Strumenti Pentest: potenti strumenti per veri aggressori

30. Luglio 2022
| Non ci sono commenti
Strumenti Pentest: potenti strumenti per veri aggressori

Condividi post

Gli strumenti Pentest dovrebbero effettivamente essere utilizzati dai Red Team per testare le superfici di attacco, scoprire falle di sicurezza e quindi chiuderle. Ma questi potenti strumenti di test possono anche essere utilizzati in modo improprio dai criminali informatici. Sfortunatamente, spesso vengono rapidamente trascurati dalla sicurezza.

Unit 42, il team di analisi del malware di Palo Alto Networks, è costantemente alla ricerca di nuovi campioni di malware che corrispondano a schemi e tattiche APT (Advanced Persistent Threat) noti. Uno di questi campioni è stato recentemente caricato su VirusTotal, dove ha ricevuto un verdetto positivo da tutti i 56 fornitori che lo hanno esaminato. In altre parole: nessuno dei fornitori di sicurezza ha riconosciuto il potenziale pericolo del codice pericoloso nascosto in uno strumento!

56 scanner su VirusTotal non rilevano alcuna minaccia

Il campione conteneva codice dannoso relativo a Brute Ratel C4 (BRc4), l'ultimo strumento di simulazione di attacchi di Red teaming e avversario per colpire il mercato. Sebbene il codice dannoso in questo strumento sia riuscito a rimanere fuori dai riflettori ed è meno noto dei suoi fratelli Cobalt Strike, il codice dannoso non è meno sofisticato. Lo strumento è particolarmente pericoloso in quanto è specificamente progettato per evitare il rilevamento da parte delle funzionalità Endpoint Detection and Response (EDR) e Antivirus (AV). La sua efficacia è chiaramente dimostrata nella suddetta mancanza di rilevamento su VirusTotal da parte di tutti i fornitori,

Strumento molto intelligente e pericoloso

Per quanto riguarda C2, l'Unità 42 ha rilevato che il campione ha chiamato un indirizzo IP di Amazon Web Services (AWS) negli Stati Uniti sulla porta 443. Inoltre, il certificato X.509 sulla porta di ascolto è stato configurato per rappresentare Microsoft con il nome dell'organizzazione "Microsoft" e l'unità organizzativa "Sicurezza". Inoltre, utilizzando il certificato e altri artefatti, Palo Alto Networks ha identificato un totale di 41 indirizzi IP dannosi, nove campioni BRc4 e altre tre organizzazioni in Nord e Sud America che sono state finora colpite dal codice dannoso in questo strumento.

Questo modello, unico fino ad oggi, è stato impacchettato secondo le note tecniche APT29 e le loro recenti campagne, che hanno sfruttato le ben note applicazioni di cloud storage e collaborazione online. In particolare, questo modello è stato impacchettato come ISO autonomo. L'ISO conteneva un file di scelta rapida di Windows (LNK), una DLL di payload dannosa e una copia legittima di Microsoft OneDrive Updater. I tentativi di eseguire l'applicazione innocua dalla cartella montata su ISO hanno portato al caricamento del codice dannoso come dipendenza attraverso una tecnica nota come dirottamento dell'ordine di ricerca DLL. Sebbene le tecniche di pacchettizzazione da sole non siano sufficienti per attribuire definitivamente questo esempio ad APT29, queste tecniche mostrano che gli utenti dello strumento stanno ora implementando BRc4.

I team di sicurezza dovrebbero prestare attenzione agli strumenti

Nel complesso, l'Unità 42 ritiene che questo studio sia significativo in quanto identifica non solo una nuova abilità del Red Team che è in gran parte non riconosciuta dalla maggior parte dei fornitori di sicurezza informatica, ma soprattutto, un'abilità con una base di utenti in crescita, che secondo Palo Alto Networks potrebbe essere sfruttata da hacker sponsorizzati dal governo. L'attuale analisi fornisce una panoramica di BRc4, un'analisi dettagliata del campione dannoso, un confronto tra questi campioni e un recente campione APT29 e un elenco di indicatori di compromissione (IoC) che possono essere utilizzati per cercare questa attività dannosa .

Palo Alto Networks invita tutti i fornitori di sicurezza a mettere in atto misure di salvaguardia per rilevare l'attività di questo pentest tool e tutte le organizzazioni a prestare attenzione alle attività di questo strumento.

Conclusione dello studio

  • L'emergere di una nuova funzionalità di test di penetrazione e di emulazione degli aggressori è significativa. Ancora più allarmante è l'efficacia di BRc4 nel superare le moderne capacità di rilevamento EDR e AV difensive.
  • Negli ultimi 2,5 anni questo strumento è passato da un hobby part-time a un progetto di sviluppo a tempo pieno con una base di clienti in crescita. Poiché questa base di clienti è cresciuta fino a raggiungere centinaia, lo strumento ha ricevuto una maggiore attenzione in tutto lo spazio della sicurezza informatica sia da tester di penetrazione legittimi che da attori informatici criminali.
  • L'analisi dei due esempi descritti dall'Unità 42, nonché l'approccio avanzato utilizzato per impacchettare il codice dannoso, chiariscono che i criminali informatici hanno iniziato a sfruttare questa capacità. L'Unità 42 di Palo Alto Networks ritiene che sia imperativo che tutti i fornitori di sicurezza creino protezioni per rilevare BRc4 e che tutte le organizzazioni adottino misure proattive per difendersi da questo strumento.
  • Palo Alto Networks ha condiviso questi risultati, inclusi campioni di file e indicatori di compromissione (IoC), con gli altri membri della Cyber ​​Threat Alliance. I membri del CTA utilizzano queste informazioni per distribuire rapidamente le protezioni ai propri clienti e interrompere sistematicamente i criminali informatici.
Altro su PaloAltoNetworks.com

 

A proposito di Palo Alto Networks

Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR