Pentest araçlarının aslında Red Teams tarafından saldırı yüzeylerini test etmek, güvenlik açıklarını ortaya çıkarmak ve ardından bunları kapatmak için kullanılması gerekiyor. Ancak bu güçlü test araçları, siber suçlular tarafından da kötüye kullanılabilir. Ne yazık ki, genellikle güvenlik tarafından hızla göz ardı edilirler.
Palo Alto Networks'ün kötü amaçlı yazılım analiz ekibi Unit 42, sürekli olarak bilinen Gelişmiş Kalıcı Tehdit (APT) kalıpları ve taktikleriyle eşleşen yeni kötü amaçlı yazılım örnekleri arıyor. Böyle bir örnek yakın zamanda VirusTotal'a yüklendi ve onu inceleyen 56 satıcının hepsinden olumlu bir karar aldı. Başka bir deyişle: Güvenlik sağlayıcılarından hiçbiri, bir araçta gizlenen tehlikeli kodun potansiyel tehlikesini fark etmedi!
VirusTotal'daki 56 tarayıcı tehdit algılamadı
Örnek, Red'in piyasaya çıkan en son ekip oluşturma ve düşman saldırısı simülasyon aracı olan Brute Ratel C4 (BRc4) ile ilgili kötü amaçlı kod içeriyordu. Bu araçtaki kötü amaçlı kod, ilgi odağı dışında kalmayı başarmış ve Cobalt Strike kardeşlerinden daha az bilinmesine rağmen, kötü amaçlı kod daha az karmaşık değildir. Araç, Endpoint Detection and Response (EDR) ve Antivirus (AV) özellikleri tarafından tespit edilmekten kaçınmak için özel olarak tasarlandığı için benzersiz bir şekilde tehlikelidir. Etkinliği, tüm sağlayıcılarda VirusTotal'da yukarıda belirtilen algılama eksikliğinde açıkça gösterilmiştir.
Çok akıllı ve tehlikeli bir araç
C2 ile ilgili olarak, Birim 42, örneğin ABD'de 443 numaralı bağlantı noktası üzerinden bir Amazon Web Services (AWS) IP adresini çağırdığını tespit etti. Ayrıca, dinleme bağlantı noktasındaki X.509 sertifikası, "Microsoft" kuruluş adıyla ve "Güvenlik" kuruluş birimiyle Microsoft'un kimliğine bürünecek şekilde yapılandırıldı. Ayrıca Palo Alto Networks, sertifikayı ve diğer yapıları kullanarak toplam 41 kötü amaçlı IP adresi, dokuz BRc4 örneği ve Kuzey ve Güney Amerika'da şimdiye kadar bu araçtaki kötü amaçlı koddan etkilenen üç kuruluş daha belirledi.
Şimdiye kadar benzersiz olan bu model, iyi bilinen APT29 tekniklerine ve bunların iyi bilinen bulut depolama ve çevrimiçi işbirliği uygulamalarından yararlanan son kampanyalarına uygun olarak paketlendi. Spesifik olarak, bu model bağımsız bir ISO olarak paketlendi. ISO, bir Windows kısayolu (LNK) dosyası, kötü amaçlı bir yük DLL'si ve Microsoft OneDrive Güncelleyici'nin yasal bir kopyasını içeriyordu. Zararsız uygulamayı ISO bağlantılı klasörden çalıştırma girişimleri, DLL arama emri kaçırma olarak bilinen bir teknik aracılığıyla kötü amaçlı kodun bir bağımlılık olarak yüklenmesiyle sonuçlandı. Paketleme teknikleri, bu örneği kesin olarak APT29'a atfetmek için tek başına yeterli olmasa da, bu teknikler, aracın kullanıcılarının şu anda BRc4'ü dağıttığını göstermektedir.
Güvenlik ekipleri araçlara dikkat etmeli
Genel olarak, Birim 42, bu çalışmanın yalnızca çoğu siber güvenlik satıcısı tarafından büyük ölçüde tanınmayan yeni bir Kırmızı Takım becerisini tanımlaması açısından değil, aynı zamanda daha da önemlisi, Palo Alto Networks'ün istismar edebileceğine inandığı, büyüyen bir kullanıcı tabanına sahip bir beceri belirlemesi açısından önemli olduğuna inanıyor. devlet destekli bilgisayar korsanları. Mevcut analiz, BRc4'e genel bir bakış, kötü niyetli numunenin ayrıntılı bir analizini, bu numuneler ile yeni bir APT29 numunesi arasında bir karşılaştırma ve bu kötü amaçlı etkinliği taramak için kullanılabilecek Tehlike Göstergelerinin (IoC'ler) bir listesini sunar.
Palo Alto Networks, tüm güvenlik satıcılarını bu pentest aracından etkinliği tespit etmek için önlemler almaya ve tüm kuruluşları bu araçtan etkinliğe karşı tetikte olmaya çağırıyor.
Çalışmanın sonucu
- Yeni bir penetrasyon testi ve saldırgan öykünme özelliğinin ortaya çıkması önemlidir. Daha da endişe verici olan, BRc4'ün modern savunma amaçlı EDR ve AV algılama yeteneklerinin üstesinden gelmedeki etkinliğidir.
- Son 2,5 yılda bu araç, yarı zamanlı bir hobiden büyüyen bir müşteri tabanıyla tam zamanlı bir geliştirme projesine dönüştü. Bu müşteri tabanı yüzlerce kişiye ulaştıkça araç, siber güvenlik alanında hem meşru penetrasyon test uzmanları hem de suçlu siber aktörler tarafından artan ilgi gördü.
- Birim 42 tarafından açıklanan iki örneğin analizi ve kötü amaçlı kodu paketlemek için kullanılan gelişmiş yaklaşım, suçlu siber aktörlerin bu yeteneği kullanmaya başladığını açıkça ortaya koyuyor. Palo Alto Networks'ün 42. Birimi, tüm güvenlik satıcılarının BRc4'ü tespit etmek için korumalar oluşturmasının ve tüm kuruluşların bu araca karşı savunma yapmak için proaktif önlemler almasının zorunlu olduğuna inanıyor.
- Palo Alto Networks, dosya örnekleri ve uzlaşma göstergeleri (IoC) de dahil olmak üzere bu bulguları diğer Siber Tehdit Birliği üyelerimizle paylaştı. CTA üyeleri, bu bilgileri müşterilerine hızlı bir şekilde koruma sağlamak ve suçlu siber saldırganları sistematik olarak bozmak için kullanır.
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.