Nov 29, 2022

Alati za izbegavanje zaštite sve popularniji među napadačima

Okviri za testiranje penetracije dizajnirani za legitimne operacije „crvenog tima“ su nedavno postali popularni, sa sve većim brojem komercijalnih provajdera koji nude sve sofisticiranije mogućnosti izbegavanja.

Ovi framworksi pružaju jednostavan način za kreiranje i primenu koda dizajniranog da zaobiđe i izbegne tipične bezbednosne kontrole u organizacijama (npr. antimalware ili EDR). Zbog toga su zlonamerni akteri odavno integrisali ove legitimne alate u svoj arsenal, koristeći specifične karakteristike kao što su mogućnosti izbegavanja na endpoint-ovima.

Korišćenje ustaljenog alata „crvenog tima“ olakšava napadačima primenu zlonamernog koda i stoga smanjuje troškove i pojednostavljuje operacije. Poslednjih godina, akteri pretnji, od sajber kriminalaca do naprednih aktera upornih pretnji, sve više se okreću „red team“ alatima za udruživanje kako bi postigli svoje ciljeve.

Istorijski gledano, najviše zloupotrebljavano sredstvo je bio Cobalt Strike, a sledio ga je Brute Ratel. Nedavno je na tržište stigao novi framwork pod nazivom Nighthawk, koji tvrdi da je „najnapredniji nevidljivi okvir za upravljanje i kontrolu koji je dostupan“. Zbog ovoga, uskoro bismo mogli da vidimo da ga usvajaju akteri pretnji koji žele da diverzifikuju svoje metode i dodaju relativno nepoznat okvir svom arsenalu.

Naravno, čini se da Nighthawk ima mnogo tehničkih i proceduralnih kontrola u svom procesu prodaje i distribucije (kao što je navedeno u njihovom blog postu nakon analize koju je objavio Proofpoint), čiji je cilj da spreči da loši akteri dođu u posed najnovijih verzija tog softvera. Zanimljivo je primetiti da Nighthawk tvrdi da koristi „izvestan broj neobjavljenih tehnika zaobilaženja EDR-a“, za koje veruju da ne bi trebalo da budu objavljene jer bi mogle da privuku pažnju zlonamernih aktera. Blog Proofpointa koji detaljno opisuje unutrašnje funkcionisanje Nighthawka je u međuvremenu uklonjen.

Ipak, popularnost ovih alata među akterima pretnji olakšava razvoj protivmera i istraživanja. U stvari, bolje je da se inovativne tehnike izbegavanja koje koristi Nighthawk i slični javno dokumentuju ili barem stave na raspolaganje proizvođačima bezbednosnih sistema radi analize i primene zaštite.

Kako alati postaju sve popularniji, njihovo otkrivanje postaje lakše u praksi: uzmimo na primer Googleov nedavni pristup koji je omogućio otkrivanje različitih payload-ova Cobalt Strike-a preko YARA open source pravila, kako bi se pomoglo zajednici i dobavljačima bezbednosnih rešenja da obeleže i identifikuju komponente Cobalt Strike-a i njegovih odgovarajućih verzija.