Атаки на Windows-серверы через веб-оболочки: привилегии, туннелирование и захват RDP

Специалисты AhnLab Security Intelligence Center провели детальный разбор подобных атак за первый квартал 2026 года, основываясь на данных системы AhnLab Smart Defense (ASD). Фокус исследования был направлен на два наиболее распространённых веб-сервера в среде Windows: Internet Information Services (IIS) от Microsoft и Apache Tomcat. Статистика недвусмысленно указывает, что исполнение команд через веб-оболочку остаётся основным вектором первоначальной компрометации. После получения доступа на атакованных системах регулярно выявляются последующие вредоносные активности: повышение привилегий, развёртывание прокси-инструментов, бэкдоров и скрытых майнеров криптовалют.

Особое внимание исследователей привлекла длительная кампания, связанная с угрозой, получившей обозначение Larva-26001. Эта группа атакует веб-серверы IIS, по меньшей мере, несколько лет. Их отчёт показывает, что после проникновения злоумышленники систематически устанавливают инструменты для проброса портов и вредоносное ПО для эскалации привилегий. В ходе атаки для повышения прав используются как известные эксплойты JuicyPotato и BadPotato, так и инструмент, эксплуатирующий уязвимость CVE-2019-1458 в Windows. Эта уязвимость, связанная с неправильной обработкой объектов в памяти драйвером win32k, позволяет получить более высокие системные привилегии.

Следующий этап атаки демонстрирует чёткую логику злоумышленников, нацеленную на захват полного управления сервером. После получения необходимых прав в системе развёртываются инструменты для туннелирования трафика, такие как HTran (также известный как LCX) и PortTranC. Их основная задача - организация проброса портов, причём главной мишенью неизменно является порт 3389, используемый службой RDP. Эксперты полагают, что эта мера позволяет атакующим опосредованно, через скомпрометированный веб-сервер, получить прямой доступ к интерфейсу удалённого администрирования. Фактически, веб-сервер превращается в скрытый шлюз, через который злоумышленники могут устанавливать RDP-сессии, обходя сетевые экраны и системы обнаружения вторжений, ориентированные на блокировку прямого доступа к порту 3389 из внешних сетей.

Итоги анализа позволяют сделать несколько ключевых выводов о состоянии угроз. Атаки на Windows-серверы чаще всего инициируются через уязвимости загрузки файлов, уязвимости в веб-фреймворках и серверах приложений (WAS) или уязвимости удалённого выполнения кода в неисправленных службах. Веб-оболочки служат универсальным и эффективным средством для консолидации первоначального доступа. Однако настоящая опасность раскрывается в следующей связке: комбинация инструментов для повышения привилегий и прокси-туннелирования методично ведёт к захвату контроля не только над одной машиной, но и над сегментами внутренней сети, открывая путь для перемещения латерально и кража конфиденциальных данных.

Рекомендации исследователей носят классический, но от этого не менее актуальный характер. Основой защиты остаётся своевременное устранение известных уязвимостей путём установки обновлений безопасности как для операционной системы, так и для всего программного стека, включая веб-серверы и фреймворки. Не менее важно ужесточение правил контроля доступа на сетевых экранах, особенно за счёт сегментации сети и ограничения исходящих соединений с веб-серверов, что может осложнить работу инструментов туннелирования. Регулярное обновление сигнатур антивирусных решений и использование поведенческих систем обнаружения аномалий помогут выявить подозрительную активность, такую как попытки повышения привилегий или запуск нехарактерных сетевых служб. В конечном счёте, инцидент демонстрирует, что безопасность веб-сервера нельзя рассматривать изолированно - это критический элемент общей обороны сети, чья компрометация ведёт к стратегическим последствиям.

MD5

• 0f0a43507e9fb6adb3c4dac92072cec2
• 141f13b3aae7a0e2410bb3a59101df75
• 297e9a406f4a7b361882320d9801cfa0
• 33034332feae99284adb3e20e8fa534f
• 5b3ed99a5ef7ee49436e38a6fc7bf50d