惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Cisco Talos Blog
Cisco Talos Blog
V
V2EX
C
Check Point Blog
GbyAI
GbyAI
D
Docker
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
B
Blog RSS Feed
H
Hackread – Cybersecurity News, Data Breaches, AI and More
N
Netflix TechBlog - Medium
T
Troy Hunt's Blog
博客园 - Franky
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Microsoft Security Blog
Microsoft Security Blog
P
Privacy & Cybersecurity Law Blog
WordPress大学
WordPress大学
The Cloudflare Blog
S
SegmentFault 最新的问题
Latest news
Latest news
Microsoft Azure Blog
Microsoft Azure Blog
P
Proofpoint News Feed
I
InfoQ
博客园 - 【当耐特】
NISL@THU
NISL@THU
A
About on SuperTechFans
T
Tailwind CSS Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
The Hacker News
The Hacker News
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Scott Helme
Scott Helme
雷峰网
雷峰网
C
CXSECURITY Database RSS Feed - CXSecurity.com
Security Latest
Security Latest
V
Vulnerabilities – Threatpost
Security Archives - TechRepublic
Security Archives - TechRepublic
A
Arctic Wolf
Hacker News: Ask HN
Hacker News: Ask HN
N
News and Events Feed by Topic
IT之家
IT之家
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
aimingoo的专栏
aimingoo的专栏
T
Threat Research - Cisco Blogs
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
阮一峰的网络日志
阮一峰的网络日志
SecWiki News
SecWiki News
大猫的无限游戏
大猫的无限游戏
S
Security Affairs
The Register - Security
The Register - Security
www.infosecurity-magazine.com
www.infosecurity-magazine.com
L
LINUX DO - 热门话题
T
Tor Project blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки
sea-team (R- · 2026-04-22 · via Все публикации подряд на Хабре

Уровень сложностиСредний

Время на прочтение16 мин

Охват и читатели484

Аналитика

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности RVision.

В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

Изолированная инфраструктура часто воспринимается как синоним доверенной среды. Особенно это заметно в госсекторе и на объектах КИИ, где внутренние сервисы разворачиваются в закрытых сегментах и получают статус «безопасных по умолчанию». Однако именно такие компоненты нередко становятся наиболее интересными с точки зрения атакующей модели.

TrueConf Server — типичный пример подобного класса решений. Это on-premise платформа видеоконференцсвязи, работающая внутри LAN и широко используемая в сетях без прямого доступа в интернет. В таких условиях она становится частью доверенного контура, а механизмы взаимодействия с ней редко подвергаются дополнительной валидации.

31 марта 2026 года компания Check Point Research обнаружила уязвимость нулевого дня в клиентском приложении TrueConf (CVE-2026-3502, CVSS 7.8). Проблема связана с механизмом проверки обновлений и при определённых условиях позволяет атакующему, имеющему контроль над локальным сервером TrueConf, распространять и выполнять произвольные файлы на подключенных клиентах.

Ключевой момент заключается в том, что эксплуатация не требует выхода за пределы периметра. Достаточно компрометации сервера внутри сети. В таком случае механизм обновления фактически превращается в доверенный канал доставки кода.

Именно этот подход был использован в рамках операции TrueChaos, нацеленной на государственные организации стран Юго-Восточной Азии. Атакующие злоупотребляли механизмом обновлений для распространения вредоносного ПО, опираясь на отсутствие строгой проверки подлинности обновлений.

В результате внутренний доверенный сервис становится точкой масштабной компрометации инфраструктуры.

Поверхность атаки

По результатам поиска по запросу trueconf server в Shodan было обнаружено около 560 доступных хостов, из которых 263 находятся на территории России.

При этом следует учитывать, что фактические масштабы применения могут оказаться более значительными.. Часть серверов развёрнута в полностью изолированных сегментах и недоступна для внешнего сканирования.

В таких условиях компрометация одного сервера может приводить к распространению вредоносного кода на все подключённые клиентские устройства. Ниже рассмотрен типовой сценарий эксплуатации уязвимости, зафиксированный в рамках операции TrueChaos.

Сценарий эксплуатации

1. Атакующий получает доступ к серверу TrueConf.

2. На сервере размещается вредоносное обновление.

3. Пользователь запускает клиент TrueConf.

4. Клиент обнаруживает новую версию и предлагает обновление.

5. Вместе с легитимным исполняемым файлом загружается вредоносная DLL.

6. Происходит загрузка подменённой библиотеки (DLL hijacking) и выполнение вредоносного кода.

7. Атакующий закрепляется в системе и может выполнять дальнейшие действия (разведка, загрузка инструментов).

Как работает механизм обновления

При запуске клиент TrueConf проверяет доступность обновлений на подключённом сервере. Если версия клиента на сервере выше установленной, пользователю предлагается загрузить обновление по определенному адресу: https://{trueconf_server}/downloads/trueconf_client.exe

 Сами же файлы обновления хранятся локально в директории сервера TrueConf:

C:\Program Files\TrueConf Server\ClientInstFiles\

Таким образом, сервер выступает доверенным источником обновлений.

В документации к продукту, вендор указывает, что есть способ обновления клиента, без переустановки сервера. Ниже описывается процесс ручного обновления клиента.

Достаточно переименовать файл в ожидаемый формат, увеличить версию клиента и разместить файлы клиентов в директориях - C:\Program Files\TrueConf Server\ClientInstFiles, /opt/trueconf/server/srv/clients/.

При получении новой версии клиент не выполняет проверку целостности или подлинности файла, полностью доверяя обновлению, предоставленному сервером. Это и создаёт возможность для эксплуатации уязвимости и распространения вредоносного кода.

Практика: подмена клиента и доставка C2 агента

Проверим на практике: для этого в качестве полезной нагрузки воспользуемся в качестве демонстрации агент удалённого управления Mythic (C2) - Apollo. Важно отметить, что в реальной атаке на этом этапе может использоваться любой исполняемый файл — от загрузчика до полноценного фреймворка постэксплуатации. В кампании TrueChaos применялся Havoc C2.

  Демонстрация 1. Подмена файлов клиентов на сервере.

 
 Демонстрация 1. Подмена файлов клиентов на сервере.

При следующем запуске клиента, пользователю будет предложено обновить программу на актуальную:

При нажатии кнопки «Загрузить» пользователь перенаправляется на страницу скачивания новой версии приложения.

На этом этапе пользователь получает исполняемый файл обновления и запускает его вручную.

С точки зрения пользователя процесс выглядит полностью легитимно: 

  • отображается уведомление об обновлении;

  • выполняется загрузка файла;

  • пользователь запускает установщик, предполагая его подлинность и доверенное происхождение, несмотря на возможность подмены содержимого.

 Демонстрация 2. Скачивание пользователем новой версии клиента приложения TrueConf.


 Демонстрация 2. Скачивание пользователем новой версии клиента приложения TrueConf.

Однако в этот момент может выполняться произвольный код, который запускается параллельно с легитимным процессом установки. Это позволяет маскировать вредоносную активность под штатное обновление.

В ряде случаев Microsoft SmartScreen может предупреждать о том, что файл не имеет действительной цифровой подписи, и запрашивать подтверждение запуска.

После подтверждения запуска может появляться окно cmd.exe, за которым следует нетипичная последовательность процессов.

Анализ цепочки процессов

Процесс trueconf_windows_update.exe представляет собой загруженную полезную нагрузку. При этом метаданные исполняемого файла также могут быть изменены, что затрудняет его идентификацию. Дочерний процесc conhost.exe в данном случае используется агентом для выполнения команд, поступающих от сервера управления.

В процессе запуска клиента создается временный процесс который обычно выглядит так: trueconf_windows_client_x64_TC0IC9oIDEwLjE1MC41MC42OjQzMDcsMTkyLjE2OC41Ni4xOjQzMDcgL2xmICAvcyAzOTVi (1).exe. Он создает временный процесс с таким же названием, но с расширением tmp.

Цепочка процессов запуска клиента на стороне жертвы выглядит следующим образом:

explorer.exe (PID 10144)   
     ├── trueconf.exe (PID 18144)   
     │   └── trueconf_windows_update.exe (PID 20048)   
     │       └── conhost.exe (PID 21104)   
     │   
     └── trueconf_windows_client_x64_*.exe (PID 4264)   
         └── trueconf_windows_client_x64_*.tmp (PID 11292)

Процесс conhost.exe (PID 21104) в данном сценарии выступает как вспомогательный процесс консольного взаимодействия, используемый внедрённой полезной нагрузкой. В реальных условиях на этом этапе может выполняться любой другой процесс.

Вторая ветка процессов представляет собой временные объекты установщика клиента TrueConf и существует ограниченное время в рамках процедуры обновления, после чего удаляется или завершается.

Перейдя в консоль управления Mythic C2, можно наблюдать активные соединения от агента Apollo, развернутого на хосте жертвы вместо легитимного клиента TrueConf. В итоге хост уже скомпрометирован, а пользователь об этом даже не догадывается.

Анализ артефактов

После установки соединения в телеметрии хоста фиксируется цепочка сетевой активности.

В этом сценарии событие Sysmon EventID 22 фиксирует DNS-запросы, инициированные процессом trueconf_windows_update.exe.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 16:25:41
Event ID:      22
Task Category: Dns query (rule: DnsQuery)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Dns query:

RuleName:      -
UtcTime:       2026-04-10 13:23:19.519
ProcessGuid:   {1246d6be-fa53-69d8-3c10-090000008300}
ProcessId:     13060
QueryName:     zmxncbv019283.biz
QueryStatus:   0
QueryResults:  type: 1 ::ffff:103.149.82.47
Image:         C:\Users\username\AppData\Local\Temp\4\trueconf_windows_update.exe
User:          TEST\username

На данном этапе происходит разрешение домена, используемого для подключения к инфраструктуре управления. Нужно обращать внимание на подозрительные запросы к доменам, которые не принадлежат развернутым в инфраструктуре серверам TrueConf или не они не относятся к публичным сервисам TrueConf (например, trueconf.name или trueconf.ru). Это хороший признак компрометации, при условии, что атакующем нужны подключения к своим сервисам для дальнейшего развития атаки, а не просто выполнить код произвольный. 

Sysmon/Operational - EventID 3 (NetworkConnect)

Событие Sysmon EventID 3 фиксирует исходящее сетевое соединение, инициированное процессом trueconf_windows_update.exe:

Также на хосте будут присутствовать сетевые подключения к серверу TrueConf Server, откуда был скачан установочный файл.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 15:16:27
Event ID:      3
Task Category: Network connection detected (rule: NetworkConnect)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Network connection detected:

RuleName:      -
UtcTime:       2026-04-10 12:14:05.008
ProcessGuid:   {1246d6be-ea0d-69d8-840d-090000008300}
ProcessId:     6916
Image:         C:\Program Files\TrueConf\Client\TrueConf.exe
User:          TEST\username
Protocol:      tcp
Initiated:     true
SourceIsIpv6:  false
SourceIp:      10.150.50.20
SourceHostname:-
SourcePort:    49569
SourcePortName:-
DestinationIsIpv6: false
DestinationIp: 10.150.50.6
DestinationHostname:-
DestinationPort: 4307
DestinationPortName:-
```

Сетевое соединение само по себе не является аномалией для обновляющего компонента. Ключевым фактором является не сам факт подключения, а контекст его установления: использование внешнего IP-адреса, не относящегося к инфраструктуре TrueConf, либо адреса с подозрительной репутацией, а также то, что инициатором соединения выступает процесс обновления.

Sysmon/Operational - EventID 7 (ImageLoad)

Sysmon EventID 7 позволяет отслеживать загрузку исполняемых модулей и анализировать их происхождение, включая информацию о цифровой подписи.

В сценарии установки клиента TrueConf этот тип событий помогает различать легитимные и потенциально подменённые бинарные файлы.

Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/13/2026 9:21:19 AM    
     Event ID:      7    
     Task Category: Image loaded (rule: ImageLoad)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      trueconf.test.org    
     Description:    
     Image loaded:    
     RuleName: -    
     UtcTime: 2026-04-13 06:21:17.701    
     ProcessGuid: {e05f87bf-8b5c-69dc-d54f-010000001e00}    
     ProcessId: 3120    
     Image: C:\Users\username\Downloads\trueconf_client_x64.exe    
     ImageLoaded: C:\Users\username\Downloads\trueconf_client_x64.exe    
     FileVersion: 8.5.3.884               
     Description: TrueConf Setup                                                  
     Product: TrueConf                                                        
     Company: TrueConf                                                        
     OriginalFileName:                                                       
     Hashes: SHA1=88E6EEF506072E56B119E5C3448A0AF6D023C7DC,MD5=0C42A6328D3DD021ECFED3CDD96B47A8,SHA256=B744F8BFFAE7D5CA07ED5A981E86906630CBF826781A7AB5298BA84043C3FE9D,IMPHASH=E569E6F445D32BA23766AD67D1E3787F    
     Signed: true    
     Signature: trueconf llc    
     SignatureStatus: valid    
     User: TEST\username  

В нормальном сценарии загрузка установочного файла выглядит следующим образом:

  Image: C:\Users\username\Downloads\trueconf_client_x64.exe      
     Signed: true      
     Signature: TRUECONF LLC      
     SignatureStatus: Valid    

Модифицированный бинарный файл как раз таки такой подписи иметь не будет:

 Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/10/2026 4:16:11 PM    
     Event ID:      7    
     Task Category: Image loaded (rule: ImageLoad)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      laba01.test.org    
     Description:    
     Image loaded:    
     RuleName: -    
     UtcTime: 2026-04-10 13:16:11.532    
     ProcessGuid: {1246d6be-f81b-69d8-f30f-090000008300}    
     ProcessId: 11292    
     Image: C:\Users\username\Downloads\trueconf_windows_client_x64.exe    
     ImageLoaded: C:\Users\username\Downloads\trueconf_windows_client_x64.exe    
     FileVersion: 1.0.0.0    
     Description: Apollo    
     Product: Apollo                                                        
     Company: -                                                        
     OriginalFileName: Apollo.exe                                                      
     Hashes: SHA1=54BAB4FEFF6B0B9FA7B0B03523988703C40002E3,MD5=7AD3F0CCD2616E26F32C4871CE5F3A26,SHA256=E2AA85FF998858050C3A65D82ABE6C117E7B03A1F732378476D43DD5932B4A1B,IMPHASH=F34D5F2D4577ED6D9CEEC516C1F5A744    
     Signed: false    
     Signature: -    
     SignatureStatus: Unavailable    
     User: TEST\username   

Хотя структура имени и метаданные могут имитировать легитимный установщик, отсутствие цифровой подписи является ключевым отличием.

Событие Sysmon Event ID 7 можно использовать как быстрый ориентир доверенного происхождения бинарного файла, на который следует обратить внимание.  

Sysmon/Operational - EventID 11 (FileCreate)

Что касается действий на сервере TrueConf, то индикатором подмены установочных файлов является событие Sysmon EventID 11 фиксирующее создание новых файлов в файловой системе.

Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/10/2026 3:45:31 PM    
     Event ID:      11    
     Task Category: File created (rule: FileCreate)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      trueconf.test.org    
     Description:    
     File created:    
     RuleName: -    
     UtcTime: 2026-04-10 12:45:31.681    
     ProcessGuid: {e05f87bf-d211-69bb-c200-000000001e00}    
     ProcessId: 8892    
     Image: C:\Windows\Explorer.EXE    
     TargetFilename: C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_windows_client_x64.exe    
     CreationUtcTime: 2026-04-10 12:45:40.401    
     User: TEST\username   

Также наряду с Sysmon, генерируется аналогичное событие EventID 4663 - An attempt was made to access an object  журнала Security фиксирующее доступ к файловому объекту:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2026-04-15 10:04:27
Event ID:      4663
Task Category: Removable Storage
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      trueconf.test.org

Description:
An attempt was made to access an object.

Subject:
  Security ID:   TEST\username
  Account Name:  username
  Account Domain:TEST
  Logon ID:      0xF9D52

Object:
  Object Server:      Security
  Object Type:        File
  Object Name:        C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_client_x64.exe
  Handle ID:          0x20cc
  Resource Attributes:S:AI(RA;;;;;WD;("IMAGELOAD",TU,0x0,1))

Process Information:
  Process ID:   0x22bc
  Process Name: C:\Windows\explorer.exe

Access Request Information:
  Accesses: WriteData (or AddFile)

Обращаем внимание на тип операции, указанный в поле Accesses: WriteData (or AddFile) (маска доступа 0x2).

Данный тип доступа соответствует созданию или записи файла, что в контексте каталога ClientInstFiles может указывать на подмену или размещение установочного файла клиента.

В штатном режиме в каталоге ClientInstFiles появляются только легитимные установочные пакеты, загружаемые в рамках процесса обновления клиентов TrueConf.

Появление новых или изменённых файлов в этой директории может указывать на один из сценариев:

  • штатное обновление клиентского пакета

  • административное изменение установочных файлов

  • компрометация сервера и подмена дистрибутива

Ограничения детектирования и проблемы корреляции

При построении детекта важно учитывать ряд ограничений, которые напрямую влияют на качество корреляции и количество ложных/пропущенных срабатываний.

1. Манипуляции с именем файла и цепочкой создания

Если в директорию ClientInstFiles сначала помещается файл с произвольным именем (например, Apollo.exe), а затем переименовывается в ожидаемое (trueconf_windows_client_x64.exe), то Sysmon EventID 11 зафиксирует создание исходного файла, а не итогового имени.

Это снижает эффективность детектирования, основанного только на имени объекта, и требует либо:

  • мониторинга всех файлов в целевой директории,

  • либо более сложной корреляции с учётом жизненного цикла объекта.

При этом первый подход увеличивает уровень шумов и число ложных срабатываний в легитимных сценариях обновления.

2. Временной разрыв между подменой файлов и их запуском пользователем

Ключевое ограничение связано с тем, что события размещения файла на сервере (Sysmon EventID 11) и его последующего выполнения на клиентских системах (Sysmon EventID 7) могут быть разделены значительным временным интервалом.

Причины:

  • пользователь может игнорировать уведомление об обновлении;

  • сервер мог быть скомпрометирован задолго до появления первых клиентских запусков.

В результате выбор корректного окна корреляции становится нетривиальной задачей:

  • слишком короткое окно приводит к пропуску реальных инцидентов;

  • слишком длинное окно увеличивает вероятность ложных корреляций с легитимными изменениями и обновлениями и также дает нагрузку на коррелятор.

Правила детектирования в R-Vision SIEM

Для R-Vision SIEM целесообразно разделять логику на два независимых правила:

  • детект изменений в каталоге ClientInstFiles (Sysmon EventID 11 и Security EventID 4663) - как сигнал потенциальной компрометации сервера;

  • детект запуска неподписанных или подозрительных установщиков на клиентах (Sysmon EventID 7) - как индикатор фактической эксплуатации.

Такой подход учитывает случаи, когда установочный файл распространяется через сторонние каналы — например, через фишинг или ссылки на внешние ресурсы.

Заключение

Рассмотренный сценарий с TrueConf показывает, что доверенный механизм обновлений при компрометации сервера может использоваться как канал массового распространения вредоносного кода внутри инфраструктуры.

При этом выявление такой активности требует наблюдения сразу на двух уровнях - серверном и клиентском.

Ключевые индикаторы компрометации:

  • появление или изменение файлов в каталоге ClientInstFiles (Sysmon EventID 11);

  • запуск установочных файлов на клиентских системах с отсутствующей или некорректной цифровой подписью (Sysmon EventID 7);

  • сетевые соединения процессов обновления (trueconf_windows_update.exe) с внешними или нетипичными для инфраструктуры IP-адресами (Sysmon EventID 3);

  • DNS-запросы от процесса обновления к доменам, не относящимся к инфраструктуре TrueConf (Sysmon EventID 22).

Обновление безопасности

Описанная уязвимость уже была устранена вендором. По данным официальных security-обновлений TrueConf, проблема затрагивала предыдущие версии серверной и клиентской части и была исправлена в рамках обновлений 2026 года. Рекомендуется использовать актуальные версии продукта TrueConf Server (в частности, линейку 5.5.2/5.4.8/5.3.8 в зависимости от ветки).

Рекомендую использовать актуальные версии TrueConf и поддерживать инфраструктуру в состоянии регулярного обновления, чтобы исключить возможность эксплуатации уже известных уязвимостей.