Một số loài sâu sử dụng quyền lực của chúng vì mục đích tốt

Giun máy tính

Người làm vườn biết rằng sâu rất tốt. Các chuyên gia biết rằng sâu rất xấu. Rất tệ. Trên thực tế, sâu đúng là lực lượng xâm lấn mạnh nhất đối với cái ác mà thế giới điện toán biết đến. Sâu MyDoom giữ vị trí đáng ngờ là phần mềm độc hại máy tính tốn kém nhất từ ​​trước đến nay – chịu trách nhiệm về thiệt hại khoảng 52 tỷ đô la. Ở vị trí thứ hai… Sobig, một con sâu khác.

Tuy nhiên, hóa ra là có những ngoại lệ đối với mọi quy tắc. Một số loài sâu sinh học thực sự không được chào đón trong hầu hết các khu vườn. Và một số sâu mạng, có vẻ như, có thể sử dụng sức mạnh của chúng cho mục đích tốt…

Gặp Hopper, The Good Worm

Các công cụ phát hiện không tốt trong việc bắt các loài lan truyền không dựa trên khai thác, đó là điều mà sâu làm tốt nhất. Hầu hết các giải pháp an ninh mạng kém khả năng chống lại các phương pháp tấn công sâu như mạo danh mã thông báo và các giải pháp khác lợi dụng cấu hình nội bộ bị thiếu – PAM, phân đoạn, lưu trữ thông tin xác thực không an toàn, v.v.

Vì vậy, cách nào tốt hơn để đánh bại một con sâu lén lút hơn là với… một con sâu lén lút khác?

Và do đó, Hopper được sinh ra! Hopper là một con sâu thực sự, với quyền chỉ huy và kiểm soát, tích hợp và nhiều khả năng ranh ma nhất của wormkind. Nhưng trái với hầu hết các loài sâu, Hopper được xây dựng để làm điều tốt. Thay vì gây hại, Hopper nói với các nhà khai thác Mũ trắng của nó ở đâu và bằng cách nào nó đã thành công trong việc xâm nhập vào mạng. Nó báo cáo nó đã đi được bao xa, những gì nó tìm thấy trên đường đi và cách cải thiện khả năng phòng thủ.

Xem tiếp:   Các bản vá quan trọng đã được phát hành cho các sản phẩm Cisco Expressway Series, TelePresence VCS

Cận cảnh và Cá nhân với Phễu

Nhóm phát triển tại Cymulate Hopper đã dựa trên một bộ lưu trữ phần mềm độc hại thông thường – một tệp thực thi nhỏ đóng vai trò như một trọng tải ban đầu, với mục tiêu chính là chuẩn bị một tải trọng lớn hơn. Stager của chúng tôi cũng đóng vai trò là trình đóng gói PE, một chương trình tải và thực thi các chương trình một cách gián tiếp, thường là từ một gói.

Hopper’s stager được viết theo cách mà trọng tải ban đầu không phải thay đổi nếu chúng tôi cập nhật Hopper. Điều này có nghĩa là việc loại trừ hàm băm trên mọi bản cập nhật được chuyển thành lịch sử và người dùng Hopper chỉ cần loại trừ hàm băm của máy xếp một lần. Viết stager theo cách này cũng mở ra con đường thực thi các công cụ khác mà Hopper cần.

Để tối đa hóa tính linh hoạt của Hopper, nhóm của chúng tôi đã thêm các phương pháp thực thi ban đầu khác nhau, các phương pháp giao tiếp bổ sung, nhiều cách khác nhau để tìm nạp tải trọng ở giai đoạn đầu tiên, các phương pháp tiêm khác nhau, v.v. Và, để tạo ra một con sâu rất lén lút, chúng tôi cần cho phép tùy chỉnh tối đa các tính năng ẩn, vì vậy chúng tôi đã tạo các cấu hình gần như hoàn toàn do người điều khiển kiểm soát:

Cấu hình tải trọng ban đầu – các phương thức thực thi có thể định cấu hình đầy đủ bao gồm các tệp thực thi, thư viện, tập lệnh python, mã shell, tập lệnh PowerShell, v.v.
Cấu hình tải trọng giai đoạn đầu – các phương pháp tìm nạp gói có thể tùy chỉnh và các phương pháp chèn gói (ví dụ: tiêm phản chiếu)
Cấu hình đèn hiệu giai đoạn hai – các kênh giao tiếp phù hợp, duy trì thời gian và thời gian chờ sống động, và tình trạng chập chờn
API – bổ sung qua mạng không dây các khả năng mới để cho phép mở rộng khả năng dễ dàng hơn trong tương lai, bao gồm các phương pháp liên lạc, phương pháp lan truyền và khai thác

Xem tiếp:   Để có ánh sáng: Đảm bảo khả năng hiển thị trong toàn bộ vòng đời API

Thực thi, quản lý thông tin xác thực và lan truyền

Quá trình thực thi ban đầu của Hopper là trong bản ghi nhớ và theo từng giai đoạn. Giai đoạn đầu còn sơ khai với khả năng hạn chế. Sơ khai này biết cách chạy một đoạn mã quan trọng hơn thay vì chứa mã bên trong chính nó – khiến việc gắn cờ đây là tệp độc hại khó hơn. Để báo cáo đặc quyền, chúng tôi đã chọn các phương pháp bỏ qua UAC khác nhau, khai thác các dịch vụ dễ bị tấn công như Spooler và sử dụng các dịch vụ được định cấu hình sai hoặc tự động chạy để đạt được độ cao hoặc độ bền đặc quyền. Ý tưởng ở đây là để Hopper sử dụng các đặc quyền tối thiểu cần thiết để đạt được mục tiêu của mình. Ví dụ: nếu một máy cung cấp quyền truy cập của người dùng vào máy mục tiêu của chúng tôi, Hopper có thể không cần nâng cao đặc quyền để lan truyền đến máy mục tiêu đó.

Hopper có tính năng quản lý thông tin xác thực tập trung, cho phép nó phân phối thông tin xác thực giữa các phiên bản Hopper – có nghĩa là tất cả Hopper đều có quyền truy cập vào thông tin đăng nhập được thu thập, loại bỏ nhu cầu sao chép cơ sở dữ liệu thông tin xác thực nhạy cảm trên các máy khác.

Để lan truyền, Hopper thích cấu hình sai hơn là khai thác. Nguyên nhân? Việc khai thác có thể gây ra sự cố cho hệ thống, chúng nổi bật hơn và dễ dàng được xác định bởi các sản phẩm IPS / giám sát mạng và các sản phẩm EDR. Mặt khác, cấu hình sai không dễ bị phát hiện là hoạt động độc hại. Ví dụ, cấu hình sai Active Directory có thể khiến người dùng có quyền truy cập vào một tài nguyên mà lẽ ra họ không có quyền truy cập và do đó dẫn đến lây lan. Tương tự, cấu hình sai phần mềm có thể cho phép người dùng thực thi mã từ xa và do đó dẫn đến việc lây lan.

Xem tiếp:   Phần mềm độc hại TrickBot lạm dụng bộ định tuyến MikroTik làm proxy để ra lệnh và điều khiển

Truyền thông Stealth và C&C

Nhóm Cymulate đã chọn thực thi trong bộ nhớ cho Hopper, vì việc mã phần mềm độc hại trong bộ nhớ khi không còn được sử dụng nữa có thể làm gián đoạn khả năng lấy dấu vân tay nội dung trong bộ nhớ của các sản phẩm EDR. Hơn nữa, thực thi trong bộ nhớ sử dụng lệnh gọi hệ thống trực tiếp thay vì lệnh gọi API, có thể được giám sát bởi các sản phẩm EDR. Nếu Hopper cần sử dụng các hàm API, nó sẽ phát hiện và dỡ bỏ các móc EDR trước khi làm như vậy.

Để duy trì khả năng tàng hình, Hopper giao tiếp với Command and Control trong giờ làm việc bằng cách che hoạt động với hoạt động trong giờ làm việc bình thường theo các mẫu thời gian ngẫu nhiên. Nó cũng chỉ giao tiếp với các máy chủ được liệt kê cho phép hoặc máy chủ không bị coi là độc hại, như kênh Slack, Google Trang tính hoặc các dịch vụ công cộng khác.

Điểm mấu chốt

Để ngăn chặn sự tấn công của sâu, Phễu giống như sâu Mũ Trắng là một giải pháp lý tưởng. Có thể nói, bằng cách nhìn mạng từ góc độ của một con sâu, Hopper đã biến lợi thế lớn nhất của con sâu thành lợi thế lớn nhất của người bảo vệ.

Lưu ý: Bài viết này được viết và đóng góp bởi Yoni Oren, Trưởng nhóm, Nhà nghiên cứu bảo mật cấp cao và Nhà phát triển tại Cymulate.

.

Related Posts

Check Also

Nhà phát triển tiền mặt Tornado bị bắt sau lệnh trừng phạt của Hoa Kỳ Máy trộn tiền điện tử

Các nhà chức trách Hà Lan hôm thứ Sáu đã thông báo về việc bắt …