Bahçıvanlar solucanların iyi olduğunu bilir. Siber güvenlik uzmanları solucanların kötü. Çok kötü. Aslında solucanlar, bilgisayar dünyasında bilinen kötülük için kelimenin tam anlamıyla en yıkıcı güçtür. bu MyDoom solucan, en maliyetli bilgisayar kötü amaçlı yazılımlarının şüpheli konumunu elinde tutuyor durmadan – bazılarından sorumlu 52 milyar dolar zararda. İkinci sırada… Çok büyükbaşka bir solucan.

Ancak, her kuralın istisnaları olduğu ortaya çıktı. Bazı biyolojik solucanlar aslında hoş karşılanmaz çoğu bahçede. Ve görünüşe göre bazı siber solucanlar güçlerini iyilik için kullanabilirler…

İyi Solucan Hopper ile tanışın

Algılama araçları iyi değil sömürüye dayalı olmayan yayılımı yakalamak, solucanların en iyi yaptığı şey budur. Çoğu siber güvenlik çözümü, belirteç kimliğine bürünme ve eksik dahili yapılandırmalardan (PAM, segmentasyon, güvenli olmayan kimlik bilgileri depolaması ve daha fazlası) yararlanan diğerleri gibi solucan saldırısı yöntemlerine karşı daha az dirençlidir.

Öyleyse, gizli bir solucanı yenmenin başka bir gizli solucandan daha iyi bir yolu var mı?

Ve böylece Hopper doğdu! Hopper, komuta ve kontrol, yerleşik ayrıcalık yükseltme ve daha birçok solucan türünün en dolambaçlı yetenekleriyle gerçek bir solucandır. Ama çoğu solucanın aksine, Hopper iyilik yapmak için inşa edildi. Hopper, zarar vermek yerine Beyaz Şapka operatörlerine bir ağa sızmayı nerede ve nasıl başardığını anlatıyor. Ne kadar ilerlediğini, yol boyunca ne bulduğunu ve savunmanın nasıl iyileştirileceğini bildirir.

Hopper ile Yakın ve Kişisel

Cymulate’deki geliştirme ekibi, temel amacı daha büyük bir yük hazırlamak olan, ilk yük olarak hizmet eden küçük bir yürütülebilir dosya olan yaygın bir kötü amaçlı yazılım hazırlayıcı üzerinde Hopper’ı temel alıyor. Stager’ımız ayrıca programları dolaylı olarak, genellikle bir paketten yükleyen ve yürüten bir program olan PE paketleyici olarak da hizmet eder.

Hopper’ın sahneleyicisi, Hopper’da bir güncelleme yaparsak ilk yükün değiştirilmesi gerekmeyecek şekilde yazılmıştır. Bu, geçmişe dönüşen her güncellemede hash’leri hariç tutmanın ve Hopper kullanıcılarının yalnızca bir kez sahneleyicinin hash’ini hariç tutması gerektiği anlamına gelir. Stager’ı bu şekilde yazmak, Hopper’ın ihtiyaç duyduğu diğer araçları çalıştırma yolunu da açtı.

Hopper’ın esnekliğini en üst düzeye çıkarmak için ekibimiz, farklı ilk yürütme yöntemleri, ek iletişim yöntemleri, ilk aşama yükünü getirmenin çeşitli yolları, farklı enjeksiyon yöntemleri ve daha fazlasını ekledi. Ve çok gizli bir solucan yaratmak için, gizli özelliklerin maksimum düzeyde özelleştirilmesine izin vermemiz gerekiyor, bu yüzden neredeyse tamamen operatör kontrollü konfigürasyonlar yaptık:

  • İlk yük yapılandırması – yürütülebilir dosyalar, kitaplıklar, python komut dosyaları, kabuk kodları, PowerShell komut dosyaları ve daha fazlasını içeren tamamen yapılandırılabilir yürütme yöntemleri
  • İlk aşama yük yapılandırması – özelleştirilebilir paket alma yöntemleri ve paket enjeksiyon yöntemleri (örneğin, yansıtıcı enjeksiyon)
  • İkinci aşama işaret konfigürasyonu – özel iletişim kanalları, canlı tutma zamanlaması ve zaman aşımı ve titreşim
  • API – iletişim yöntemleri, yayılma yöntemleri ve açıklardan yararlanma dahil olmak üzere yeteneklerin gelecekte daha kolay genişletilmesini sağlamak için yeni yeteneklerin kablosuz olarak eklenmesi

Yürütme, Kimlik Bilgileri Yönetimi ve Yayma

Hopper’ın ilk yürütmesi in-mem ve aşamalar halindedir. İlk aşama, sınırlı kapasiteye sahip küçük bir saplamadır. Bu saplama, kodu kendi içinde tutmak yerine daha önemli bir kod parçasının nasıl çalıştırılacağını bilir – bu, bunu kötü amaçlı bir dosya olarak işaretlemeyi zorlaştırır. Ayrıcalık yükseltme için, Biriktirici gibi savunmasız hizmetlerden yararlanarak ve ayrıcalık yükseltme veya kalıcılık elde etmek için yanlış yapılandırılmış hizmetler veya otomatik çalıştırmalar kullanarak farklı UAC atlama yöntemleri seçtik. Buradaki fikir, Hopper’ın hedeflerine ulaşmak için gereken minimum ayrıcalıkları kullanmasıdır. Örneğin, bir makine hedef makinemize kullanıcı erişimi sağlıyorsa, Hopper’ın o hedef makineye yayılmak için ayrıcalıkları yükseltmesi gerekmeyebilir.

Hopper, gerektiğinde Hopper örnekleri arasında kimlik bilgilerini dağıtmasını sağlayan merkezi kimlik bilgileri yönetimine sahiptir – bu, tüm Hopper’ların toplanan kimlik bilgilerine erişimi olduğu anlamına gelir ve hassas kimlik bilgileri veritabanını diğer makineler arasında çoğaltma ihtiyacını ortadan kaldırır.

Yaymak için Hopper, istismarlar yerine yanlış yapılandırmaları tercih eder. Sebep? İstismarlar potansiyel olarak sistemleri çökertebilir, daha fazla öne çıkarlar ve IPS/ağ izleme ürünleri ve EDR ürünleri tarafından kolayca tanımlanırlar. Yanlış yapılandırmalar ise kötü amaçlı etkinlik olarak kolayca algılanmaz. Örneğin, Active Directory yanlış yapılandırmaları, bir kullanıcının erişimi olmaması gereken bir kaynağa erişmesine ve dolayısıyla yayılmaya yol açabilir. Benzer şekilde, yazılım yanlış yapılandırmaları, bir kullanıcının uzaktan kod yürütmesine ve dolayısıyla yayılmaya yol açmasına izin verebilir.

Gizli ve C&C İletişimleri

Cymulate ekibi, artık kullanılmadığında bellekteki kötü amaçlı yazılım kodunu şifrelemek, EDR ürünlerinin bellek içi içeriğin parmak izini alma yeteneğini bozabileceğinden, Hopper için bellek içi yürütmeyi seçti. Ayrıca, bellek içi yürütme, EDR ürünleri tarafından izlenebilen API çağrıları yerine doğrudan sistem çağrılarını kullanır. Hopper’ın API işlevlerini kullanması gerekiyorsa, bunu yapmadan önce EDR kancalarını algılar ve kaldırır.

Gizliliği korumak için Hopper, çalışma saatleri sırasında, etkinliği rastgele zamanlama düzenlerinde normal çalışma saati etkinliğiyle maskeleyerek Komuta ve Kontrol ile iletişim kurar. Ayrıca yalnızca izin verilenler listesindeki sunucularla veya Slack kanalları, Google E-Tablolar veya diğer genel hizmetler gibi kötü amaçlı olarak kabul edilmeyen sunucularla iletişim kurar.

Alt çizgi

Solucan saldırılarını önlemek için Beyaz Şapkalı solucan benzeri bir Hopper ideal bir çözümdür. Hopper, ağı bir solucanın bakış açısından görerek, tabiri caizse, solucanın en büyük avantajını defans oyuncusunun en büyük avantajı.

Not: Bu makale, Ekip Lideri, Kıdemli Güvenlik Araştırmacısı ve Geliştiricisi Yoni Oren tarafından yazılmıştır ve katkıda bulunmaktadır. simüle etmek.



siber-2