Киберпреступники сегодня пользуются мощными платформами и протоколами – от LOLBin до пакетов инструментов пентестинга, чтобы взломать и проникнуть в системы и сети, минуя все защиты и мероприятия по безопасности.
Для защиты у пользователей сети тоже есть хорошие инструменты – мониторинговые пакеты, антивирусы, анализаторы SCA и DFIR.
Это постоянная схватка атаки и защиты, и злоумышленники изобретают всё более изощрённые новые способы и инструменты для взлома.
Photo by TheDigitalWay on Pixabay
Подписывайтесь на нас в Facebook, Telegram, Twitter или Instagram, чтобы быть в тренде!
Известная всем хакерам стеганография — сокрытие информации в безопасных файлах — развивается, открывая новые способы для вредоносных атак. И в дополнение к использованию обфускации и упаковки – киберпреступники используют в своей деятельности вполне законные службы и протоколы.
Эта мимикрия позволяет им объединяться с трафиком или обычными событиями, которые на первый взгляд вполне “белые” как для восприятия человека, так и для машинного анализа.
В статье рассмотрим последние тактики чёрных хакеров по заметанию следов.
Использование платформ
Например, платформа Ngrok используется этичными хакерами, которые анализируют сети или настраивают фиктивные туннели для соединений или когда занимаются пентестингом.
Киберзлодеи же используют эту платформу для развёртывания сетей ботнета и связи с заражённым сервером.
Обычно ПО написано на Python, с кодом в base64 для беспрепятственного внедрения бекдора в системы использующие Ngrok.
И так как эта платформа является доверенной, чёрный хакер подключается через туннель, обходит брандмауэры и защиту NAT. В этой статье мы писали про новый протокол и про безопасность как раз по теме NAT.
GitHub тоже подвергается аналогичным рискам.
Эти платформы не могут блокировать корпоративные брандмауэры и инструменты по мониторингу, поэтому киберпреступники облюбовали такой подход и законные платформы становятся полигоном противостояния.
Атаки на ценности бренда
Тайпсквоттинг, перехват торговой марки или использование репозиториев с открытым исходным кодом – такие виды атак используют доверие и извлекают выгоду из репутации бренда целого бизнеса.
Чёрные хакеры отправляют вредоносный код к основной базе, связанной с целью, который потом распределяется по всей сети к клиентам или деловым контактам жертвы.
Любая сеть, которая открыта для всех желающих, открыта и для преступников.
Бизнес должен использовать проверенное ПО для своих приложений и сайтов и внедрять мероприятия по обеспечению безопасности. Это позволяет видеть ошибки некорректной настройки и, как правило, избегать серьезной компрометации.
Перенаправление криптовалютных платежей
Участники даркнета и создатели программ-вымогателей
почти всегда работают с криптовалютой, так как она децентрализована и обезличена.
Однако она не совсем анонимна.
Злоумышленники имеют способы и изобретают новые по переводу средств между аккаунтами владельцев.
Каналы и протоколы общего назначения
HTTPS : в Интернете этот протокол является основным и по этой причине порт 443 почти невозможно заблокировать.
Однако DoH, протокол для доменов, тоже применяет аналогичный порт и чёрные хакеры с успехом используют эту уязвимость для передачи команд управления в заражённые сети. Киберзлоумышленники пользуются теми же плюсами анонимности сквозных зашифрованных каналов, что и законопослушные пользователи в своей повседневной работе.
К тому же это создает трудности для сисадминов, так как блокирование DNS является проблемной опцией – потому что запросы DNS шифруются через HTTPS. И администраторам нужно отдельно анализировать подозрительный трафик в этом сегменте.
Двоичные файлы для запуска ПО
LOLbin — это легитимные исполняемые файлы с цифровой подписью, такие как исполняемые файлы Windows.
Двоичный файл может вмещать в себя запутанный код, который помогает замаскироваться. Использование этих файлов является известным методом обхода защит.
Они совершенствуются и усложняются постоянно и применяются продвинутыми атакующими.
И их настоящая сила заключается в обходе мер безопасности и в том, что они практически незаметны.
Кодирование ПО на нестандартных языках
Go, D, Nim и Rust – эти языки добавляют обфускацию разными способами.
Средства поиска на основе сигнатур не могут их помечать и к тому же, само написание работает как запутывающий слой. Наиболее распространён Gobfuscate для вредоносного ПО, написанного с помощью Go. Он может сортировать имена пакетов, манипулировать набором функций и глобальными переменными.
Несмотря на множество угроз, в сети есть инструменты для защиты, и их нужно применять, зная, что киберзлоумышленники никогда не спят.
А у нас же вы получите надёжный и защищённый хостинг, классный домен и SSL-сертификат для своего бизнеса.