Атака на сервер 1С: злоумышленники использовали легитимные инструменты для захвата инфраструктуры

Всё началось с банальной, но тревожной находки: системные администраторы компании заметили в инфраструктуре учётные записи, которых там быть не должно. Они немедленно обратились за помощью к экспертам DFIR JetCSIRT. Те собрали триажи с ключевых узлов и приступили к анализу. Обнаруженные события не оставляли сомнений - имела место человекоуправляемая атака. Были зафиксированы запуск разведывательных команд, загрузка вредоносного ПО и создание новых учётных записей.

Первым делом специалисты приняли экстренные меры: временно ограничили сетевой доступ к инфраструктуре, провели аудит учётных записей и сбросили пароли. Особое внимание уделили учётной записи krbtgt, отвечающей за шифрование билетов Kerberos, - её пароль сбросили дважды, с десятичасовым интервалом для репликации. Эти действия позволили локализовать угрозу и не дать атакующим закрепиться в домене.

В ходе расследования традиционно рассматривались несколько гипотез о точке входа: подбор паролей по RDP, фишинг, утечки учётных данных, эксплуатация уязвимостей внешних сервисов. Однако данные с сервера 1С сразу указали на него как на наиболее вероятную отправную точку. Помимо подозрительных учётных записей (одна из них называлась amdin - намеренная опечатка, чтобы скрыть принадлежность), эксперты обнаружили следы вредоносных процессов, запущенных от rphost.exe - основного процесса сервера "1С:Предприятие 8.3". Если от легитимного прикладного процесса вдруг порождаются cmd.exe или PowerShell, это почти всегда признак атаки на сервис. В данном инциденте злоумышленники использовали технику LOTL (применение легитимных средств самой системы для сокрытия своих действий). Событие запуска cmd.exe от rphost.exe подтвердило подозрения: через командную строку выполнялась загрузка исполняемого файла с удалённого адреса.

Как именно злоумышленники получили доступ к командной оболочке сервера 1С? Скорее всего, они скомпрометировали учётную запись, у которой были права на запуск внешних обработок. Это позволило выполнить код от имени процесса 1С. Дальше начался этап повышения привилегий. Для этого использовалась связка инструментов: SeImpersonate-Auditor и GodPotato. Суть метода в том, что создаётся именованный канал, к которому принудительно подключается системный процесс RPCSS (служба удалённого вызова процедур). С помощью привилегии SeImpersonatePrivilege эксплойт извлекает токен SYSTEM, и атакующий получает права выполнять код от имени операционной системы. JetCSIRT в своём отчёте подробно описывает эту цепочку.

Для беспрепятственного развития атаки необходимо было отключить средства защиты информации (СЗИ). Злоумышленники применили технику BYOVD - "принеси свой уязвимый драйвер". Они загрузили на атакуемую систему легитимный, подписанный драйвер PoisonX.sys, который содержал известную уязвимость. Операционная система доверяет цифровой подписи, загружает драйвер в ядро, а затем через интерфейс ввода-вывода (IOCTL) атакующие получают возможность выполнять произвольный код с наивысшими привилегиями. В журналах зафиксировано событие установки драйвера как службы с типом "режим ядра" и именем PoisonX. После этого злоумышленники использовали PowerShell для поиска и завершения процессов антивируса "Лаборатории Касперского", которые были защищены от обычного принудительного завершения.

Для закрепления в инфраструктуре атакующие предпочли легитимное решение удалённого доступа AnyDesk. Они развернули его с помощью PowerShell-скрипта, установили пароль Kremlin12311! и даже сгенерировали подставные имена системных учётных записей, чтобы скрыть следы. Интересно, что этот же пароль ранее фигурировал в инциденте конца 2025 года, когда анонимная группировка заявляла о взломе разработчика реестра электронных повесток.

Далее атака развивалась стандартно: перемещение по сети через RDP и SMB, установка AnyDesk на новые узлы, выполнение разведывательных команд вроде whoami, quser, ping, curl ifconfig.me, net share, tasklist | findstr avp. В некоторых командах встречались опечатки и использование неверной раскладки клавиатуры - например, попытка запустить whoami фиксировалась как "црщфьш". Это указывает на то, что атакующие, скорее всего, русскоговорящие и из стран бывшего СНГ.

Для удалённого выполнения команд также применялись утилиты PAExec и PSExec, а для сбора информации о домене - инструмент AdRecon. Злоумышленники создавали новые доменные учётные записи и добавляли их в привилегированные группы вроде Domain Admins и KLAdmins. Эксперты обнаружили следы использования impacket (набора скриптов для работы с протоколами Windows) и proxychains (прокси-цепочки для сокрытия трафика). Кроме того, для доступа к данным в оперативной памяти применялся легитимный DFIR-инструмент MagnetRamCapturer - он позволяет создавать полный дамп памяти, из которого можно извлечь аутентификационные данные.

Заключительная фаза атаки так и не наступила: злоумышленники получили доступ к привилегированным учётным записям и закрепились несколькими способами, но грамотные и оперативные меры реагирования не позволили им приступить к шифрованию и разрушению инфраструктуры. Хотя в данном случае всё завершилось удачно, инцидент ярко демонстрирует, насколько важно контролировать безопасность сервера 1С, который часто остаётся "белым пятном" в корпоративной защите.

Среди ключевых рекомендаций - отзыв прав на запуск внешних обработок, использование доменной авторизации со сложными паролями, внедрение двухфакторной аутентификации (доступно в 1С с версии 8.3.15), ограничение доступа к файлу 1CV8Clst.lst, где хранятся логины и хэши паролей, а также изоляция серверных процессов ragent, rmngr и rphost под разными учётными записями. Базовые принципы - минимизация количества опубликованных сервисов, своевременное обновление и централизованный сбор событий информационной безопасности - остаются основой защиты. Этот случай ещё раз подтверждает: злоумышленники активно используют легитимные инструменты, и только комплексный мониторинг с ранним обнаружением аномалий способен остановить атаку до того, как она перейдёт в критическую фазу.

IPv4

• 101.99.75.253
• 176.37.239.4

MD5

• 2cc835399634d1f8f50e465201bfd877
• b6b51508ad6f462c45fe102c85d246c8

SHA256

• 5af1dae21425dda8311a2044209c308525135e1733eeff5dd20649946c6e054c
• a5035cbd6c31616288aa66d98e5a25441ee38651fb5f330676319f921bb816a4