Вредоносное ПО использует легитимный механизм обновления (например, Windows Update, обновления браузеров, ПО для удаленного управления) для доставки и выполнения вредоносного кода, обходя сигнатурные детекторы и контроль целостности.
Причины
- Отсутствие валидации цифровой подписи обновления на стороне клиента (подмена сертификата или цепочки).
- Компрометация инфраструктуры обновления (взлом CDN, репозитория, сервера).
- Манипуляция DNS/PROXY для перенаправления трафика обновлений на вредоносный сервер (Man-in-the-Middle).
- Использование уязвимостей в самом механизме (например, отсутствие проверки целостности пакета до установки).
- Использование легитимных инструментов (BITSAdmin, Winget, Chocolatey) для загрузки вторичной нагрузки.
Решение
1. Изолировать зараженную систему – отключение от сети, снятие образа ОЗУ и диска (FTK Imager, dumpit).
2. Анализ журналов обновлений – проверить логи Windows Update (`%SystemRoot%\WindowsUpdate.log`, PowerShell `Get-WindowsUpdateLog`), событий (EventID 41, 43, 44 по обновлениям), журналы прокси-сервера для выявления аномальных URL/хэшей.
3. Проверка сертификатов – список доверенных корневых центров (certlm.msc), отозванные или самоподписанные сертификаты, подписанты последних обновлений (`Get-AuthenticodeSignature`).
4. Блокировка вредоносного источника – внесение IP/домена в файрвол (Windows Defender Firewall с правилами исходящего трафика) и системный hosts-файл.
5. Восстановление чистой копии механизма обновления – переустановка Windows Update Agent (`wuauclt /updatenow` неэффективно при компрометации; лучше сброс через `DISM /Online /Cleanup-Image /RestoreHealth` с чистого образа).
6. Анализ реестра на предмет перехвата каналов обновлений – проверить `HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate`, `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate`, а также ключи, указывающие на альтернативные WSUS/Intune серверы.
7. Проверка целостности системных файлов – `sfc /scannow` + `DISM /Online /Cleanup-Image /ScanHealth` (на изолированной системе).
8. Мониторинг процессов и сетевой активности – запуск Sysmon с правилами на события создания процесса (EventID 1) с командной строкой, содержащей “update”, “BITSAdmin”, “msiexec” с подозрительными аргументами, а также DNS-запросы к легитимным обновляемым доменам (например, `update.microsoft.com`) с нехарактерными User-Agent.
9. Профилактика – внедрение обязательной проверки цифровой подписи обновлений в групповых политиках (BitLocker, AppLocker, Windows Defender Application Control).
10. Уведомление CERT/GC – при компрометации инфраструктуры обновления (например, MSRC или ФСТЭК/НКЦКИ).
Пример команды (проверка подписи последнего установленного обновления):
powershell
Get-WUHistory | Select-Object -First 10 | ForEach-Object { Get-AuthenticodeSignature -FilePath "$env:windir\SoftwareDistribution\Download\$($_.UpdateId).cab" }