U današnjem digitalnom svetu sajber kriminalci kontinuirano razvijaju nove sposobnosti i tehnike, koristeći različite metode za postizanje malicioznih ciljeva. Ipak, to ne znači da su u planiranju i izvođenju sajber napada zaboravili na osnovne alate, tehnike i procedure. Javno dostupni alati se često koriste za eksploatisanje uobičajenih bezbednosnih propusta.

U izveštaju australijskog centra za sajber bezbednost, osnovni, javno dostupni hakerski alati su podeljeni u 5 kategorija:

1. Remote Access Tools (RAT)
2. Web Shells – China Chopper
3. Kradljivci kredencijala – Mimikatz
4. Lateral Movement Frameworks – PowerShell Empire
5. Command and Control Obfuscators - HTran.

Pružaju širok spektar funkcija i besplatno su dostupni za korišćenje svima – od iskusnih kriminalaca do hakera amatera.

1. Remote Access Tools (RAT)

U pitanju je program koji omogućava daljinsku admin kontrolu. Kada se instalira, napadaču daje mogućnost kontrole, upload i download fajlova, zahteve za programe i snimanje ekrana korisnika. Primarni metod distribucije ovog alata je preko email atačmenta (faktura, zahtev za ponudu, poruka o isporuci ili plaćanju itd.). Kada žrtva otvori atačment, napadač može lako da izvuče različite informacije – od intelektualne svojine do informacija o računu u banci.

Uređaji inficirani RAT alatom mogu da se dodaju botnetu za izvođenje razornih DDoS napada.

Zaštita i mitigacija podrazumeva da organizacije redovno ažuriraju antivirus rešenje, da uspostave sistem alata koji će pružiti smernice normalnog ponašanja i da vrše kontinuirani monitoring ponašanja i istražuju sumnjive aktivnosti.

2. Web Shells - China Chopper

Radi se o malicioznim skriptama koje se ubacuju u mrežu nakon inicijalnog kompromitovanja sistema putem RAT alata. China Chopper web shell može da uradi nekoliko stvari – od uploada i downloada fajlova do izvršavanja komandi i timestompinga. Veličina je samo 4KB, lako se prilagođava zbog čega su detekcija i mitigacija otežani. Zato je važno da se eksterni serveri, AV rešenje i sve aplikacije redovno ažuriraju kako bi se sprečilo inicijalno kompromitovanje sistema.

3. Kradljivci kredencijala – Mimikatz

Mimikatz je alat iz 2017. godine koji mnoge sajber kriminalne grupe i državno-sponzorisani hakeri koriste za krađu kredencijala iz memorije. Iako nije napravljen sa ciljem da bude hakerski alat, hakeri su ga brzo prihvatili kao sredstvo za pronalaženje kredencijala i podizanje admin domen privilegija, kao i za druge maliciozne zadatke.

Mimikatz ima sposobnost da eksploatiše bezbednosne servise koji su loše konfigurisani, odnosno dolazi do kredencijala ulogovanih korisnika tako što im pristupa tokom Local Security Authority Subsystem Service (LSASS) sistemskog procesa. S obzirom na činjenicu da je izvorni kod Mimikatz alata javno dostupan, sajber kriminalci mogu da vrše modifikacije, odnosno da prave svoje verzije koje zatim stavljaju na raspolaganje drugima koji ga mogu dalje razvijati.

Detekcija može biti problematična. Kada se detektuje, potrebno je uraditi nekoliko stvari, kao što je onemogućavanje skladišta otvorenih text lozinki u LSASS memoriji, primenjivanje patchova kako bi sistem bio ažuriran na najnoviju verziju i obavljanje kompletne i rigorozne istrage mreže.

4. Lateral Movement Frameworks – PowerShell Empire

PowerShell Empire je alat koji napadaču sa obezbeđenim pristupom sistemu omogućava eksploatisanje informacija na nekoliko načina. Može se koristiti za generisanje malicioznih dokumenata, podizanje nivoa privilegija, izvlačenje informacija, prikupljanje kredencijala, enumeraciju hostova, lateralno kretanje kroz mrežu itd.

Empire nije lako detektovati zato što je napravljen kao legitimna aplikacija, a širok spektar mogućnosti, fleksibilnost i kastomizacija ga čine jako atraktivnim za sajber kriminalce.

5. Command and Control Obfuscators - HTran

HUC Packet Transmitter (HTran) postoji od 2009. i napravljen je da “zakomplikuje” komunikaciju između napadača i ciljane mreže. Ova tehnika se često koristi za retransmitovanje mrežnog saobraćaja ka različitim hostovima ili portovima i može se implementirati kako bi omogućila napadačima da preusmere svoje pakete kroz druge kompromitovane mreže koje imaju HTran, što na kraju omogućava veći pristup hostovima u mreži.

Može se pokrenuti u nekoliko različitih modova, uključujući Server (listen) koji se koristi za prisluškivanje lokalnog porta i retransmitovanje saobraćaja, Proxy (tran) koji se koristi za prisluškivanje lokalnog porta i retransmitovanje podataka i Client (slave) koji se povezuje sa IP adresom i retransmituje podatke.

Zaštita i mitigacija podrazumevaju korišćenje nekoliko tehnika, poput mrežne segmentacije i host/network firewalla.

Opšti savet

Koji god da je krajnji cilj napadača, inicijalno kompromitovanje mreže se često dešava preko postojećih ranjivosti u sistemu. Zbog toga je važno da organizacije ojačaju bezbednost mreže kako bi se sprečila ili umanjila sveukupna efektivnost širokog spektra sajber napada, uključujući i onih preko gore pomenutih alata.

Izvor: CSO