-решениям F6 BEP многократно усиливает защиту от целевых атак, вирусов-шифровальщиков и фишинга, блокируя инструменты удаленного доступа еще на этапе их доставки.

В процессе детектирования BEP использует песочницу для поведенческой проверки файлов, сложную эвристику, профилирование корпоративной почты и мимикрию под реальную ИТ-инфраструктуру. Система проводит полный контекстный анализ не только отдельного письма, но и всей цепочки переписки, а также глубокое исследование содержимого по ссылкам.

Для защиты от скрытых и отложенных атак реализован расширенный функционал:

• Time-of-Click: проверка ссылок непосредственно в момент перехода пользователя по ним.
• Time-of-Context: автоматическое вскрытие защищенных паролем архивов, при этом пользователи могут самостоятельно вводить пароль для проверки файла перед скачиванием.

Решение автоматически делает скриншоты заблокированных писем и подозрительных веб-страниц, предоставляя аналитикам удобный интерфейс для расследования инцидентов. Высокое качество детектирования достигается за счет технологий компьютерного зрения (анализ скриншотов веб-ресурсов, извлечение текста из изображений, взаимодействие
с интерфейсами в песочнице) и ML-моделей для скоринга файлов, а также анализа текста, темы письма и ссылок.

Модуль анализа сетевого трафика (NTA, Network Traffic Analysis)

Система анализирует трафик в реальном времени, выявляя скрытые туннели и аномалии в зашифрованных соединениях. NTA обеспечивает видимость всей инфраструктуры, обнаруживая активность даже на тех устройствах, о которых компания «забыла» — ведь именно такие неучтенные активы сами по себе и являются частью Shadow IT.

Модуль защиты конечных устройств (EDR, Endpoint Detection and Response)

Агент Linux EDR 3.0 обеспечивает стабильную работу на российских ОС (Astra Linux, РЕД ОС, РОСА). Важным обновлением стала защита агента от несанкционированного удаления: в Windows-версии теперь невозможно деинсталлировать EDR без пароля, который генерируется администратором в консоли управления. Система мгновенно связывает сетевой поток (NTA) с конкретным PID процесса (EDR), восстанавливая всю цепочку атаки.

Кейс: детектирование APT-группировки и сокращение MTTR до 10 минут

На одном из промышленных предприятий платформа F6 MXDR выявила скрытое присутствие группы C0met.

1. Детектирование: NTA зафиксировал попытку туннелирования трафика.
2. Корреляция: система автоматически связала поток с процессом на рабочей станции, который использовал утилиту WMIExec для удаленного выполнения команд.
3. Результат: показатель MTTR составил всего 10 минут. За это время устройство было изолировано с помощью EDR без потери управления агентом, что предотвратило эксфильтрацию данных.

Заключение: как вывести инфраструктуру из тени

В 2026 году пора признать: Shadow IT — это не просто проблема дисциплины, а осознанный риск, который конвертируется в прямые убытки от простоев инфраструктуры. Вы не можете защитить то, чего не видите. Реализация стратегии «360-градусной защиты инфраструктуры» требует перехода от лоскутных решений к единой платформе MXDR.

Всего за сутки F6 MXDR может показать вам реальную картину вашей сети и навсегда вывести скрытые угрозы из тени.