पेंटेस्ट उपकरण वास्तव में रेड टीम द्वारा हमले की सतहों का परीक्षण करने, सुरक्षा अंतराल को उजागर करने और फिर उन्हें बंद करने के लिए उपयोग किए जाने वाले हैं। लेकिन इन शक्तिशाली परीक्षण उपकरणों का साइबर अपराधियों द्वारा दुरुपयोग भी किया जा सकता है। दुर्भाग्य से, उन्हें अक्सर सुरक्षा द्वारा जल्दी से अनदेखा कर दिया जाता है।
यूनिट 42, पालो ऑल्टो नेटवर्क्स की मैलवेयर विश्लेषण टीम, लगातार नए मैलवेयर नमूनों की तलाश में है जो ज्ञात एडवांस्ड पर्सिस्टेंट थ्रेट (APT) पैटर्न और रणनीति से मेल खाते हैं। ऐसा ही एक नमूना हाल ही में वायरसटोटल पर अपलोड किया गया था, जहां इसकी जांच करने वाले सभी 56 विक्रेताओं से इसे सकारात्मक फैसला मिला। दूसरे शब्दों में: किसी भी सुरक्षा प्रदाता ने उपकरण में छिपे खतरनाक कोड के संभावित खतरे को नहीं पहचाना!
VirusTotal पर 56 स्कैनर किसी खतरे का पता नहीं लगाते हैं
नमूने में Brute Ratel C4 (BRc4) से संबंधित दुर्भावनापूर्ण कोड था, जो बाजार में आने वाला नवीनतम रेड टीमिंग और प्रतिकूल हमला सिमुलेशन उपकरण था। हालांकि इस उपकरण में दुर्भावनापूर्ण कोड सुर्खियों से बाहर रहने में कामयाब रहा है और इसके कोबाल्ट स्ट्राइक भाइयों की तुलना में कम प्रसिद्ध है, दुर्भावनापूर्ण कोड कम परिष्कृत नहीं है। यह टूल विशिष्ट रूप से खतरनाक है क्योंकि इसे विशेष रूप से एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) और एंटीवायरस (एवी) सुविधाओं द्वारा पता लगाने से बचने के लिए डिज़ाइन किया गया है। सभी प्रदाताओं में VirusTotal पर पता लगाने की उपर्युक्त कमी में इसकी प्रभावशीलता स्पष्ट रूप से दिखाई देती है,
बहुत ही चतुर और खतरनाक उपकरण
C2 के संबंध में, यूनिट 42 ने पाया कि नमूना संयुक्त राज्य अमेरिका में पोर्ट 443 पर Amazon Web Services (AWS) IP एड्रेस कहलाता है। साथ ही, लिसनिंग पोर्ट पर X.509 प्रमाणपत्र को "Microsoft" के संगठन नाम और "सुरक्षा" की संगठनात्मक इकाई के साथ Microsoft को प्रतिरूपित करने के लिए कॉन्फ़िगर किया गया था। इसके अलावा, प्रमाण पत्र और अन्य कलाकृतियों का उपयोग करते हुए, Palo Alto Networks ने कुल 41 दुर्भावनापूर्ण IP पते, नौ BRc4 नमूने, और उत्तर और दक्षिण अमेरिका में अन्य तीन संगठनों की पहचान की, जो अब तक इस उपकरण में दुर्भावनापूर्ण कोड से प्रभावित हुए हैं।
यह पैटर्न - आज तक अद्वितीय - प्रसिद्ध APT29 तकनीकों और उनके हाल के अभियानों के अनुसार पैक किया गया था, जो प्रसिद्ध क्लाउड स्टोरेज और ऑनलाइन सहयोग अनुप्रयोगों का लाभ उठाते थे। विशेष रूप से, यह पैटर्न स्टैंडअलोन आईएसओ के रूप में पैक किया गया था। आईएसओ में एक विंडोज शॉर्टकट (एलएनके) फ़ाइल, एक दुर्भावनापूर्ण पेलोड डीएलएल और माइक्रोसॉफ्ट वनड्राइव अपडेटर की एक वैध प्रति शामिल है। आईएसओ-माउंटेड फोल्डर से सौम्य एप्लिकेशन को चलाने के प्रयासों के परिणामस्वरूप डीएलएल सर्च ऑर्डर हाईजैकिंग नामक तकनीक के माध्यम से दुर्भावनापूर्ण कोड को एक निर्भरता के रूप में लोड किया गया। हालाँकि अकेले पैकेजिंग तकनीकें इस उदाहरण को APT29 के लिए निश्चित रूप से विशेषता देने के लिए पर्याप्त नहीं हैं, लेकिन ये तकनीकें दर्शाती हैं कि उपकरण के उपयोगकर्ता अब BRc4 की तैनाती कर रहे हैं।
सुरक्षा टीमों को उपकरणों पर ध्यान देना चाहिए
कुल मिलाकर, यूनिट 42 का मानना है कि यह अध्ययन इस मायने में महत्वपूर्ण है कि यह न केवल एक नए रेड टीम कौशल की पहचान करता है, जो कि अधिकांश साइबर सुरक्षा विक्रेताओं द्वारा काफी हद तक अपरिचित है, बल्कि इससे भी महत्वपूर्ण बात यह है कि बढ़ते उपयोगकर्ता आधार के साथ एक कौशल, जिसे पालो ऑल्टो नेटवर्क्स का मानना है कि इसका फायदा उठाया जा सकता है। सरकार द्वारा प्रायोजित हैकर्स। वर्तमान विश्लेषण BRc4 का अवलोकन प्रदान करता है, दुर्भावनापूर्ण नमूने का विस्तृत विश्लेषण, इन नमूनों और हाल ही के APT29 नमूने के बीच तुलना, और समझौता के संकेतक (IoCs) की एक सूची प्रदान करता है जिसका उपयोग इस दुर्भावनापूर्ण गतिविधि को स्कैन करने के लिए किया जा सकता है।
पालो अल्टो नेटवर्क सभी सुरक्षा विक्रेताओं को इस सबसे महत्वपूर्ण उपकरण से गतिविधि का पता लगाने के लिए सुरक्षा उपाय करने और सभी संगठनों को इस उपकरण से गतिविधि के प्रति सतर्क रहने के लिए कहता है।
अध्ययन का निष्कर्ष
- एक नए पैठ परीक्षण और हमलावर अनुकरण सुविधा का उदय महत्वपूर्ण है। आधुनिक रक्षात्मक EDR और AV पहचान क्षमताओं पर काबू पाने में BRc4 की प्रभावशीलता और भी अधिक खतरनाक है।
- पिछले 2,5 वर्षों में यह उपकरण अंशकालिक शौक से बढ़ते ग्राहक आधार के साथ पूर्णकालिक विकास परियोजना में विकसित हुआ है। जैसा कि यह ग्राहक आधार सैकड़ों तक बढ़ गया है, उपकरण ने वैध प्रवेश परीक्षकों और आपराधिक साइबर अभिनेताओं दोनों से साइबर सुरक्षा के क्षेत्र में अधिक ध्यान आकर्षित किया है।
- यूनिट 42 द्वारा वर्णित दो उदाहरणों के विश्लेषण के साथ-साथ दुर्भावनापूर्ण कोड को पैकेज करने के लिए उपयोग किए जाने वाले उन्नत दृष्टिकोण से यह स्पष्ट होता है कि आपराधिक साइबर अभिनेताओं ने इस क्षमता का फायदा उठाना शुरू कर दिया है। पालो ऑल्टो नेटवर्क्स की यूनिट 42 का मानना है कि यह अनिवार्य है कि सभी सुरक्षा विक्रेता BRc4 का पता लगाने के लिए सुरक्षा का निर्माण करें और सभी संगठन इस उपकरण से बचाव के लिए सक्रिय उपाय करें।
- पालो ऑल्टो नेटवर्क्स ने इन निष्कर्षों को हमारे अन्य साइबर थ्रेट एलायंस सदस्यों के साथ साझा किया है, जिसमें फ़ाइल नमूने और समझौता के संकेतक (IoC) शामिल हैं। सीटीए सदस्य इस जानकारी का उपयोग अपने ग्राहकों के लिए सुरक्षा को जल्दी से तैनात करने और आपराधिक साइबर हमलावरों को व्यवस्थित रूप से बाधित करने के लिए करते हैं।
पालो अल्टो नेटवर्क के बारे में पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।