Тактики чорних хакерів

Кіберзлочинці сьогодні користуються потужними платформами та протоколами – від LOLBin до пакетів інструментів пентестингу, щоб зламати та проникнути в системи та мережі, обминаючи всі захисти та заходи безпеки.

Для захисту у користувачів мережі теж є добрі інструменти – моніторингові пакети, антивіруси, аналізатори SCA та DFIR.

Це постійна сутичка атаки та захисту і зловмисники винаходять все більш витончені нові способи та інструменти для злому.

BlackHackers

Photo by TheDigitalWay on Pixabay

Підписуйтесь на нас у Facebook, Telegram, Twitter чи Instagram, щоб бути у тренді!

Відома всім хакерам стеганографія – приховування інформації у безпечних файлах – розвивається, відкриваючи нові способи шкідливих атак. І на додаток до використання обфускації та упаковки – кіберзлочинці мають у своїй діяльності цілком законні служби та протоколи.

Ця мімікрія дозволяє їм поєднуватися з трафіком або звичайними подіями, які на перший погляд цілком “білі” як для сприйняття людини, так і для машинного аналізу.

У статті розглянемо останні тактики чорних хакерів з замітання слідів.

Використання платформ

Наприклад, платформа Ngrok використовується етичними хакерами, які аналізують мережі або налаштовують фіктивні тунелі для з’єднань або коли займаються пентестингом.

Кіберзлодії ж використовують цю платформу для розгортання мереж ботнета та зв’язку із зараженим сервером.
Зазвичай ПЗ написано на Python, з кодом base64 для безперешкодного впровадження бекдора в системи, що використовують Ngrok.

І оскільки ця платформа є довіреною, чорний хакер підключається через тунель, обходить брандмауери та захист NAT. У цій статті ми писали про новий протокол і про безпеку саме на тему NAT.

GitHub теж піддається аналогічним ризикам.
Ці платформи не можуть блокувати корпоративні брандмауери та інструменти моніторингу, тому кіберзлочинці облюбували такий підхід і законні платформи стають полігоном протистояння.

Атаки на цінності бренду

Тайпсквоттинг, перехоплення торгової марки або використання репозиторіїв з відкритим вихідним кодом – такі види атак використовують довіру та отримують вигоду з репутації бренду цілого бізнесу.

Чорні хакери відправляють шкідливий код до основної бази, пов’язаної з метою, яка потім розподіляється по всій мережі до клієнтів та ділових контактів жертви.
Будь-яка мережа, яка відкрита всім бажаючих, відкрита й для злочинців.

Бізнес повинен використовувати перевірене ПЗ для своїх додатків та сайтів та впроваджувати заходи щодо забезпечення безпеки. Це сприяє на ранньому етапі бачити помилки, некоректні налаштування і, як правило, уникають серйозної компрометації.

Перенаправлення криптовалютних платежів

Учасники даркнета та творці програм-вимагачів майже завжди працюють з криптовалютою, оскільки вона децентралізована та знеособлена.
Однак вона не зовсім анонімна.

І зловмисники мають способи та винаходять нов і з переказу коштів між акаунтами власників.

Канали та протоколи загального призначення

HTTPS : в Інтернеті цей протокол є основним і тому порт 443 майже неможливо заблокувати.

Однак DoH, протокол для доменів, теж застосовує аналогічний порт і чорні хакери з успіхом використовують цю вразливість для передачі команд управління в заражені мережі та користуються тими самими плюсами анонімності зашифрованих наскрізних каналів, що і законослухняні громадяни.

До того ж це створює труднощі для сисадмінів, оскільки блокування DNS є проблемною опцією, і оскільки запити DNS шифруються через HTTPS, їм необхідно аналізувати підозрілий трафік.

Двійкові файли для запуску ПЗ

LOLbin — це легітимні файли з цифровим підписом, такі як файли Windows.
Двійковий файл може вміщати заплутаний код, який допомагає замаскуватися. Використання цих файлів є відомим методом обходу захисту.

Вони удосконалюються і ускладнюються постійно і застосовуються просунутими атакуючими.
І їхня справжня сила полягає в обході заходів безпеки і в тому, що вони практично непомітні.

Кодування ПЗ нестандартними мовами

Go, D, Nim та Rust – ці мови додають обфускацію різними способами.
Засоби пошуку на основі сигнатур не можуть їх помічати і до того ж саме написання працює, як заплутуючий шар. Найбільш поширений Gobfuscate для шкідливого програмного забезпечення, написаного за допомогою Go. Він може сортувати імена пакетів, маніпулювати набором функцій та глобальними змінними.

Незважаючи на безліч загроз у мережі, є інструменти для захисту, і їх потрібно застосовувати, знаючи, що кіберзловмисники ніколи не сплять.

У нас ви отримаєте надійний і захищений хостинг, гарний домен та SSL-сертифікат для свого бізнесу.