Alati za izbjegavanje zaštite sve popularniji među napadačima
Okviri za testiranje prodora dizajnirani za zakonite operacije "crvenog tima" nedavno su postali popularni, sa sve većim brojem komercijalnih pružatelja koji nude sve sofisticiranije mogućnosti za izbjegavanje otkrivanja.
Ovi framworksi pružaju jednostavan način za stvaranje i implementaciju koda dizajniranog za zaobilaženje i izbjegavanje tipičnih sigurnosnih kontrola koje se nalaze u organizacijama (npr. antimalware ili EDR). Upravo zbog toga, zlonamjerni su akteri već odavno integrirali ove legitimne alate u svoj arsenal, koristeći specifične značajke kao što su mogućnosti izbjegavanja otkrivanja na endpoint-ovima.
Korištenje popularnog alata 'crvenog tima' napadačima olakšava implementaciju zlonamjernog koda i stoga smanjuje troškove i pojednostavljuje operacije. U posljednjih nekoliko godina, akteri prijetnji, od kibernetičkih kriminalaca do naprednih ustrajnih aktera prijetnji, sve su se više okrenuli "red team" alatima kako bi postigli svoje ciljeve.
Povijesno gledano, alat koji se najviše zloupotrebljavao bio je Cobalt Strike, a slijedi ga Brute Ratel. Nedavno se na tržištu pojavio novi framwork nazvan Nighthawk, koji tvrdi da je "najnapredniji i najnevidljiviji dostupni okvir za upravljanje i kontrolu". Upravo zbog toga, mogli bi uskoro vidjeti kako će ga usvojiti akteri prijetnji koji žele diversificirati svoje metode i dodati relativno nepoznat okvir svom arsenalu.
Naravno, čini se da Nighthawk ima mnogo tehničkih i proceduralnih kontrola u svom procesu prodaje i distribucije (kao što je navedeno u njihovom blogu nakon analize koju je objavio Proofpoint), s ciljem sprječavanja loših aktera da se dokopaju najnovijih verzija tog softvera. Zanimljivo je primijetiti da Nighthawk tvrdi da koristi "niz neobjavljenih EDR zaobilaznih tehnika", za koje smatraju da se ne bi trebale objavljivati jer bi mogle privući pozornost malicioznih aktera. Proofpoint blog koji opisuje unutarnji mehanizam rada Nighthawka u međuvremenu je uklonjen.
Ipak, popularnost ovih alata među akterima prijetnji olakšava razvoj protumjera i istraživanje. Zapravo, bolje je da su inovativne tehnike izbjegavanja koje koristi Nighthawk i slični javno dokumentirane ili barem dostupne proizvođačima sigurnosnih sustava za analizu i implementaciju zaštite.
Kako alati dobivaju na popularnosti, njihovo otkrivanje u praksi postaje sve lakše: uzmite za primjer Googleov nedavni pristup koji je omogućio otkrivanje raznih payload-ova Cobalt Strike-a putem YARA open source pravila, kako bi pomogao zajednici i ponuđačima sigurnosnih rješenja da označe i identificiraju komponente Cobalt Strike-a i njegovih odgovarajućih verzija.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
