Разделы
ГлавнаяБлог Новости Опубликован ТОП инструментов тестирования на проникновение, которыми злоупотребляют хакеры
13 января 2021
512

Опубликован ТОП инструментов тестирования на проникновение, которыми злоупотребляют хакеры

Разработчики вредоносных программ часто используют легитимные инструменты, предназначенные для информационной безопасности с открытым исходным кодом для внедрения в них зловредного кода и киберпреступных операций.

Недавно ИБ-компания Recorded Future опубликовала отчёт об использовании вредоносной инфраструктуры в области C&C (command and control). Компания производила исследование в течение всего 2020 года, отслеживая более 10 000 серверов C&C по более чем 80 штаммам вредоносных программ.

Результаты

  • Инструменты тестирования на проникновение, например, Cobalt Strike (используется с 13,5% всех серверов C&C 2020 года) или Metasploit (10,5% всех серверов C&C 2020 года), стали двумя наиболее широко используемыми технологиями размещения C&C серверов.
  • PupyRAT является третьим по популярности C&C-сервером, благодаря своей кодовой базе с открытым исходным кодом на GitHub, который поддерживается с 2018 года.
  • Хакерские сообщества успешно произвели модернизацию ПО и успешно заразили эти серверы. На сегодняшний день целый ряд авторитетных американских хостинг-провайдеров, таких как Amazon, Digital Ocean и Choopa, имели в своей инфраструктуре данные модифицированные С&С сервера.

Сценарий использования

Совсем недавно группа Muddywater APT использовала размещённый на GitHub вредоносный код PowerShell для декодирования встроенного сценария Cobalt Strike для целевых систем Windows. А чуть позднее исследователи из Пало-Альто обнаружили, что кампания SolarStorm была связана с модификацией Cobalt Strike, которая была создана с использованием Cobalt Strike 4.0 и была реализована в декабре 2019 года. А вот специалисты по информационной безопасности из Sophos обнаружили  использование SystemBC RAT в сочетании с инструментами после эксплуатации, включая Cobalt Strike.

Заключение

Авторы вредоносных программ активно используют инструменты безопасности с открытым исходным кодом из-за их общего использования и легитимности в разных организациях. Хакеры могут перепрофилировать эти инструменты для развертывания различных типов полезных нагрузок, таких как вымогатели или кейлоггеры, в скомпрометированных сетях.

Предприятиям рекомендуется использовать углубленное обнаружение модифицированного кода в инструментах с открытым исходным кодом с помощью корреляционного поиска SIEMs, YARA для подозрительного содержимого файлов и SNORT для подозрительного или вредоносного сетевого трафика.

Теги:
защита информации,
конфиденциальность,
отчет
Читайте также
Обеспечение информационной безопасности КИИ. Лекция Максима Ковалёва
10 апреля 2024
На портале «Госуслуги» можно будет получить компенсацию за утечку данных
21 марта 2024
Мошенники распространяют вредоносы в аэропортах
28 марта 2024