Alati za izbjegavanje zaštite sve popularniji među napadačima
Okviri za testiranje penetracije dizajnirani za legitimne operacije "crvenog tima" nedavno su postali popularni, sa sve većim brojem komercijalnih provajdera koji nude sve sofisticiranije mogućnosti izbjegavanja.
Ovi frameworksi pružaju jednostavan način za kreiranje i implementaciju koda dizajniranog da zaobiđe i izbjegne tipične sigurnosne kontrole koje se nalaze u organizacijama (npr. antimalware ili EDR). Zbog toga su zlonamjerni akteri odavno integrirali ove legitimne alate u svoj arsenal, koristeći specifične značajke kao što su mogućnosti izbjegavanja na endpoint-ovima.
Korištenje popularnog alata 'crvenog tima' olakšava napadačima implementaciju zlonamjernog koda i stoga smanjuje troškove i pojednostavljuje operacije. Posljednjih godina, akteri prijetnji, od sajber kriminalaca do naprednih aktera prijetnji, sve se više okreću „red team“ alatima kako bi postigli svoje ciljeve.
Istorijski gledano, najviše zloupotrebljavano sredstvo je bio Cobalt Strike, a slijedio ga je Brute Ratel. Nedavno je na tržište stigao novi framework nazvan Nighthawk, koji tvrdi da je "najnapredniji nevidljivi okvir za upravljanje i kontrolu dostupan na tržištu". Zbog toga bismo ga uskoro mogli vidjeti kako ga usvajaju akteri prijetnji koji žele da diverzificiraju svoje metode i dodaju relativno nepoznat okvir svom arsenalu.
Naravno, čini se da Nighthawk ima puno tehničkih i proceduralnih kontrola u svom procesu prodaje i distribucije (kao što je navedeno u njihovom blog postu nakon analize koju je objavio Proofpoint), s ciljem sprječavanja loših aktera da se dočepaju najnovijih verzija tog softvera. Zanimljivo je napomenuti da Nighthawk tvrdi da koristi "niz neobjavljenih tehnika zaobilaženja EDR-a", za koje smatraju da se ne bi trebale objavljivati jer bi mogle privući pažnju zlonamjernih aktera. Proofpoint blog koji opisuje detalje o unutrašnjem radu Nighthawka u međuvremenu je uklonjen.
Ipak, popularnost ovih alata među akterima prijetnji olakšava razvoj protumjera i istraživanja. U stvari, bolje je da se inovativne tehnike izbjegavanja koje koristi Nighthawk i slični javno dokumentuju ili barem stave na raspolaganje proizvođačima sigurnosnih sistema za analizu i implementaciju zaštite.
Kako alati postaju sve popularniji, njihovo otkrivanje u praksi postaje sve lakše: uzmimo za primjer Googleov nedavni pristup koji je omogućio otkrivanje različitih payload-ova Cobalt Strike-a putem YARA open source pravila, kako bi se pomoglo zajednici da označi i identifikuje komponente Cobalt Strike-a i njegovih odgovarajućih verzija.